Microsoft autoruns for windows: start up manager for power users

Autorun-вирус. Признаки заражения флешки.

Следует заметить, что наличие файла автозапуска на CD диске или флеш накопителе, не всегда указывает на его заражение вирусом. Например на CD-диске с игрой, наличие такого файла указывает скорее всего на то, что на диске присутствует инсталлятор игры. Но все же, наличие файла autorun.inf на флешке (mp3-плеере, цифровой камере или другом цифровом носителе) скорее должно вызвать у вас подозрение, так как в большинстве таких случаев с большой долей вероятности это означает, что на флешку проник autorun-червь.
Вот вам пример зараженного съемного диска:
autorun.inf jwgkvsq.vmx

На рисунке мы видим скрытый файл autorun.inf и скрытую папку RECYCLER. Из открытого программой «блокнот» файла автозапуска видим, что в нем прописан запуск файла по названием jwgkvsq.vmx (worm win32 autorun) из папки с флешки под названием RECYCLER. Эти файлы невозможно увидеть, при стандартной настройке Windows. Чтобы иметь возможность видеть скрытые файлы и папки делаем следующее:
Жмем Пуск —> далее Панель управления —> далее Параметры папок (в XP «Свойства папок»). В открывшемся окошке переходим во вторую вкладку «Вид«. Здесь в самом конце, внизу переставляем кнопку с «не показывать скрытые файлы, папки и диски» на «показывать скрытые файлы, папки и диски«.
Теперь мы не пропустим скрытые файлы и папки. Если вы увидели на флешке файл autorun.inf попытайтесь его открыть. Если при такой попытке система выдает сообщение о том, что доступ к файлу невозможен, то велика вероятность заражения системы вирусом worm autorun, который заблокировал доступ к этому файлу.

Как исправить ошибку Autorun.dll

В первую очередь, рекомендую проверить корзину, нет ли там файла autorun.dll. Если имеется, то нажмите по нему правой кнопкой мыши и выберите восстановить. Это вернет его автоматически на свой путь в системе.

1. Вирусы

Если вы пытаетесь обновить систему или установить программу с флешки, то скорее всего в ней вирусы. Также, вирусы могут быть и в самой системе Windows 10 или Windows 7, которые могут заразить автозапуск программ.

Кроме того, вы должны понимать, что скачав программу с торрента, то autorun.dl может быть вирусом и антивирус его заблокирует и поместит в карантин. Вы можете проверить карантин в антивирусе и восстановить файл, или отметить как безопасный

Вы должны принять во внимание все риски, так как файл завирусован

  1. Воспользуйтесь антивирусным сканером как DrWeb или Zemana.
  2. Также, можете запустить сканирование в автономном режиме встроенный антивирус Windows 10

2. Проверка SYS файлов и диска

Повреждение системных файлов или плохих секторов на диске могут быть виновниками ошибки autorun.dll. Запустите командную строку от имени администратора и введите ниже команду по очереди, нажимая Enter после каждой:

chkdsk /f /r
sfc /scannow
DISM /ONLINE /CLEANUP-IMAGE /RESTOREHEALTH

Примечание: Если вы запускаете с флешки, то введите команду , где F: эта буква флешки.

3. Ошибка при обновлении Win10

Так как Windows 7 прекращена Microsoft, то данное решение подойдет только для Windows 10. Если вы получаете ошибку autorun.dll при установке обновлений Windows 10, смысл в том, чтобы скачать инструмент по обновлению системы, и через него накатить обновления.

  • Перейдите на сайт Mcirosoft и нажмите «Скачать средство сейчас».
  • Запустите скаченную утилиту и выберите обновить этот ПК сейчас.
  • Выберите пункт сохранить личные файлы. Это позволит вам сохранить все установленные программы.

4. Точка восстановления

Нажмите Win+R и введите rstrui.exe, чтобы открыть точки сохранения. Вы можете выбрать точку на пару дней назад, когда ваш компьютер еще работал нормально без ошибок. Вы должны понимать, вся ваша работа и установленные программы в установленном промежутки восстановления не будут сохранены.

