Autoruns for windows

简介

　　Autorunsfor Windows 是 Mark Russinovich 和Bryce Cogswell 开发的一款软件，它能用于显示在 Windows启动或登录时自动运行的程序，并且允许用户有选择地禁用或删除它们，例如那些在“启动”文件夹和注册表相关键中的程序。此外，Autoruns还可以修改包括：Windows 资源管理器的 Shell 扩展（如右键弹出菜单）、IE浏览器插件（如工具栏扩展）、系统服务和设备驱动程序、计划任务等多种不同的自启动程序。

Autoruns 作为Sysinternals Suite （故障诊断工具套装）的一部分，现在的最新发布是9.57 版本，可运行于 WindowsXP、WindowsServer 2003 和更高版本的 Windows 操作系统。该软件还包括一个相同功能的命令行版本Autorunsc，可以把结果报表以 CSV 格式输出。

AutoRuns介绍

　程序从网站下载解压后有以下四个文件，主要如下：

autoruns.chm
帮助文件

Autoruns.exe
windows下运行的界面程

Autorunsc.exe
dos模式下运行的控制端程序

Eula
许可协议

一、菜单-操作（Entry）（实际上也是右键菜单）

删除（Delete）：直接删除被选中的启动项。（说明：如果不能确认，请先将启动前的勾取消。）

复制（Copy）：复制选中的内容。

校验（Verify）：对被选中的启动项程序进行签名校验。如果通过，则在发行商中显示“（已校验）”。不能通过，则显示“（未校验）”。

注册表（Jump to）：直接打开注册表编辑器（Regedit.exe）程序，并定位在该启动项所在注册表的位置。

google查找（Search online）：在google中搜索内容。。。。。。

进程探测器rocess Explorer）：进程管理器。

属性（Properties）：直接显示该启动项程序的文件属性。通过对文件的版本时间等信息做进一步的判断。

二、菜单-选项（Options）软件设置

包含空白启动位置（Include Empty Locations）：（默认关闭，）为了方便查找，该选项不推鉴勾选。

校验码签名（Verify Code Signatures ）：在使用“选项”-“校验码签名”后，刷新或重新打开autoruns，都会对每个启动项程序校验其签名。如果通过，则在发行商中显示“（已校验）”。不能通过，则显示“（未校验）”。(可以据此参考微软文件是否被修改或被替换，注意的是如果“（未校验）”显示过多，可能是你的系统是网上常见的Ghost美化版，这些版本为了美化而大量修改了系统文件。对于受系统保护的文件的任何修改，都将使该文件无法通过签名验证。还有极个别的系统文件，由于缺少安全编录而无法通过签名验证，多见于SP3下。以上所说的情况同时也会发生在本文提到的其他相关软件上，需要特别注意！)

隐藏微软或window项目：（默认关闭），简洁显示会过滤掉微软文件不显示，方便查找病毒进程、文件和模块。

字体（Font）：设置显示字体。

下面我们来重点关注以下图片中的选中的项目：

二、
登陆（重点关注检查里面的异常添加的启动项）

这里显示的是常规的启动项位置，即运行Msconfig.exe后，在“启动”中看到的。但在Msconfig里隐藏了三个系统关键启动项：

rdpclip（RDP Clip MonitorMicrosoft Corporation）C:\windows\system32\rdpclip.exe

userinit（Userinit LogonApplication Microsoft Corporation）C:\windows\system32\userinit.exe

Explorer（Windows ExplorerMicrosoft Corporation）C:\windows\explorer.exe

如无特殊情况，请不要对这3个启动项进行任何修改！

•       进程文件：rdpclip 或者rdpclip.exe

•       进程名称：FileCopy

•       描述：rdpclip.exe用于文件复制。它用于从服务器到本地拷贝粘贴文件。这个程序对你系统的正常运行是非常重要的。

•       出品者：Microsoft

•       属于： Windows

•       进程文件：userinit或者 userinit.exe

•       进程名称：UserInitProcess

•       描述：Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序，例如在建立网络链接和Windows壳的启动。

•       出品者：Microsoft Corp

•       属于： Windows

•       进程文件：explorer或者 explorer.exe

•       进程名称：MicrosoftWindows Explorer

•       描述：explorer.exe是Windows程序管理器或者Windows资源管理器，它用于管理Windows图形壳，包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致Windows图形界面无法适用。

•       出品者：Microsoft Corp.

