Админу на заметку - 6. Sysinternals AutoRuns - полный контроль над автозагрузкой.

  • Автор:
sysinternals-autoruns-000.jpg
Каждый администратор знает что проблемы с автозагрузкой способны доставить массу хлопот. Особенно если нужно устранить следы вирусной активности или убрать запуск нежелательных приложений. Стандартные инструменты не дают полного доступа к всем параметрам автозагрузки, а ручное редактирование реестра черевато отказом системы в случае ошибки. Что делать? Использовать небольшую утилиту AutoRuns от Sysinternals.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Можно без преувеличения сказать, что данная утилита дает в руки администратора полный контроль над автозагрузкой, что делает ее уникальным инструментом. Скачать последнюю версию утилиты можно с сайта разработчиков, комплект содержит собственно утилиту и ее версию для работы в командной строке. Рассмотрим возможности AutoRuns подробнее, для примера возьмем реальную систему, в которой после вирусного заражения стали появляться сообщения об ошибках загрузки системных компонентов.

Первый запуск утилиты поражает количеством информации, стартовый экран содержит всю доступную информацию об автозагрузке, при необходимости вы можете выбрать одну из вкладок, каждая из которых содержит информацию об определенном разделе: приложения запускаемые при входе в систему, автозагружаемые компоненты Проводника или IE и т.д. Уже беглый взгляд на первый экран позволяет легко обнаружить виновников происходящего.

sysinternals-autoruns-001.jpg
Да, это тот самый csrcs.exe, запускающийся вместе с оболочкой (не путать с системным процессом csrss.exe), для удаления его из автозагрузки просто снимаем галочку. Все изменения применяются моментально, подтверждать и сохранять их не нужно. Также не будет лишним убрать неработающие записи на отсутствующие компоненты явно вирусного происхождения (выделены желтым).

По умолчанию AutoRuns не удаляет записи, а просто отключает их, что дает возможность включить их загрузку при необходимости. Если же вам нужно удалить запись, то воспользуйтесь командой Delete в контекстном меню (вызывается правой кнопкой мыши) или кнопкой на панели инструментов. Перед удалением не будет лишним сохранить текущую настройку автозагрузки, что поможет быстро откатить изменения, если что-то пойдет не так. Кроме того мы советуем сохранять состояние автозагрузки по еще одной причине, команда Compare в меню File позволяет быстро сравнить текущее состояние автозагрузки с сохраненной копией.

При выборе строки утилита отображает доступную информацию о запускаемом процессе или приложении, а контекстное меню дает возможность быстро перейти к соответствующей записи реестра или найти данный компонент воспользовавшись командами Jump. Если вам нужно больше информации, то воспользуйтесь опцией Search Online, которая произведет поиск по имени интересующего вас компонента в интернет используя настройки вашего браузера (поисковую систему по умолчанию).

sysinternals-autoruns-002.jpg
При запуске AutoRuns от имени Администратора становится доступным еще один пункт меню User, который позволяет быстро перейти к параметрам автозагрузки других пользователей системы.

sysinternals-autoruns-003.jpg
Опция File - Analyze Offline System позволяет получить доступ к автозагрузке выключенной системы, все что вам надо, это указать путь к системный папке и профилю интересующего пользователя. Данная функция может быть полезна в случаях, когда нормальным образом загрузить систему не представляется возможным из-за проблем с автозагрузкой, например из-за SMS-блокировщика или подмены оболочки.

sysinternals-autoruns-004.jpg
Как видим, возможности утилиты никак не соответствуют ее размеру: всего один файл 628 Кб, а возможность запуска без установки как на 32-х так и на 64-х битных системах делают ее предметом первой необходимости в наборе утилит каждого системного администратора.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.


Loading Comments