11 лет назад 14 июля 2007 в 17:37 58

Управление автозагрузкой

Автор: Сергей Голубев

Разумеется, список программ, загружающихся при старте системы, вовсе не исчерпывается содержимым папки “Автозагрузка”. И даже всем известный msconfig не покажет объективную картину. Полную информацию поможет получить программа Autoruns.

Авторы программы Autoruns (www.microsoft.com/technet/sysinternals/Security/Autoruns.mspx) – Марк Руссинович и Брюс Когсвелл. Имена известные, чтобы сомневаться в качестве продукта. Поэтому обойдемся без дифирамбов в ее адрес, а сразу перейдем к делу.

Хотя в названии приложения отсутствует слово Portable, она принадлежит к этому классу программ. Достаточно распаковать полученный архив, и Autoruns готова к работе. Причем если вы хотите использовать для ее размещения сменный носитель и вопрос экономии места для вас актуален, незачем копировать все четыре файла. Присмотримся к ним повнимательнее.

Autoruns.chm – это просто справка. Очень краткая и на английском языке. К тому же, по всей видимости, она предназначалась для старой версии, поскольку некоторые названия в Help и программе не совпадают. В общем, извлечь из этого документа практическую пользу весьма проблематично.

В файле Eula.txt содержатся лицензионные требования и другая более-менее обязательная в таких случаях информация. Практическую ценность имеет только сообщение о полном отказе авторов нести какую-либо ответственность (включая моральную), если пользователь что-то испортит в своей системе. Мол, программа распространяется бесплатно и без всяких рекламных баннеров, поэтому спросу с нас никакого.

Исполняемых файлов два: autoruns.exe и autorunsc.exe. Первый предлагает воспользоваться графическим интерфейсом, второй предназначен для поклонников старой доброй командной строки. Размер каждого – примерно полмегабайта. Даже на обычную дискету любой из них влезет без вопросов и еще место останется.

Интерфейс Autoruns – окно с шестнадцатью вкладками. Основной таб, который активен по умолчанию, называется Everything. Как нетрудно догадаться, в нем содержится полный список программ и служб, стартующих автоматически. Перечень очень велик, и ориентироваться в нем довольно затруднительно. Конечно, для ищущих что-то конкретное есть функция поиска (File-Find), но надо знать хотя бы ключевое слово. В противном случае придется внимательно просматривать все записи, причем у большинства пользователей терпение лопнет где-то на двадцатом пункте. Поэтому вкладка хоть и основная, но практической пользы от нее немного.

Собственно говоря, для удобства работы и нужны остальные табы. В них дублируется вся информация, но она там уже поделена на разделы, поэтому найти нужное значительно проще.

Вторая вкладка – Logon. Она нужна для отображения автоматически запускаемых программ, записи о которых находятся в стандартных местах (например, в папке автозагрузки). Ждать от ее содержимого каких-то сюрпризов не приходится, ведь большинство указанных там программ установлены самим пользователем. С другой стороны, именно на этой вкладке следует искать программы, устанавливаемые за компанию с нужными приложениями и никакой полезной нагрузки не несущие. Маскировать их разработчики не собираются, поскольку вреда от них никакого. Вот и загружается какая-нибудь ерунда, показывающая погоду в Гонолулу.

Также полезно посмотреть на этот список с точки зрения целесообразности: стоит ли держать в системе того или иного резидента. Например, есть утилиты, ускоряющие запуск программ. Это полезно, если приложение используется часто, а не раз в месяц. Но нет никакого смысла загружать вместе с системой модуль управления ТВ-тюнером, если вы покупали девайс специально для чемпионата мира по хоккею, а остальные передачи вас совершенно не волнуют. Так потихоньку можно освободить зря пропадающие системные ресурсы.