Смотрите еще:

  • Скачать VCOMP140.DLL и исправить ошибку в Windows 10/7
  • Отсутствует _elf.dll — Chrome, Browser, Msedge в Windows 10
  • Отсутствует api-ms-win-crt-heap-l1-1-0.dll — Скачать для Windows 10
  • Dbghelp.dll не найден в Windows 10/7 — Что делать?
  • Ошибка DDRAW.dll, когда файл не найден в Windows 10

Загрузка комментариев


Канал
Чат

Первый запуск и знакомство с интерфейсом

Наконец, программа запущена. Теперь перейдем непосредственно к тому, как пользоваться Autoruns на русском языке для Windows 7 или любой другой версии системы.

Основное окно по умолчанию отображает все активные текущие процессы. Главная панель включает в себя несколько стандартных меню и специальных вкладок, отвечающих за определенные настройки. Если вы хоть раз использовали приложение Process Explorer, очевидное сходство Autoruns с этой утилитой бросается в глаза сразу же. Окно процессов открывается в развернутом виде и содержит информацию не только о названии самого процесса, но и о пути расположения файлов, сведения о цифровых подписях издателей, дате установки (метке времени) и подозрениях на возможное присутствие вирусов (Virus Total).

Autorunsc Usage

Autorunsc is the command-line version of Autoruns. Its usage syntax is:

Usage: autorunsc
| ]]

Parameter Description
-a Autostart entry selection:
* All.
b Boot execute.
d Appinit DLLs.
e Explorer addons.
g Sidebar gadgets (Vista and higher)
h Image hijacks.
i Internet Explorer addons.
k Known DLLs.
l Logon startups (this is the default).
m WMI entries.
n Winsock protocol and network providers.
o Codecs.
p Printer monitor DLLs.
r LSA security providers.
s Autostart services and non-disabled drivers.
t Scheduled tasks.
w Winlogon entries.
-c Print output as CSV.
-ct Print output as tab-delimited values.
-h Show file hashes.
-m Hide Microsoft entries (signed entries if used with -v).
-s Verify digital signatures.
-t Show timestamps in normalized UTC (YYYYMMDD-hhmmss).
-u If VirusTotal check is enabled, show files that are unknown by VirusTotal or have non-zero detection, otherwise show only unsigned files.
-x Print output as XML.
-v Query VirusTotal for malware based on file hash. Add ‘r’ to open reports for files with non-zero detection. Files reported as not previously scanned will be uploaded to VirusTotal if the ‘s’ option is specified. Note scan results may not be available for five or more minutes.
-vt Before using VirusTotal features, you must accept the VirusTotal terms of service. If you haven’t accepted the terms and you omit this option, you will be interactively prompted.
-z Specifies the offline Windows system to scan.
user Specifies the name of the user account for which autorun items will be shown. Specify ‘*’ to scan all user profiles.

Программа Autoruns

Она изначально портативна, её нет надобности устанавливать — скачали (1.2 Мб) и сразу запускаем…

Для более-менее опытных пользователей тут и объяснять дальше нечего — программа нашла и показала нам абсолютно всё, что автоматически загружается вместе с системой.

Осталось немножко проанализировать отображённую информацию и ускорить запуск Windows благодаря отключению всего лишнего. Это не так сложно и страшно, как кажется.

Для малоопытных и начинающих хакеров попытаюсь показать и объяснить логику, которой придерживался отключая или удаляя лишние пункты автозагрузки.

ВНИМАНИЕ! ОБЯЗАТЕЛЬНО! Во избежание проблем при автозагрузке, появлении различных ошибок и так далее…

Во-первых: вместо удаления подозрительных пунктов — отключите их сперва и только через пару дней, если всё работает хорошо, можете их удалить.

