Większość maniaków ma swoje narzędzie wyboru, aby poradzić sobie z procesami, które uruchamiają się automatycznie, niezależnie od tego, czy jest to MS Config, CCleaner, czy nawet Task Manager w Windows 8 - ale żaden z nich nie ma tak dużej mocy jak Autoruns, co jest również naszą lekcją Geek School dla dzisiaj.
NAWIGACJA SZKOLNAW dawnych czasach oprogramowanie uruchamiało się automatycznie, dodając wpis do folderu Autostart w menu Start lub dodając wartość do klucza Run w rejestrze, ale ponieważ ludzie i oprogramowanie stali się bardziej doświadczeni w znajdowaniu niechcianych wpisów i usuwaniu ich , twórcy wątpliwego oprogramowania zaczęli znajdować sposoby na coraz bardziej podstępne.
Te cieniste firmy typu crapware zaczęły zastanawiać się, jak automatycznie załadować swoje oprogramowanie za pomocą obiektów pomocniczych przeglądarki, usług, sterowników, zaplanowanych zadań, a nawet za pomocą bardzo zaawansowanych technik, takich jak przechwytywanie obrazów i AppInit_dlls.
Sprawdzenie każdego z tych warunków ręcznie byłoby nie tylko czasochłonne, ale prawie niemożliwe dla przeciętnego człowieka.
Tam właśnie pojawia się Autoruns i oszczędza cały dzień. Oczywiście można użyć Eksploratora procesów, aby przejrzeć listę procesów i zagłębić się w wątki i uchwyty, a Monitor procesu może dokładnie określić, które klucze rejestru są otwierane przez proces i pokazywać niewiarygodne ilości informacji. Ale żadna z nich nie zatrzymuje ponownego ładowania crapware lub złośliwego oprogramowania przy następnym uruchomieniu komputera.
Oczywiście mądrą strategią byłoby wykorzystanie wszystkich trzech elementów. Process Explorer widzi to, co aktualnie działa i zużywa swój procesor i pamięć, monitor procesu widzi, co robi aplikacja pod maską, a następnie Autoruns przychodzi, aby oczyścić rzeczy, aby nie wracały.
Autoruns pozwala zobaczyć prawie wszystkie rzeczy, które są automatycznie ładowane na twoim komputerze, i wyłączyć je tak łatwo, jak kliknięcie pola wyboru. Jest niezwykle łatwy w użyciu i prawie nie wymaga objaśnień, z wyjątkiem niektórych naprawdę skomplikowanych rzeczy, które musisz znać, aby zrozumieć, co niektóre z kart mają na myśli. Tego właśnie naucza ta lekcja.
Możesz pobrać narzędzie Autoruns ze strony internetowej SysInternals, podobnie jak całą resztę i uruchomić je bez instalowania. Będziesz chciał to zrobić przed kontynuowaniem.
Uwaga: Autoruns nie wymaga działania jako administrator, ale realistycznie ma to sens, aby to zrobić, ponieważ istnieje kilka funkcji, które nie będą działały w inny sposób, i istnieje duża szansa, że Twoje złośliwe oprogramowanie działa również jako administrator.
Po pierwszym uruchomieniu interfejsu zobaczysz mnóstwo kart i listę rzeczy uruchamianych automatycznie na twoim komputerze. Domyślna zakładka Wszystko pokazuje wszystko z każdej karty, ale może być trochę myląca i długa, więc radzimy, aby po prostu przejść przez każdą kartę osobno.
Warto zauważyć, że domyślnie Autoruns ukrywa wszystko, co jest wbudowane w system Windows i jest ustawione na automatyczne uruchamianie. Możesz włączyć wyświetlanie tych elementów w opcjach, ale nie zalecamy tego.
Aby wyłączyć dowolny element z listy, możesz po prostu usunąć to pole wyboru. To wszystko, co musisz zrobić, po prostu przejrzyj listę i usuń wszystko, czego nie potrzebujesz, uruchom ponownie komputer, a następnie uruchom go ponownie, aby upewnić się, że wszystko jest w porządku.
Uwaga:niektóre złośliwe programy będą stale monitorować lokalizacje, w których wywołują autostart, i natychmiast przywracają wartość. Możesz użyć klawisza F5, aby ponownie przeskanować i sprawdzić, czy któryś z wpisów wrócił po ich wyłączeniu. Jeśli któryś z nich pojawił się ponownie, powinieneś użyć Eksploratora procesów, aby zawiesić lub zabić to złośliwe oprogramowanie, zanim go tutaj wyłączysz.