Вкладка Explorer посвящена расширениям оболочки. Их довольно много, поскольку чуть ли не каждая третья программа пытается “осчастливить” потребителя неким дополнительным функционалом контекстного меню файла или папки. Но вовсе не факт, что все это действительно доставляет радость, а не головную боль. Если пустить дело на самотек, то скоро будет не продохнуть от тулбаров, модулей сетевой установки и подобной ерунды.

Учтите, что штатными средствами приложения можно отключить не все расширения. Этим грешат не только бесплатные поделки любителей, но и достаточно популярные программы, продаваемые за деньги. Увы, разработчики все чаще демонстрируют полное неуважение к свободе выбора обычного потребителя, поэтому значение таких инструментов, как Autoruns, растет не по дням, а по часам.

Если вы, невзирая на все предупреждения, продолжаете пользоваться штатным браузером системы Windows, то ни в коем случае не пропускайте вкладку Internet Explorer. Тут отображаются все расширения для этой программы, включая тулбары и интерактивные справочники. Степень наполнения раздела зависит от вашей любви к Internet Explorer. Если она не очень велика, то там будет три-четыре записи о совершенно бесполезных для вас модулях.

А вот вкладка Scheduled Tasks может оказаться совершенно пустой. Но только если вы не пользуетесь стандартным планировщиком системы Windows. А поскольку таких людей большинство, то польза от нее сомнительная. Скорее всего, разработчики включили эту функцию в программу исключительно ради полноты.

Впрочем, чем черт не шутит. Вполне может оказаться, что какая-то вредная утилита обратилась к этому сервису, не спрашивая разрешения пользователя. Идея, кстати, весьма перспективная. Мало кто регулярно просматривает задания планировщика, считая, что там ничего быть не может. Почему бы злоумышленнику этим не воспользоваться?

Вкладка Services сообщит обо всех службах, которые автоматически запускаются при загрузке системы. Разумеется, список, показанный программой Autoruns, будет аналогичен тому, что покажет штатное средство Windows.

Название вкладки Drivers говорит само за себя. Тут расположен список всех зарегистрированных в системе драйверов. Учтите, что в этом качестве выступают не только программы, обеспечивающие работу какой-либо реальной железки. Многие производители ПО используют виртуальные устройства для обеспечения нормальной работы своих приложений. Поэтому не особенно удивляйтесь, если в столбце авторов драйверов вы обнаружите не только Creative и NVIDIA, но и довольно далекие от железных проблем 1С и Acronis. Не спешите принимать эти модули за что-то подозрительное – их удаление чревато потерей работоспособности некоторых приложений.

Как известно, загрузка системы – процесс не мгновенный. При этом максимальную опасность представляют модули, запускаемые в первую очередь – еще до того, как защитные утилиты начнут выполнять свои функции. Они будут отображены во вкладке Boot Execute. В большинстве случаев там будет всего одна запись – autochk.exe. Если это не так, то у вас есть повод для беспокойства.

Одна запись будет и в разделе Image Hijacks. Этот модуль занимается контролем ошибок для некоторых компонентов системы. А вот вкладка AppInit DLLs может быть вообще пустой. В ней должны быть показаны DLL-библиотеки, зарегистрированные в системе как автоматически запускаемые приложения, инициализирующие своих собратьев.

Динамическим библиотекам посвящена вкладка KnownDLLs. Там перечислены все DLL, которые могут вызываться другими приложениями. На этом первая строка табов заканчивается и можно переходить ко второй.

На этапе загрузки системы выводятся различные уведомления. Их список расположен в разделе Winlogon. Учтите, что не все модули могут принадлежать компании Microsoft. Например, если вы используете антивирус Касперского (или производный от этой программы продукт), то в перечне будет название и этой известной компании.

Во вкладке Winsock Providers показаны динамические библиотеки, имеющие отношение к Winsock-протоколам. У этого раздела есть одна интересная особенность. Расположенные там модули можно удалить из списка, а просто деактивировать их загрузку не получится.

Следующий таб – Print Monitors. Все, что относится к сервису спулинга печати, следует искать тут. В LSA Providers показаны библиотеки, отвечающие за аутентификацию Local Security Authority. Наконец, в Network Providers перечислены записи соответствующей ветки реестра.