Во-вторых: если абсолютно не знаете, что за строчка или софтина — не лезьте, не трогайте этот пункт автозагрузки.

Удаление autorun.inf с помощью аварийного диска

Вообще, конечно, аварийный диск нужно сделать заранее, чтобы в случае чего он был. Но ведь все заранее не предусмотришь, тем более, если с компьютером вы еще пока только знакомитесь…

Более подробно о аварийных Live CD дисках…

1) Для начала нужен диск CD/DVD или флешка.

2) Далее нужно скачать образ диска с системой. Обычно такие диски называются Live. Т.е. благодаря ним можно загрузить операционную систему с CD/DVD диска, практически такую же по возможностям, как если бы она была загружена с вашего жесткого диска.

3) В загруженной операционной системе с Live CD диска мы должны спокойно смочь удалить файл autorun да и многие другие. Будьте аккуратны, когда вы загрузились с такого диска, вы можете удалять абсолютно любые файлы, в том числе и системные.

4) После удаления всех подозрительных файлов, установите антивирус и проверьте полностью ПК.

Creating AutoRun application

You can create the AutoRun application using a free template.

  1. Download the AutoRun template.
    It includes the following files and directories: platformsolution
    autorun
    autorun.exe
    autorun.ico
    autorun.inf
    autorun.lst 
    autorun_en.bmp 
    autorun_ru.bmp
    autorunfull.lst
    gdiplus.dll
    guidelines.htm
    SetupV8.cfg
    SetupV8.exe
    setupv8.sh
  2. Edit the file autorun.lst as described in section .
  3. Edit the file SetupV8.cfg as described in section (on Windows), or replace the file setupv8.sh with a shell script that installs the platform and the applied solution (on Linux).
  4. Run autorun.exe (on Windows) or autorun (on Linux) to verify the result; debug it if necessary.
  5. Record the AutoRun files to the root directory of your CD or DVD.

The file gdiplus.dll is only required for pre-Windows Vista operating systems.

The directories platform and solution are intended for storing the installation files for the 1C:Enterprise platform and for the applied solution.

Где скачать приложение?

Что касается загрузки установочного дистрибутива, самым естественным решением выглядит загрузка утилиты непосредственно с сайта разработчика. Не менее часто при задании поиска в интернете можно встретить и ссылки на техническую службу поддержки Microsoft, не говоря уже о бесчисленных ресурсах на просторах Рунета.

Приложение распространяется совершенно бесплатно и включает в себя два основных компонента – Autoruns и Autorunsc (в официальном релизе). Впрочем, рядовому пользователю будет достаточно только первой утилиты.

Примечание: к сожалению, на официальном ресурсе русскоязычная версия этой системной утилиты отсутствует, поэтому скачивать русифицированную модификацию придется из другого источника.

Creating an Autorun.inf File

Autorun.inf is a text file located in the root directory of the CD-ROM that contains your application. Its primary function is to provide the system with the name and location of the application’s startup program that will be run when the disc is inserted.

Note  Autorun.inf files are not supported under Windows XP for drives that return DRIVE_REMOVABLE from GetDriveType.

The Autorun.inf file can also contain optional information including:

  • The name of a file that contains an icon that will represent your application’s CD-ROM drive. This icon will be displayed by Windows Explorer in place of the standard drive icon.
  • Additional commands for the shortcut menu that is displayed when the user right-clicks the CD-ROM icon. You can also specify the default command that is run when the user double-clicks the icon.

Autorun.inf files are similar to .ini files. They consist of one or more sections, each headed by a name enclosed in square brackets. Each section contains a series of commands that will be run by the Shell when the disc is inserted. There are two sections that are currently defined for Autorun.inf files.

  • The section contains the default AutoRun commands. All Autorun.inf files must have an section.
  • An optional section can be included for systems running on RISC-based computers. When a disc is inserted in a CD-ROM drive on a RISC-based system, the Shell will run the commands in this section instead of those in the section.

