AutoRuns是一款由微软开发的启动项管理工具。它能用于显示在 Windows 启动或登录时自动运行的程序,并允许用户有选择地禁用或删除它们,例如那些在“启动”文件夹和注册表相关键中的程序。此外,AutoRuns 还可以修改多种不同的自启动程序,包括 Windows 资源管理器的 shell 扩展(如右键弹出菜单)、IE 浏览器插件(如工具栏扩展)、系统服务、设备驱动程序、计划任务等。
AutoRuns怎么设置
界面字段理解:打开后有多个界面,如“everything”(汇总所有启动项)、“logon”(用户启动文件夹和注册表启动项)、“explorer”(资源管理器在注册表上的值)、“internet explorer”(IE 浏览器相关注册表值)、“services”(开机启动服务)、“drivers”(开机启动驱动)等。每个页面展示的字段通常包括名称、描述、发行者、路径、时间戳等。
识别可疑项目:根据颜色判断可疑项目,对于可疑的项目,可以右键进行相关操作,如“search online”使用默认浏览器搜索,或者手动搜索物理路径对应的文件名;也可以“jump to entry”打开启动项的注册表位置,或“jump to image”打开文件位置;还能通过“process explorer”调用进程资源管理器显示进程属性,或查看“properties”文件属性。确认是恶意项目后可选择删除,但需注意删除操作无法回滚,可能导致系统不稳定或崩溃。
扫描方式设置:在扫描设置中,可以选择检查“文件签名”或进行“VT 检查”。“文件签名”验证通过会显示“verified”,未签名或验证失败显示“not verified”;“VT 检查”会将可疑文件上传到 VirusTotal 平台分析,恶意文件会标红。
隐藏启动项设置:AutoRuns 默认隐藏 Windows 自身的启动项,可以手动开启显示,也可隐藏 Microsoft 启动项。但通常情况下,Windows 和 Microsoft 启动项是必要且安全的,不建议随意禁用或删除。
保存和比较:使用“file-save”保存为文件,然后通过“file-compare”与另一个已保存的文件比较差异,方便查看不同之处。
AutoRuns管理开机启动项:
1、首先打开autoruns软件,所有项目下显示的是所有开机运行的项目;
2、我们没有必要逐个分析调整,根据分类更好,先点击登陆这个分类选项卡;
3、登陆选项卡下面的就是登陆过程中加载的项目了,根据自己的需要优化,把前面的勾取消即可;
4、设置完登陆之后,跳转到计划任务这个选项卡,同样地设置计划任务。一般用户设置好这两项就可以了,其他项目不了解的情况下不建议过多地设置。
autorunsc是什么?
Autorunsc 是软件的命令行版本。
它的用法语法是:
用法:autorunsc [-a <* | bdeghiklmoprsw>] [-c | -ct] [-h] [-m] [-s] [-u] [-vt] [[-z] | [用户]]]
参数说明
-a 自动启动条目选择:
* 所有。
b 引导执行。
d Appinit DLLs。
e Explorer插件。
g 边栏小工具(Vista 及更高版本)
h 图像劫持。
i Internet Explorer 插件。
k 已知 DLL。
l 登录启动(这是默认设置)。
m WMI条目。
n Winsock 协议和网络提供商。
o 编解码器。
p 打印机监视器DLL。
r LSA安全提供商。
s 自动启动服务和非禁用驱动程序。
t 计划任务。
w Winlogon 条目。
-c 将输出打印为CSV。
-ct 以制表符分隔的值打印输出。
-h 显示文件哈希值。
-m 隐藏Microsoft条目(如果与-v一起使用,则为已签名的条目)。
-s 验证数字签名。
-t 以标准化UTC(YYYYMMDD-hhmmss)显示时间戳。
-u 如果启用了VirusTotal检查,则显示VirusTotal未知的文件或具有非零检测的文件,否则仅显示未签名的文件。
-x 将输出打印为XML。
-v [rs]查询基于文件哈希的恶意软件的VirusTotal。添加“r”以打开具有非零检测的文件的报告。如果指定了’s’选项,则报告为先前未扫描的文件将上传到VirusTotal。注意扫描结果可能在五分钟或更长时间内不可用。
-vt 在使用 VirusTotal 功能之前,您必须接受VirusTotal服务条款。如果您尚未接受这些条款而省略此选项,则会以交互方式提示您。
-z 指定要扫描的脱机Windows系统。
user 指定将显示自动运行项的用户帐户的名称。指定“*”以扫描所有用户配置文件。
温馨提示
1、不要盲目删除启动项!可先禁用启动项(把启动项前面打的勾去掉),然后重启一下电脑看看对系统有无影响,如对系统有影响则重新启用该启动项,如确认不是系统必须使用的关键启动项后才能删除;
2、如启动项是黄色高亮显示,表明软件没有扫描到添加该启动项的安装软件或可执行文件,使用右键跳转到文件夹,如找不到安装文件夹或可执行文件,再按上述方法禁用或删除即可。
更新日志
v14.11版本
1、此更新修复了在启动文件夹项中解析参数的错误。
2、修正了部分中文显示效果。
v14.04版本
1、界面新增过滤器,可快速定位到特定条目的启动项;
2、大幅提高程序扫描和检测的性能;
3、修复到处CSV和XML的一个BUG;
4、命令行版本新增导入hash验证,并排除微软和系统进程启动项。