Podobnie jak większość narzędzi SysInternals, elementy na liście mogą mieć różne kolory, a oto co mają na myśli:
Podobnie jak większość narzędzi SysInternals, można kliknąć prawym przyciskiem myszy dowolny wpis i wykonać kilka czynności, w tym przeskoczyć do wpisu lub obrazu (rzeczywisty plik w Eksploratorze). Możesz wyszukiwać w trybie online nazwę procesu lub dane w kolumnie, zobaczyć szczegółowe właściwości lub sprawdzić, czy dany wpis jest uruchomiony, wykonując szybkie wyszukiwanie w Eksploratorze procesów - chociaż wiele procesów ma program ładujący, który uruchamia coś innego przed wyjście, więc tylko dlatego, że ta funkcja nie pokazuje żadnych wyników, nic nie znaczy.
Po kliknięciu przycisku Przejdź do wpisu zostaniesz przeniesiony bezpośrednio do Edytora rejestru, gdzie zobaczysz ten konkretny klucz rejestru i rozejrzeć się. Jeśli wpis był czymś innym, możesz zostać przeniesiony do innego narzędzia, takiego jak Harmonogram zadań. Rzeczywistość jest taka, że przez większość czasu Autoruns wyświetla wszystkie te same informacje bezpośrednio w interfejsie, więc zwykle nie musisz się martwić, chyba że chcesz dowiedzieć się więcej.
Menu użytkownika umożliwia analizę innego konta użytkownika, co może być bardzo przydatne, jeśli załadowałeś autouruchamianie na innym koncie na tym samym komputerze. Warto zauważyć, że oczywiście musisz być administratorem, aby zobaczyć inne konta użytkowników na komputerze.
Element menu Opcje filtrowania przenosi użytkownika do panelu opcji, w którym można wybrać jedną bardzo użyteczną opcję: Weryfikuj podpisy kodu. Spowoduje to sprawdzenie, czy każdy podpis cyfrowy jest analizowany i weryfikowany, i wyświetla wyniki bezpośrednio w oknie. Zauważ, że wszystkie elementy w kolorze różowym na poniższym zrzucie ekranu nie są zweryfikowane lub informacje o wydawcy nie istnieją.
I dla dodatkowego kredytu, możesz zauważyć, że ten zrzut ekranu poniżej jest prawie taki sam jak ten na początku, z wyjątkiem tego, że niektóre z elementów na liście nie są oznaczone jako różowe. Różnica polega na tym, że domyślnie bez włączonej opcji Weryfikuj podpisy kodu funkcja autouruchamiania ostrzega Cię tylko o różowym wierszu, jeśli nie ma informacji o wydawcy.
Wyobraź sobie, że komputer twojego przyjaciela jest całkowicie pomieszany i albo nie uruchomi się, albo po prostu uruchomi się tak wolno, że naprawdę go nie wykorzystasz. Próbowałeś trybu awaryjnego i opcji odzyskiwania, takich jak Przywracanie systemu, ale to nie ma znaczenia, ponieważ nie nadaje się do użytku.
Zamiast wyciągać kartę "reinstaluj", która często jest po prostu kartą "Poddaję się", można wyrwać twardy dysk i podłączyć go do komputera stacjonarnego lub laptopa za pomocą poręcznej stacji dysków twardych USB. Masz jeden, prawda? Następnie wystarczy załadować Autoruns i przejść do Plik -> Analizuj system offline.
Przeglądaj, aby znaleźć katalog Windows na drugim dysku twardym i profil użytkownika, którego próbujesz zdiagnozować, i kliknij OK, aby rozpocząć.
Oczywiście będziesz mieć dostęp do zapisu na dysku, ponieważ będziesz chciał zapisać ustawienia, aby usunąć wszelkie bzdury, które znalazłeś.
Opcja Plik -> Wydaje się nieistotna, ale może być jednym z najpotężniejszych sposobów analizy komputera i sprawdzenia, co zostało dodane od czasu ostatniego skanowania lub porównania ze znanym czystym komputerem.
Aby skorzystać z tej funkcji, po prostu wczytaj autouruchamianie na komputerze, który próbujesz obejrzeć, lub w trybie offline opisanym wcześniej, a następnie wybierz Plik -> Porównaj. Wszystko, co zostało dodane od porównywalnej wersji pliku, pojawi się na zielono. To takie proste. Aby zapisać nową wersję, użyj opcji Plik -> Zapisz.
Jeśli naprawdę chcesz być profesjonalistą, możesz zapisać czystą konfigurację z nowej instalacji systemu Windows i umieścić ją na dysku flash, aby zabrać ze sobą. Zapisz nową wersję za każdym razem, gdy po raz pierwszy dotkniesz komputera, aby się upewnić, że możesz szybko zidentyfikować wszystkie nowe crapware dodane przez właściciela.
Jak już widzieliście, Autoruns jest bardzo prostym, ale potężnym narzędziem, z którego pewnie może korzystać prawie każdy. To znaczy, wszystko co musisz zrobić, to odznaczyć pole, prawda? Przydaje się jednak więcej informacji o tym, co oznaczają te wszystkie karty, więc postaramy się Cię tutaj nauczyć.
Następna strona: logowanie, zaplanowane zadania i przechwytywanie obrazu