Note  The Shell checks for an architecture-specific section first. If it does not find one, it uses the information in the section. After the Shell finds a section, it ignores all others, so each section must be self-contained.

Each section contains a series of commands that determine how the Autorun operation takes place. There are five commands available.

Command Description
defaulticon Specifies the default icon for the application.
icon Specifies the path and file name of an application-specific icon for the CD-ROM drive.
open Specifies the path and file name of the startup application.
useautorun Specifies that Autoplay V2 features should be used if supported.
shell Defines the default command in the CD-ROM’s shortcut menu.
shell_verb Adds commands to the CD-ROM’s shortcut menu.

The following is an example of a simple Autorun.inf file. It specifies Filename.exe as the startup application. The second icon in Filename.exe will represent the CD-ROM drive instead of the standard drive icon.

This Autorun.inf sample runs different startup applications depending on the type of computer.

Использование Autorunsc

Autorunsc — это версия автозапуска в командной строке. Синтаксис его использования:

Использование: autorunsc | ]]

Параметр Описание
-a Выбор записей автозапуска:
* Все.
b Выполнение загрузки.
d Библиотеки DLL библиотеки.
e Надстройки обозревателя.
g Мини-приложения боковой панели (Vista и более поздние версии)
h Захваты образов.
i Надстройки Internet Explorer.
k Известные библиотеки DLL.
l Запуски входа (по умолчанию).
m Записи WMI.
n Протокол Winsock и поставщики сетевых услуг.
o Кодеки.
ш Библиотеки DLL монитора принтера.
r Поставщики безопасности LSA.
s Службы автозапуска и неотключенные драйверы.
t Запланированные задачи.
w Записи Winlogon.
-c Вывести выходные данные в формате CSV.
-CT Вывести выходные данные в виде значений, разделенных символами табуляции.
-h Показывать хэши файлов.
-m Скрытие записей Майкрософт (подписанных записей при использовании с-v).
-s Проверка цифровых подписей.
-t Показывать метки времени в нормализованном формате UTC (ГГГГММДД-ЧЧММСС).
-u Если включена проверка Вирустотал, показывать файлы, неизвестные Вирустотал или не имеющие нулевого значения, в противном случае показывать только неподписанные файлы.
-x Вывести выходные данные в формате XML.
-v Запрос вирустотал для вредоносных программ на основе хэша файла. Добавьте «r», чтобы открыть отчеты для файлов с ненулевым обнаружением. Файлы, зарегистрированные как непроверенные ранее, будут отправлены в Вирустотал, если указан параметр «s». Примечание. результаты сканирования могут быть недоступны в течение пяти и более минут.
-VT Перед использованием функций Вирустотал необходимо принять условия предоставления услугвирустотал. Если вы не приняли эти условия и не запустили этот параметр, вы будете интерактивно получать запрос.
– z указывает автономную систему Windows для проверки.
user Указывает имя учетной записи пользователя, для которой будут отображаться элементы автозагрузки. Укажите «*», чтобы проверить все профили пользователей.

Overview

If your 1C:Enterprise applied solutions are delivered on a CD or DVD media, you might want to create the AutoRun application. The application is started automatically when you mount the CD or DVD. It offers end users to install both the platform and the applied solutions.

Both the settings and the interface of the AutoRun application are simple. The AutoRun application displays a dialog box with the following elements:

  1. Title
  2. Background
  3. List of available actions with their descriptions
  4. Exit button

All of these elements are customizable. The list of available actions can include installing applied solutions, viewing documentation, and so on.

You can add the following optional features:

  1. Localization and language selection
  2. Sublists to the main menu, which form a multilevel menu
  3. Predefined installation settings for the 1C:Enterprise platform and for the applied solutions (available only for Windows)

The AutoRun application is available for Windows (autorun.exe) and Linux (autorun) operating systems. The Linux application can run on both 32-bit and 64-bit operating systems.