При таком количестве разделов найти интересующую запись – дело нетрудное. Тем более что в наборе инструментариев программы Autoruns имеются дополнительные средства, позволяющие обнаружить подозрительный модуль в кратчайшие сроки.

В опциях приложения имеются три режима работы, которые по умолчанию выключены: Include Empty Locations, Verify Code Signatures и Hide Signed Microsoft Entries. Если активировать первый, то список дополнится пустыми разделами реестра, в которых в принципе могут содержаться записи о запуске приложений. Они вполне обоснованно считаются потенциально опасными и лучше их удалить от греха подальше.

Включение второй опции предписывает программе автоматически проверять цифровые подписи при сканировании. С одной стороны, процесс длится дольше обычного, с другой – выдается дополнительная и очень полезная информация. Очевидно, что на верифицированные модули можно не обращать особого внимания при поиске вредоносного кода. А вот к объектам, которым не доверяет Microsoft, стоит присмотреться – именно в них может содержаться что-то нехорошее.

Третья опция предписывает вообще исключить из списка все, что имеет отношение к компании Microsoft. Собственно говоря, она весьма логична. Если уж пользоваться системой Windows, то следует отказаться от лицемерия и перестать воротить нос от продукции этой компании. Тем более что такой режим работы позволяет существенно сократить список объектов. Причем убрать оттуда такие, для которых вероятность наличия вредоносного кода минимальна. Согласитесь, в первую очередь все-таки стоит проверить очевидное, а уже потом раздумывать над возможностью существования хакера, подделавшего подпись Microsoft, а для пущей важности посетившего пластического хирурга, чтобы быть похожим на Билла Гейтса.

После изменения опций следует пересканировать систему (File-Refresh), тогда список будет обновлен. Перезапускать саму программу никакой необходимости нет.

Так или иначе, но через некоторое время сформируется некий список модулей, вызывающих подозрения. Надо ли их удалить без лишних размышлений или стоит еще немного поработать с Autoruns? Второй путь более правильный, поскольку не все инструменты были задействованы.

Получить подробную информацию о подозрительном модуле поможет функция Search Online. Выделите интересующую вас строку и нажмите на Ctrl-M. В браузере откроется страница поиска сервиса search.msn.com, на которой будет куча ссылок об этом объекте. Читайте и анализируйте.

На этом информационно-теоретическая составляющая программы Autoruns закончилась, и можно приступать к активным действиям. Самое простое – снять галку с нежелательного объекта и перезагрузить компьютер. Модуль не будет автоматически загружен и, если никаких негативных последствий это не несет, то не очень он и нужен.

Кстати, из этого вовсе не следует, что модуль нужно немедленно удалить, поскольку в нем содержится что-то нехорошее. С одной стороны, все бесполезное вредно хотя бы потому, что оно зря кушает системные ресурсы, с другой – выше уже писалось про редко используемые функции. В списке автозагрузки им не место, но идти на радикальные меры смысла нет – когда-нибудь пригодится.

Обратите внимание, что для деактивации автоматической загрузки модуля не следует нажимать Save. Эта функция предназначена для запоминания списка автозагрузки. Поэтому программой Autoruns лучше всего пользоваться сразу после установки Windows, когда всякая зараза еще не успела слететься на огонек.

Затем периодически задействуйте функцию Compare, чтобы сравнить текущую конфигурацию с первоначальной. Все изменения проверяйте – регулярная профилактика всегда надежней срочного лечения.

Хотя бывают случаи, когда необходимо хирургическое вмешательство. Собственного инструмента редактирования реестра Autoruns не имеет. Да и не слишком он нужен, ведь штатное средство Windows вполне справится с этой задачей. А чтобы не искать нужную (точнее, ненужную) запись для ее последующего удаления, необходимо воспользоваться функцией Jump to. Она откроет редактор реестра именно там, где следует.