AutoRuns - это небольшое приложение, не требующее инсталляции, для анализа автозагрузки операционной системы Windows всех версий. Т.е. поможет узнать, какие программы загружаются при включении компьютера, а также выявить вирусы и трояны в автозагрузке. Также программа дает возможность проверить все файлы автозапуска на VirusTotal.
Скачать программу
На официальном сайте доступна англоязычная версия программы, но интерфейс настолько понятен, что не вызывает никаких трудностей при юзании.
После запуска программы откройте настройки: "Options" -> "Scan Options...". Поставьте галку на "Check VirusTotal.com" для сверки хэшей элементов автозапуска с базой онлайн сервиса комплексной проверки на вирусы. Поставьте галку на "Submit Unknown Images" для проверки элементов автозапуска, которые еще никто не проверял на VirusTotal.
И нажмите "Rescan".
После того, как программа проанализирует автозагрузку системы, вы сможете увидеть все то, что запускается вместе с загрузкой Windows. Изучите вкладки "Logon", "Explorer", "Internet Explorer", "Scheduled Tasks", "Services", "Drivers", "Boot Execute", "Winlogon", "KnownDLLs", "Applint", "Image Hijacks".
Вы увидите список файлов в автозапуске и полезную информацию в каждой строке: описание, издатель, путь к файлу. Так как в настройках поставили галку для проверки наличия цифровых подписей, то особое внимание колонке "Publisher": слово (Verified) означает, что файл имеет цифровую подпись (он скорее всего надежный), а сочетание (Not Verified) (или вообще отсутствие информации про цифровую подпись) означает, что у файла нет цифровой подписи и следует проанализировать этот файл.
Утилита AutoRuns с версии 13 проверяет элементы автозапуска на VirusTotal, что заметно облегчает работу по обнаружению зловредов в системе. Поэтому смотрим в строке изучаемого элемента колонку VirusTotal - чем больше антивирусов видят в файле вирус, тем больше вероятность, что данный файл является зловредом.
Полезно знать: Чтобы отображались только элементы с положительным детектированием согласно VirusTotal: "Options" --> "Hide VirusTotal Clean Entries".
Важно: все антивирусы имеют ложные срабатывания, поэтому, если в файле обнаружил вирус только один какой-то малоизвестный антивирус, то стоит дважды подумать удалять его или нет.
Если обнаружили подозрительные файлы: программа AutoRuns позволяет отключать элементы автозапуска, для этого просто снимите галку слева от нужной записи. Советую не полностью удалять запись, а именно снимать с нее галку, чтобы в случае отключения нужной программы, иметь возможность включить ее обратно.
Но перед снятием галки следует убить в памяти процесс зловредного файла. Для этого вызовите Диспетчер задач с помощью одновременного нажатия трех клавиш Ctrl+Alt+Del. Например, ищем в списке файл build_mkl.exe и завершаем его. Если в списке Дистпетчера задач файл не найдете, то просто снимите галку.
Еще полезная информация про AutoRuns:
Нажав правой кнопкой мыши по нужной записи откроется контекстное меню, через которое можно открыть запись в Редакторе реестра, выбрать файл в Проводнике.
Если не получается отключить какую-то запись (например, зловред блокирует отключение своего автозапуска), то загрузитесь в Безопасном режиме Windows, возможно в нем он не будет сопротивляться.
В верхнем меню можно нажать "User" и выбрать нужную учетную запись Windows. Например, если зловред сидит в автозапуске конкретного пользователя.
Программа может подключиться к неактивной Windows, например, при работе с LiveCD: выберите "File" -> "Analyze Offline System...". Это поможет, когда зловред полностью заблокировал загрузку Windows (винлок) или в системе сидит зловред, которые никак не удаляется из активной среды.
Также в разделе меню File можно сохранить образ автозагрузки. Например, чтобы передать его опытному специалисту на анализ.
При использовании данного материала, просьба указывать ссылку на http://av.3dn.ru/
|