Работа с программой Autoruns

Интерфейс программы

После запуска окно программы будет выглядеть так:

Программа официально поддерживает только английский язык, но и так разобраться с программой несложно.

Все автозапускаемые сервисы в программе разбиты по разделам (1). Открыв вкладку с нужным разделом, в центре окна появится список относящихся к нему сервисов.

Если открыта вкладка Everything (отображение сервисов сразу со всех разделов), то в списке будет видно разделение по разделам (2). Некоторые сервисы отмечены жёлтым цветом (3). Это значит, что файла для запуска этой программы / службы / сервиса в Windows не существует и осталась лишь запись в реестре. Такие записи можно удалить без последствий. Розовым (4) выделены те сервисы, которые программа считает подозрительными. Однако, не стоит ориентироваться целиком на логику программы, поскольку она часто считает подозрительными даже реально безопасные программы.

Всё, что отмечено галочками (как правило, это более 90% из списка) у вас загружается автоматически либо при старте системы, либо при выполнении иных событий.

Удобнее всего пользоваться основным разделом Everything, поскольку через него выводится сразу всё. Отдельно, как правило, может потребоваться заглянуть в разделы:

Scheduled Tasks. Программы, запуск которых запланирован через утилиту Windows «Планировщик задач».

Services. Здесь перечисляются автозапускаемые службы Windows.

Drivers. Тут будут отображаться загружаемые с Windows драйвера (программы для управления устройствами компьютера).

Winlogon. Программы, запускаемые при загрузке Windows.

Logon. Программы, запускаемые при входе пользователя в Windows.

Все остальные разделы проще смотреть через общую вкладку Everything.

Список вывода автозагрузки сделан в виде таблицы. Назначение колонок таблицы:

Autorun Entry. Здесь указан сам автозапускаемый файл, драйвер, сервис.

Description. В этой колонке выводится описание к каждому пункту автозагрузки, из которого часто можно увидеть, для чего служит тот или иной пункт.

Publisher. Издатель файла, т. е. разработчик. Если указано в скобках Verified, значит, издатель проверен, т. е. это оригинальный файл, а не какой-то подменённый (например, вирусом).

Image Path. Путь к файлу в проводнике Windows.

Timestamp. Время модификации файла. Иногда здесь может отображаться некорректное время, например, в будущем.

VirusTotal. Результат проверки файлов автозапуска на возможность заражения через сайт virustotal.com.

Настройка автозагрузки

Чтобы отключить нужные сервисы из автозагрузки просто снимите рядом с ними галочки. Изменения применяются сразу и при следующей загрузке Windows те сервисы, с которых вы ранее сняли галочки уже не будут загружаться.

Работать с автозагрузкой нужно очень внимательно! При отключении многих сервисов ваша система может в итоге не загрузиться!

Настоятельно рекомендую, перед тем как вы начнёте посредством отключения каких-то пунктов из автозагрузки искать источник проблемы, выключить в настройках отображение всех системных сервисов Windows, а именно от компании Microsoft. Для этого откройте меню Options и выберите Hide Microsoft Entries. Пункт Hide Windows Entries выключится автоматически.

Пункт Hide Empty Location оставляйте всегда включённым, поскольку он позволяет скрыть пустые записи.

При отключении сервисов из автозагрузки, соответствующие им записи в реестре Windows всё равно останутся. Чтобы полностью удалить сервис из автозагрузки, кликните по нему правой кнопкой мыши и выберите Delete.

Удалять следует только те пункты автозагрузки, которые остались после удаления самих программ! Удалив что-то из автозагрузки, восстановить это затем уже не получится! Поэтому прежде чем что-то основательно удалять, для начала проверьте работу компьютера просто отключив нужный сервис, не удаляя его.

Чтобы посмотреть, к какому файлу и (или) записи в реестре Windows относится тот или иной пункт автозагрузки, кликните по нему правой кнопкой мыши и выберите один из вариантов: Jump to Entry или Jump to Image.

