- Как найти скрытые автозапуски в Windows с помощью Autoruns от Sysinternals
- Почему стандартные методы не работают
- Как установить и запустить Autoruns
- Что смотреть в первую очередь
- Таблица: что смотреть и как понять, что это вредно
- Что выбрать: отключить или удалить?
- Частые ошибки
- Когда что делать: сценарии
- Как лучше сделать: практические рекомендации
- Итог: что делать прямо сейчас
Как найти скрытые автозапуски в Windows с помощью Autoruns от Sysinternals
Если ваш компьютер тормозит при загрузке, в фоне что-то странное запускается, или вы подозреваете, что система заражена — не спешите переустанавливать ОС. Чаще всего проблема кроется не в вирусе, а в незаметных, но вредных автозапусках. Их не видно в стандартном «Пуск → Параметры → Приложения → Автозагрузка». Там только список, который Windows сам решил показать. А настоящие механизмы устойчивости (persistence mechanisms) прячутся глубже — в реестре, службах, планировщике задач, драйверах, даже в DLL-библиотеках, которые подгружаются при запуске проводника. И чтобы их найти, нужен Autoruns от Sysinternals.
Это не просто утилита. Это ваша лупа для расследования. Я использую её каждый раз, когда клиент говорит: «У меня всё нормально, но что-то не так». И 9 из 10 раз — проблема в одном из этих скрытых автозапусков.
Почему стандартные методы не работают
Windows показывает только автозапуски, которые были добавлены через интерфейс пользователя. А злоумышленники, рекламное ПО, даже легальные программы — они все знают: если хочешь остаться в системе незаметно, нужно писать в реестр не туда, где его ищут. Вот где они прячутся:
- Реестр:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run— да, тут есть, но ещё естьHKEY_LOCAL_MACHINE\...\Runи десятки других ключей, которые Windows не показывает. - Службы Windows — если программа запускается как служба, она не попадает в список автозагрузки, но работает при старте системы.
- Планировщик задач — тут можно настроить запуск не только по расписанию, но и при входе в систему, при подключении USB, при запуске Explorer.
- DLL-инъекции — вредоносный код подгружается в процессы вроде
explorer.exeилиsvchost.exe. - Файлы в папках типа
C:\ProgramData\илиC:\Users\Public\— они не в «Автозагрузке», но запускаются через ссылки в реестре.
Стандартный «Пуск → Автозагрузка» — это как смотреть только на окна дома, а вор — в подвале.
Как установить и запустить Autoruns
Это не установщик. Это один файл — autoruns.exe. Скачайте его с официального сайта Microsoft Sysinternals: https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns. Не скачивайте с третьих сайтов — там могут быть модифицированные версии.
Распакуйте архив. Запустите autoruns.exe от имени администратора — иначе вы не увидите все разделы. Если Windows ругается на «непроверенное приложение» — нажмите «Да». Это легальный инструмент Microsoft, но он работает с реестром на низком уровне, поэтому антивирусы его часто блокируют.
После запуска вы увидите огромный список. Не паникуйте. Это нормально. У меня на чистой Windows 11 — около 200 записей. Не все из них вредные. Главное — понять, что ищете.
Что смотреть в первую очередь
Авторанс показывает всё по вкладкам. Начните с этих:
- Logon — это то, что запускается при входе в систему. Тут есть и стандартные вещи вроде OneDrive, но и подозрительные — например,
UpdateHelper.exeизC:\Users\Public\. Если вы не устанавливали программу, которая оттуда запускается — это тревожный знак. - Services — службы. Тут ищите незнакомые имена. Особенно если имя — набор случайных символов (например,
q7x9k2.exe) или похоже на системную службу, но с опечаткой:svch0st.exeвместоsvchost.exe. Проверяйте путь к файлу: настоящие системные службы лежат вC:\Windows\System32\. Всё остальное — подозрительно. - Explorer — это DLL-библиотеки, которые загружаются в проводник. Тут часто прячутся рекламные плагины и шпионские модули. Если вы видите
adhelper.dllилиbrowserhelper.dll— это почти всегда вредоносное ПО. - Scheduled Tasks — планировщик задач. Тут могут быть задачи, запускаемые при входе, при подключении к интернету, при запуске USB. Ищите задачи без описания, с именами вроде
Update-2024-03-15и с исполняемым файлом в%TEMP%илиC:\Users\Public\. - Winlogon — критически важный раздел. Тут задаются программы, запускаемые при входе в систему до загрузки рабочего стола. Если там есть что-то, кроме
userinit.exeиwinlogon.exe— это серьёзный инцидент.
Не ищите только по названию. Ищите по пути и содержимому. Злоумышленники часто переименовывают вредоносные файлы под системные — например, spoolsv.exe (это легитимная служба печати) — но лежит в C:\Users\Temp\. Это красный флаг.
Таблица: что смотреть и как понять, что это вредно
| Раздел | Что искать | Легитимный пример | Подозрительный пример | Что делать |
|---|---|---|---|---|
| Logon | Файлы вне C:\Program Files или C:\Program Files (x86) |
C:\Program Files\Google\Chrome\Application\chrome.exe |
C:\Users\Public\Update.exe |
Удалите, если не знаете, откуда взялось |
| Services | Названия с цифрами/буквами, отсутствие описания, путь в %TEMP% |
Windows Defender → C:\Windows\System32\svchost.exe |
WmiPrvSE → C:\Users\Temp\q7x9k2.exe |
Проверьте в VirusTotal, отключите и удалите файл |
| Explorer | DLL-файлы с именами вроде *helper.dll, *browser.dll |
C:\Program Files\Adobe\Acrobat\AcroIEHelper.dll |
C:\Users\Default\AppData\Roaming\adhelper.dll |
Удалите DLL, если не связана с известным ПО |
| Scheduled Tasks | Задачи без описания, запуск при входе, путь в %TEMP% |
Adobe Desktop Service → C:\Program Files\Adobe\... |
Task-2024-03-15 → %TEMP%\update.exe |
Отключите, проверьте файл, удалите задачу |
| Winlogon | Любые записи, кроме userinit.exe и winlogon.exe |
userinit.exe |
svchost.exe (вне System32) |
Срочно: отключите, загрузитесь в безопасном режиме, удалите файл |
Что выбрать: отключить или удалить?
В Autoruns есть кнопка «Delete» и «Disable». Не спешите удалять. Вот когда что делать:
- Disable — если вы не уверены. Отключает запись, но не трогает файл. Перезагрузите систему — если всё работает, значит, это не критично. Через неделю — удалите файл вручную, если он не появился снова.
- Delete — только если вы точно знаете, что это вредоносное ПО, и файл лежит в подозрительном месте (например,
%TEMP%,C:\Users\Public\,C:\ProgramData\). Удаляйте файл через Autoruns, а не в проводнике — это удаляет и запись, и файл сразу.
Если вы удалили файл вручную, а запись в Autoruns осталась — это как выкинуть ключ, а замок оставить. Запись снова попытается запустить несуществующий файл — и может вызвать ошибки при загрузке. Autoruns умеет это чистить — используйте его для удаления.
Частые ошибки
Люди делают три ошибки, из-за которых всё идёт не так:
- Удаляют всё подряд. Авторанс показывает 200+ записей. Если вы удалите всё, что не знаете — система может не загрузиться. Особенно опасны записи в Winlogon и Services. Не трогайте то, что вы не понимаете — сначала отключите, потом проверьте.
- Смотрят только на названия.
svchost.exe— это системный процесс. Но если он запускается изC:\Users\Temp\— это вредоносный файл с тем же именем. Путь важнее названия. - Не перезагружаются после отключения. Некоторые автозапуски работают только при следующей загрузке. Отключили — и сразу думаете, что всё чисто. Нет. Перезагрузите. И только потом делайте выводы.
Ещё одна ошибка — доверять антивирусу. Он может не увидеть скрытый автозапуск, если он не классифицирован как вирус. Autoruns показывает всё — даже то, что антивирус считает «безопасным».
Когда что делать: сценарии
Вот как действовать в разных ситуациях:
- Ситуация: компьютер тормозит при запуске — проверьте вкладку Logon. Найдите записи с высоким значением в столбце «Startup impact» (если включён). Отключите всё, что не нужно (например, старые обновления, мусорные программы). Перезагрузите — если стало быстрее — удалите файлы.
- Ситуация: подозреваете вирус, но антивирус ничего не нашёл — проверьте Services и Explorer. Ищите файлы в
%TEMP%,C:\Users\Public\, с именами из случайных символов. Загрузите их в VirusTotal (https://www.virustotal.com) — если 5+ антивирусов ругаются — это вредоносное ПО. Удалите через Autoruns. - Ситуация: реклама в браузере, даже после сброса настроек — проверьте Explorer. Там ищите DLL-файлы с именами вроде
*toolbar.dll,*searchhelper.dll. Удалите их. Также проверьте Scheduled Tasks — часто рекламное ПО добавляет задачи, которые «обновляют» его каждый день. - Ситуация: после обновления Windows что-то сломалось — отключите все недавно появившиеся записи в Logon и Services. Иногда обновление устанавливает «помощники» от производителей (например, HP, Lenovo), которые мешают работе. Отключите — если всё заработало — удалите.
Как лучше сделать: практические рекомендации
- Сделайте скриншот Autoruns на чистой системе — так вы будете знать, что «нормально», а что — нет.
- Проверяйте Autoruns раз в месяц — особенно если вы скачиваете программы с интернета.
- Никогда не запускайте Autoruns без прав администратора — вы увидите только половину.
- Если нашли подозрительный файл — загрузите его в VirusTotal. Не просто удаляйте — узнайте, что это.
- После удаления — перезагрузитесь. И проверьте, не появился ли файл снова через день. Если появился — значит, есть ещё один механизм устойчивости (например, в реестре или в планировщике). Ищите глубже.
- Не забывайте про Startup в Task Manager — это тоже часть автозапуска, но Autoruns показывает его вместе с другими, и лучше.
Итог: что делать прямо сейчас
Если вы читаете это — значит, у вас есть подозрения. Вот что делать:
- Скачайте Autoruns с официального сайта Microsoft Sysinternals.
- Запустите от имени администратора.
- Перейдите на вкладку Logon и Services.
- Отфильтруйте по столбцу «Image Path» — ищите пути, содержащие
%TEMP%,Public,AppData\Local\Temp,Roaming. - Отключите всё, что не понимаете — перезагрузитесь.
- Если система работает — удалите файлы вручную. Если нет — включите обратно и ищите дальше.
- Проверьте Scheduled Tasks и Explorer — там часто прячется рекламное ПО.
Не бойтесь Autoruns. Это не магия — это просто инструмент. Как отвёртка. Если вы не знаете, что крутить — не крутите. Но если вы видите, что что-то не так — вы теперь знаете, где искать. И вы не будете жертвовать системой, потому что «автообновление» или «антивирус сказал, что всё чисто».
Система — это дом. Autoruns — это ваша карта с подвалами, чердаками и застеклёнными проходами, которые не видны снаружи. Вы теперь знаете, как туда заглянуть.
Информация в этой статье носит ознакомительный характер. Удаление системных файлов или служб может нарушить работу Windows. Если вы не уверены — обратитесь к специалисту по информационной безопасности.
