Sysinternals工具包之Autoruns简介

yk1234

                              Autoruns

官方网站：http://technet.microsoft.com/zh-cn/sysinternals/bb963902(en-us).aspx
官方下载地址：http://download.sysinternals.com/Files/Autoruns.zip


正如官方简介所讲，Autoruns有着最完整的启动项扫描：
HKLM\System\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\Documents and Settings\Owner\「开始」菜单\程序\启动
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\ActiveSetup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\Shellex\DragDropHandlers
HKLM\Software\Classes\Directory\Shellex\PropertySheetHandlers
HKLM\Software\Classes\Directory\Shellex\CopyHookHandlers
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelper Objects
HKCU\Software\Microsoft\InternetExplorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Extensions
HKLM\System\CurrentControlSet\Services
HKLM\System\CurrentControlSet\Control\SessionManager\BootExecute
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\SessionManager\KnownDlls
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\AuthenticationPackages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\NotificationPackages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\SecurityPackages
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
......
并且还在不断更新中。


启动项虽然多，但是Autoruns能将它们非常条理地显示出来，而且我们能够单独查看某一类启动项：


还是觉得很多吗？那就把微软的启动项隐藏吧：


OK，只剩下没有微软数字签名的启动项了（没有有微软数字签名的文件并不意味着它一定不是微软的文件，没有数字签名的文件并不意味着它是危险的或者假冒的）。


日志功能：



貌似比SREng的日志更有用。


应用1   清理系统多余启动项，提高开机速度


选中需要清理的启动项，然后点击右键——Delete——OK
删掉启动项不会删掉对应的文件，只是让该文件不随系统启动而启动
比如Adobe Reader在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
默认添加的Adobe Reader Speed Launcher，暴风影音在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加的一个启动项等等。
不可以随便删掉Windows的启动项。建议删除启动项前查看文件属性、描述、位置，搞清楚作用：



如果想临时禁用某些启动项，可以去掉它们前面的钩子，需要时再勾上。
有时可能看到这样的：

这意味着对应的文件不存在或是被移走了，注册表中残存垃圾信息，可以直接删掉。
有时候删除会提示未以已安装的服务存在，这个时候可以双击该项目，进入注册表编辑器删除被定位的项目。这种项目一般是一个注册表项（树），而不是单一的键值。



应用2   手工杀毒

建议先隐藏微软的启动项，然后查看可以启动项。根据文件属性、描述、位置等信息判断是否是病毒。



顺便打一下广告：Autoruns里头似乎没法同时选中多个，如果遇到映像劫持就麻烦了。Assistant可以修复映像劫持等（解锁被限制运行的程序）.

Autoruns实在是清理系统、手工杀毒、居家必备的好工具. Enjoy it !

注：附件中有这篇文章的chm（帮助文档）版本和Autoruns部分汉化版。
另外，Autoruns是绿色的。








[ 本帖最后由 yk1234 于 2009-3-8 10:13 编辑 ]

梅西

小工具还不错的说.........

非正规ID

  貌似很强大啊

lucifer-freya

刚才一直打不开，吓死我啦

lucifer-freya

一会下个试试，现在好卡，真不知道是什么原因啊。。。烦~~

dl123100

比较全面，虽然对付一些rootkit无能为力，日志比较难懂。

小v可

有没有国语版的？
英文有点小问题！

zhengjing

汉化版满世界都是啊  
不错的工具 支持

yk1234

把关键部分汉化了一下，一楼有下载。

小v可

下载了！谢谢！