Выбрав первый вариант, откроется реестр Windows сразу на той записи, которая соответствует выбранному пункту автозапуска.

Выбрав второй вариант, откроется папка проводника Windows с тем файлом, который соответствует выбранному пункту автозапуска.

Это полезно тогда, когда вам нужно знать, что конкретно за файл находится в автозапуске и где он расположен наглядно в проводнике Windows.

Таким образом, вы можете отключать либо ненужные программы, сервисы, драйверы из автозапуска системы, либо методом последовательного отключения (например, по 5-10 шт.) и проверки, находить источник проблемы в работе Windows.

Интерфейс Autoruns

Откроется окно «Autoruns», в котором отобразятся все запущенные процессы в операционной системе Windows. По умолчанию, главное окно открывается во вкладке «Everything».

В самом верху окна программы находится строка меню. Из меню происходит управление программой, выполняются различные действия в приложении с помощью команд: поиск файла, сохранение в файл, открытие созданного ранее снимка мест автозапуска и т. д.

Ниже расположена панель инструментов, с помощью которых можно получить доступ к некоторым востребованным функциям программы: сохранение, поиск, переход на другой уровень, свойства, обновление, удаление. Здесь находится поле «Filter:» (Фильтр) для быстрого поиска объектов автозапуска в окне приложения.

Затем идет панель вкладок. После сканирования системы, Autoruns распределяет полученную информацию по разным вкладкам (местам автозапуска). После перехода в нужную вкладку легче найти необходимую информацию, чем в общем списке.

Основное место занимает рабочая область, в которой отображаются сведения о запущенных программах, службах, драйверах и т. д.

Ниже находится панель подробностей, в которой отображены сведения о выделенном объекте.

В строке состояния показана информация о сборе или завершении сбора сведений о местах автозапуска.

Некоторые элементы автозапуска в Autoruns выделены разными цветами:

  • Красный цвет — у этого элемента отсутствует цифровая подпись Microsoft.
  • Желтый цвет — отсутствующие или перемещенные файлы, информация о которых осталась в реестре.

Если контейнер помечен красным цветом, это не значит, что данный файл является вредоносным программным обеспечением. По какой-то причине у объекта нет подтвержденной цифровой подписи Майкрософт

Обратите внимание на эти файлы, получите информацию о них в интернете

Элементы, выделенные желтым цветом, отключите из автозагрузки, сняв галку, напротив данного объекта. Затем эти записи можно удалить с компьютера.

Suppressing AutoRun Programmatically

There are a variety of situations where AutoRun may need to be suppressed programmatically. Two examples are:

  • Your application has a setup program that requires the user to insert another disc that may contain an Autorun.inf file.
  • During the operation of your application, the user may need to insert another disc that may contain an Autorun.inf file.

In either case, you will normally not want to launch another application while the original is in progress.

Users can manually suppress AutoRun by holding down the SHIFT key when they insert the CD-ROM. However, it is usually preferable to handle this operation programmatically rather than depending on the user.

With systems that have Shell version 4.70 and later, Windows sends a «QueryCancelAutoPlay» message to the foreground window. Your application can respond to this message to suppress AutoRun. This approach is used by system utilities such as the Open common dialog box to disable AutoRun.

The following code fragments illustrate how to set up and handle this message. Your application must be running in the foreground window. First, register «QueryCancelAutoPlay» as a Windows message:

Your application’s window must be in the foreground to receive this message. The message handler should return TRUE to cancel AutoRun and FALSE to enable it. The following code fragment illustrates how to use this message to disable AutoRun.

If your application is using a dialog box and needs to respond to a «QueryCancelAutoPlay» message, it cannot simply return TRUE or FALSE. Instead, call SetWindowLong with nIndex set to DWL_MSGRESULT. Set the dwNewLong parameter to TRUE to cancel AutoRun, and FALSE to enable it. For example, the following sample dialog box procedure cancels AutoRun when it receives a «QueryCancelAutoPlay» message.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector