Как найти скрытые автозапуски в Windows с помощью Autoruns от Sysinternals

Как найти скрытые автозапуски в Windows с помощью Autoruns от Sysinternals

Если ваш компьютер тормозит при загрузке, в фоне что-то странное запускается, или вы подозреваете, что система заражена — не спешите переустанавливать ОС. Чаще всего проблема кроется не в вирусе, а в незаметных, но вредных автозапусках. Их не видно в стандартном «Пуск → Параметры → Приложения → Автозагрузка». Там только список, который Windows сам решил показать. А настоящие механизмы устойчивости (persistence mechanisms) прячутся глубже — в реестре, службах, планировщике задач, драйверах, даже в DLL-библиотеках, которые подгружаются при запуске проводника. И чтобы их найти, нужен Autoruns от Sysinternals.

Это не просто утилита. Это ваша лупа для расследования. Я использую её каждый раз, когда клиент говорит: «У меня всё нормально, но что-то не так». И 9 из 10 раз — проблема в одном из этих скрытых автозапусков.

Почему стандартные методы не работают

Windows показывает только автозапуски, которые были добавлены через интерфейс пользователя. А злоумышленники, рекламное ПО, даже легальные программы — они все знают: если хочешь остаться в системе незаметно, нужно писать в реестр не туда, где его ищут. Вот где они прячутся:

  • Реестр: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run — да, тут есть, но ещё есть HKEY_LOCAL_MACHINE\...\Run и десятки других ключей, которые Windows не показывает.
  • Службы Windows — если программа запускается как служба, она не попадает в список автозагрузки, но работает при старте системы.
  • Планировщик задач — тут можно настроить запуск не только по расписанию, но и при входе в систему, при подключении USB, при запуске Explorer.
  • DLL-инъекции — вредоносный код подгружается в процессы вроде explorer.exe или svchost.exe.
  • Файлы в папках типа C:\ProgramData\ или C:\Users\Public\ — они не в «Автозагрузке», но запускаются через ссылки в реестре.

Стандартный «Пуск → Автозагрузка» — это как смотреть только на окна дома, а вор — в подвале.

Как установить и запустить Autoruns

Это не установщик. Это один файл — autoruns.exe. Скачайте его с официального сайта Microsoft Sysinternals: https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns. Не скачивайте с третьих сайтов — там могут быть модифицированные версии.

Распакуйте архив. Запустите autoruns.exe от имени администратора — иначе вы не увидите все разделы. Если Windows ругается на «непроверенное приложение» — нажмите «Да». Это легальный инструмент Microsoft, но он работает с реестром на низком уровне, поэтому антивирусы его часто блокируют.

После запуска вы увидите огромный список. Не паникуйте. Это нормально. У меня на чистой Windows 11 — около 200 записей. Не все из них вредные. Главное — понять, что ищете.

Что смотреть в первую очередь

Авторанс показывает всё по вкладкам. Начните с этих:

  1. Logon — это то, что запускается при входе в систему. Тут есть и стандартные вещи вроде OneDrive, но и подозрительные — например, UpdateHelper.exe из C:\Users\Public\. Если вы не устанавливали программу, которая оттуда запускается — это тревожный знак.
  2. Services — службы. Тут ищите незнакомые имена. Особенно если имя — набор случайных символов (например, q7x9k2.exe) или похоже на системную службу, но с опечаткой: svch0st.exe вместо svchost.exe. Проверяйте путь к файлу: настоящие системные службы лежат в C:\Windows\System32\. Всё остальное — подозрительно.
  3. Explorer — это DLL-библиотеки, которые загружаются в проводник. Тут часто прячутся рекламные плагины и шпионские модули. Если вы видите adhelper.dll или browserhelper.dll — это почти всегда вредоносное ПО.
  4. Scheduled Tasks — планировщик задач. Тут могут быть задачи, запускаемые при входе, при подключении к интернету, при запуске USB. Ищите задачи без описания, с именами вроде Update-2024-03-15 и с исполняемым файлом в %TEMP% или C:\Users\Public\.
  5. Winlogon — критически важный раздел. Тут задаются программы, запускаемые при входе в систему до загрузки рабочего стола. Если там есть что-то, кроме userinit.exe и winlogon.exe — это серьёзный инцидент.

Не ищите только по названию. Ищите по пути и содержимому. Злоумышленники часто переименовывают вредоносные файлы под системные — например, spoolsv.exe (это легитимная служба печати) — но лежит в C:\Users\Temp\. Это красный флаг.

Таблица: что смотреть и как понять, что это вредно

Раздел Что искать Легитимный пример Подозрительный пример Что делать
Logon Файлы вне C:\Program Files или C:\Program Files (x86) C:\Program Files\Google\Chrome\Application\chrome.exe C:\Users\Public\Update.exe Удалите, если не знаете, откуда взялось
Services Названия с цифрами/буквами, отсутствие описания, путь в %TEMP% Windows DefenderC:\Windows\System32\svchost.exe WmiPrvSEC:\Users\Temp\q7x9k2.exe Проверьте в VirusTotal, отключите и удалите файл
Explorer DLL-файлы с именами вроде *helper.dll, *browser.dll C:\Program Files\Adobe\Acrobat\AcroIEHelper.dll C:\Users\Default\AppData\Roaming\adhelper.dll Удалите DLL, если не связана с известным ПО
Scheduled Tasks Задачи без описания, запуск при входе, путь в %TEMP% Adobe Desktop ServiceC:\Program Files\Adobe\... Task-2024-03-15%TEMP%\update.exe Отключите, проверьте файл, удалите задачу
Winlogon Любые записи, кроме userinit.exe и winlogon.exe userinit.exe svchost.exe (вне System32) Срочно: отключите, загрузитесь в безопасном режиме, удалите файл

Что выбрать: отключить или удалить?