•       属于： MicrosoftWindows Operating System

三、
IE 浏览器（Internet Explorer）

　这里显示的是Internet Explorer 上加载的第三方dll模块。

四、镜像劫持

　这里显示的是 NTSD 及映像劫持相关的启动。

在正常的情況下，Autoruns之“Image hijacks”(镜像劫持)页面內显示之项目为“Your Image File Name Herewithout a path”，或为空白页面沒有任何资料。而其他出現此页面的项目，都为恶意程序可全部删除。

验证代码签名、隐藏微软和windows项目

注：重点检查未验证的非微软的项目，勾选以上两选过滤后，需及时刷新数据

3.
禁止、启动、删除某个选项或插件程序

         　　　　　　Autoruns for windows

简介

　　Autorunsfor Windows 是 Mark Russinovich 和Bryce Cogswell 开发的一款软件，它能用于显示在 Windows启动或登录时自动运行的程序，并且允许用户有选择地禁用或删除它们，例如那些在“启动”文件夹和注册表相关键中的程序。此外，Autoruns还可以修改包括：Windows 资源管理器的 Shell 扩展（如右键弹出菜单）、IE浏览器插件（如工具栏扩展）、系统服务和设备驱动程序、计划任务等多种不同的自启动程序。

Autoruns 作为Sysinternals Suite （故障诊断工具套装）的一部分，现在的最新发布是9.57 版本，可运行于 WindowsXP、WindowsServer 2003 和更高版本的 Windows 操作系统。该软件还包括一个相同功能的命令行版本Autorunsc，可以把结果报表以 CSV 格式输出。

AutoRuns介绍

　程序从网站下载解压后有以下四个文件，主要如下：

autoruns.chm
帮助文件

Autoruns.exe
windows下运行的界面程

Autorunsc.exe
dos模式下运行的控制端程序

Eula
许可协议

一、菜单-操作（Entry）（实际上也是右键菜单）

删除（Delete）：直接删除被选中的启动项。（说明：如果不能确认，请先将启动前的勾取消。）

复制（Copy）：复制选中的内容。

校验（Verify）：对被选中的启动项程序进行签名校验。如果通过，则在发行商中显示“（已校验）”。不能通过，则显示“（未校验）”。

注册表（Jump to）：直接打开注册表编辑器（Regedit.exe）程序，并定位在该启动项所在注册表的位置。

google查找（Search online）：在google中搜索内容。。。。。。

进程探测器rocess Explorer）：进程管理器。

属性（Properties）：直接显示该启动项程序的文件属性。通过对文件的版本时间等信息做进一步的判断。

二、菜单-选项（Options）软件设置

包含空白启动位置（Include Empty Locations）：（默认关闭，）为了方便查找，该选项不推鉴勾选。

校验码签名（Verify Code Signatures ）：在使用“选项”-“校验码签名”后，刷新或重新打开autoruns，都会对每个启动项程序校验其签名。如果通过，则在发行商中显示“（已校验）”。不能通过，则显示“（未校验）”。(可以据此参考微软文件是否被修改或被替换，注意的是如果“（未校验）”显示过多，可能是你的系统是网上常见的Ghost美化版，这些版本为了美化而大量修改了系统文件。对于受系统保护的文件的任何修改，都将使该文件无法通过签名验证。还有极个别的系统文件，由于缺少安全编录而无法通过签名验证，多见于SP3下。以上所说的情况同时也会发生在本文提到的其他相关软件上，需要特别注意！)

隐藏微软或window项目：（默认关闭），简洁显示会过滤掉微软文件不显示，方便查找病毒进程、文件和模块。

字体（Font）：设置显示字体。

下面我们来重点关注以下图片中的选中的项目：

二、
登陆（重点关注检查里面的异常添加的启动项）

这里显示的是常规的启动项位置，即运行Msconfig.exe后，在“启动”中看到的。但在Msconfig里隐藏了三个系统关键启动项：

rdpclip（RDP Clip MonitorMicrosoft Corporation）C:\windows\system32\rdpclip.exe

userinit（Userinit LogonApplication Microsoft Corporation）C:\windows\system32\userinit.exe

Explorer（Windows ExplorerMicrosoft Corporation）C:\windows\explorer.exe

如无特殊情况，请不要对这3个启动项进行任何修改！

•       进程文件：rdpclip 或者rdpclip.exe

•       进程名称：FileCopy

•       描述：rdpclip.exe用于文件复制。它用于从服务器到本地拷贝粘贴文件。这个程序对你系统的正常运行是非常重要的。

•       出品者：Microsoft

•       属于： Windows

•       进程文件：userinit或者 userinit.exe

•       进程名称：UserInitProcess

•       描述：Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序，例如在建立网络链接和Windows壳的启动。

•       出品者：Microsoft Corp

•       属于： Windows

•       进程文件：explorer或者 explorer.exe

•       进程名称：MicrosoftWindows Explorer

•       描述：explorer.exe是Windows程序管理器或者Windows资源管理器，它用于管理Windows图形壳，包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致Windows图形界面无法适用。

•       出品者：Microsoft Corp.

•       属于： MicrosoftWindows Operating System

三、
IE 浏览器（Internet Explorer）

　这里显示的是Internet Explorer 上加载的第三方dll模块。

四、镜像劫持

　这里显示的是 NTSD 及映像劫持相关的启动。

在正常的情況下，Autoruns之“Image hijacks”(镜像劫持)页面內显示之项目为“Your Image File Name Herewithout a path”，或为空白页面沒有任何资料。而其他出現此页面的项目，都为恶意程序可全部删除。

验证代码签名、隐藏微软和windows项目

注：重点检查未验证的非微软的项目，勾选以上两选过滤后，需及时刷新数据

3.
禁止、启动、删除某个选项或插件程序