В Autoruns есть кнопка «Delete» и «Disable». Не спешите удалять. Вот когда что делать:

  • Disable — если вы не уверены. Отключает запись, но не трогает файл. Перезагрузите систему — если всё работает, значит, это не критично. Через неделю — удалите файл вручную, если он не появился снова.
  • Delete — только если вы точно знаете, что это вредоносное ПО, и файл лежит в подозрительном месте (например, %TEMP%, C:\Users\Public\, C:\ProgramData\). Удаляйте файл через Autoruns, а не в проводнике — это удаляет и запись, и файл сразу.

Если вы удалили файл вручную, а запись в Autoruns осталась — это как выкинуть ключ, а замок оставить. Запись снова попытается запустить несуществующий файл — и может вызвать ошибки при загрузке. Autoruns умеет это чистить — используйте его для удаления.

Частые ошибки

Люди делают три ошибки, из-за которых всё идёт не так:

  1. Удаляют всё подряд. Авторанс показывает 200+ записей. Если вы удалите всё, что не знаете — система может не загрузиться. Особенно опасны записи в Winlogon и Services. Не трогайте то, что вы не понимаете — сначала отключите, потом проверьте.
  2. Смотрят только на названия. svchost.exe — это системный процесс. Но если он запускается из C:\Users\Temp\ — это вредоносный файл с тем же именем. Путь важнее названия.
  3. Не перезагружаются после отключения. Некоторые автозапуски работают только при следующей загрузке. Отключили — и сразу думаете, что всё чисто. Нет. Перезагрузите. И только потом делайте выводы.

Ещё одна ошибка — доверять антивирусу. Он может не увидеть скрытый автозапуск, если он не классифицирован как вирус. Autoruns показывает всё — даже то, что антивирус считает «безопасным».

Когда что делать: сценарии

Вот как действовать в разных ситуациях:

  • Ситуация: компьютер тормозит при запуске — проверьте вкладку Logon. Найдите записи с высоким значением в столбце «Startup impact» (если включён). Отключите всё, что не нужно (например, старые обновления, мусорные программы). Перезагрузите — если стало быстрее — удалите файлы.
  • Ситуация: подозреваете вирус, но антивирус ничего не нашёл — проверьте Services и Explorer. Ищите файлы в %TEMP%, C:\Users\Public\, с именами из случайных символов. Загрузите их в VirusTotal (https://www.virustotal.com) — если 5+ антивирусов ругаются — это вредоносное ПО. Удалите через Autoruns.
  • Ситуация: реклама в браузере, даже после сброса настроек — проверьте Explorer. Там ищите DLL-файлы с именами вроде *toolbar.dll, *searchhelper.dll. Удалите их. Также проверьте Scheduled Tasks — часто рекламное ПО добавляет задачи, которые «обновляют» его каждый день.
  • Ситуация: после обновления Windows что-то сломалось — отключите все недавно появившиеся записи в Logon и Services. Иногда обновление устанавливает «помощники» от производителей (например, HP, Lenovo), которые мешают работе. Отключите — если всё заработало — удалите.

Как лучше сделать: практические рекомендации

  • Сделайте скриншот Autoruns на чистой системе — так вы будете знать, что «нормально», а что — нет.
  • Проверяйте Autoruns раз в месяц — особенно если вы скачиваете программы с интернета.
  • Никогда не запускайте Autoruns без прав администратора — вы увидите только половину.
  • Если нашли подозрительный файл — загрузите его в VirusTotal. Не просто удаляйте — узнайте, что это.
  • После удаления — перезагрузитесь. И проверьте, не появился ли файл снова через день. Если появился — значит, есть ещё один механизм устойчивости (например, в реестре или в планировщике). Ищите глубже.
  • Не забывайте про Startup в Task Manager — это тоже часть автозапуска, но Autoruns показывает его вместе с другими, и лучше.

Итог: что делать прямо сейчас

Если вы читаете это — значит, у вас есть подозрения. Вот что делать:

  1. Скачайте Autoruns с официального сайта Microsoft Sysinternals.
  2. Запустите от имени администратора.
  3. Перейдите на вкладку Logon и Services.
  4. Отфильтруйте по столбцу «Image Path» — ищите пути, содержащие %TEMP%, Public, AppData\Local\Temp, Roaming.
  5. Отключите всё, что не понимаете — перезагрузитесь.
  6. Если система работает — удалите файлы вручную. Если нет — включите обратно и ищите дальше.
  7. Проверьте Scheduled Tasks и Explorer — там часто прячется рекламное ПО.

Не бойтесь Autoruns. Это не магия — это просто инструмент. Как отвёртка. Если вы не знаете, что крутить — не крутите. Но если вы видите, что что-то не так — вы теперь знаете, где искать. И вы не будете жертвовать системой, потому что «автообновление» или «антивирус сказал, что всё чисто».

Система — это дом. Autoruns — это ваша карта с подвалами, чердаками и застеклёнными проходами, которые не видны снаружи. Вы теперь знаете, как туда заглянуть.

Информация в этой статье носит ознакомительный характер. Удаление системных файлов или служб может нарушить работу Windows. Если вы не уверены — обратитесь к специалисту по информационной безопасности.

Оцените статью
PEFile — Безопасность и технологии простым языком