[Iska]

Группировку автозапуска по типам для удобства ориентирования пользователя. На первой же вкладке «Everything» они собраны все вместе воедино.

[sjsdjsoiq]

Iska,
Не могли бы вы дать информацию по каждой вкладке?

[Iska]

Цитата sjsdjsoiq:

Не могли бы вы дать информацию по каждой вкладке? »

Легко. \Help\Help…, второй пункт в открывшемся окне файла справки — «Displayed Locations and Entries».

[Казбек]

sjsdjsoiq,
http://f18.ifotki.info/org/f5e9a7205...3206935810.jpg
Everything - выводятся все известные утилите Autoruns точки автозапуска..

Logon - выводится информация элементов автозапуска, связанных с инициализацией настроек профилей пользователей системной службой Winlogon (Userinit), оболочки пользователя (Shell) а также различных программ, запускаемых в процессе регистрации, с использованием элементов папки "Автозапуск", разделов реестра Run, RunOnce, Load и т.п. В последних версиях Autoruns в главном меню добавлен пункт User, позволяющий переключаться на отображение точек автозапуска для отдельных пользователей, или системных учетных записей (Local System, Network и т.п.). При выборе иного типа учетной записи, список точек автозапуска для вкладки "Logon" будет изменяться.

Explorer - выводится информация о расширениях оболочки (Shell Extensions) проводника Windows, исполняемых модулях обработчиков событий ( Shell Execute Hooks)
Нередко вредоносные программы используют внедрение в данную группу элементов автозапуска своих записей, обеспечивающих возможность контроля над зараженной системой. Наиболее распространенные случаи:

- Добавление записи в раздел реестра для автозапуска программ текущего пользователя
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- Тот же прием для всех пользователей
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Добавление файла или ссылки на файл вируса в папке "Автозагрузка"
- Добавление записи в раздел параметров службы Winlogon
Для инициализации профиля пользователя используется ключ реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit стандартно принимающий строковое значение
C:\WINDOWS\system32\userinit.exe,
Ключ содержит запятую в конце записи, и Windows будет автоматически запускать любые программы, которые будут перечислены после данной запятой. Так, например запись
C:\WINDOWS\system32\userinit.exe,virus.exe,C:\TEMP\svchost.exe
обеспечит запуск кроме стандартной программы userinit.exe еще и непонятных virus.exe и svchost.exe, которая никоим образом не может находиться в папке C:\TEMP и вообще запускаться из данной группы точек автозапуска. Все, что записано после usrinit.exe, нужно удалить - эти записи обеспечивают запуск вредоносных программ. Подобный прием используется подавляющим большинством вирусов СМС-вымогателей образца 2011 года на ОС Windows 2000/XP
userinit.exe выполняет последовательность инициализации профиля пользователя и запускает оболочку (shell) в качестве которой в среде Windows используется Проводник (Explorer.exe) Проводник реализует графический интерфейс пользователя (GUI) - рабочий стол, средства работы с ярлыками, папками, файлами и т.п. Если Explorer.exe не удалось запустить, то пользователь получает пустой рабочий стол без каких-либо элементов управления.
Для запуска оболочки пользователя используются данные из ключа реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell Стандартно - это строка Explorer.exe. Если значение другое, то имеет место вирусное заражение.
Вредоносные программы могут также использовать также и точки однократного автозапуска (RunOnce, RunOnceEx), переписывая содержимое данных ключей реестра после каждой перезагрузки или регистрации пользователя.
Дополнительную информацию о подозрительном файле можно получить при использовании механизма поиска сведений в Интернете (Меню Entry - Search Online) или по контекстному меню правой кнопки мышки. А проще всего - отправить подозреваемый файл на проверку онлайн сканерами. Например, на сайт VirusTotal.com

Internet Explorer - выводится список вспомогательных объектов браузера (BHO - Browser Helper Objects), элементов панели управления Internet Explorer (IE), зарегистрированных элементов ActiveX, дополнительных модулей (plugins), встроенных в обозреватель.
Использование уязвимостей обозревателя - один из самых распространенных способов вирусного заражения. IE - сложный программный комплекс, своеобразный интерпретатор содержимого, полученного с посещаемых сайтов, программный продукт, свойства которого могут быть расширены или изменены с помощью дополнительных программных модулей. Эта гибкость обозревателя в полной мере эксплуатируется и создателями вредоносных программ. В результате, на сегодняшний день, основным "поставщиком" вирусов являются обозреватель Интернета, при чем, не только Internet Explorer. Кроме вирусов, к обозревателю могут достраиваться различные нежелательные программные модули, выполняющие подмену механизма поиска, закачку рекламы, слежения за действиями пользователя, подмену домашней страницы и т.п. Утилита Autoruns позволяет легко обнаружить и деактивировать такие модули (снять галочку автозапуска). В большинстве случаев признаком нежелательного ПО является неизвестный или непонятный издатель, информация о котором отображается в поле Publisher.

Services - выводится список системных служб автоматически загружаемых Windows. Системные службы (сервисы) загружаются до регистрации пользователя в соответствии с настройками, определяемыми разделами реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Службы, не имеющие описания, цифровой подписи, или недействительную цифровую подпись, должны проверяться в первую очередь. Дополнительным признаком неблагонадежности может служить запуск службы из необычного места - каталога временных файлов \TEMP, каталогов профиля пользователя, каталога со странным именем. Исполняемые файлы подавляющего большинства системных служб располагаются в папке \WINDOWS\System32 .

Drivers - выводится список драйверов, запуск которых разрешен (параметр Start в разделе реестра, относящегося к драйверу не равен 4 что означает отключение драйвера.) Иногда встречаются серьезные вирусы, использующие руткит-технологии (rootkit) для маскировки своего присутствия в системе. В случае такого заражения вредоносное ПО устанавливает специальный драйвер, который перехватывает системные вызовы и исправляет результаты их выполнения таким образом, чтобы исключить обнаружение своих файлов, процессов, сетевых соединений. В серьезных случаях, Autoruns, не поможет, и нужно будет воспользоваться специальным ПО для обнаружения руткитов

Scheduled Tasks - выводится список задач, запланированных для выполнения планировщиком (Task Scheduler).
Иногда вредоносные программы обеспечивают свой запуск путем создания специального задания для планировщика задач Windows. Утилита Autoruns позволяет получить список задач и отключить любую из них.

Image Hijacks - выводится информация об использовании символического отладчика отдельных процессов, перечень и параметры которых задаются в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Также, отображаются точки автозапуска, где возможен старт исполняемых файлов дополнительно к интерпретатору команд (командному процессору), и при открытии любых файлов с расширением .exe

Appinit DLLs - выводится список всех зарегистрированных в системе DLL. Обычно используется для подключения пользовательских библиотек, подгружаемых с помощью user32.dll
Ключ реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls Обычно не содержит никаких записей, но может используется легальными программами, а также, и вредоносным ПО, поскольку это обеспечивает внедрение своей DLL во все пользовательские процессы, использующие вызов user32.dll . Если ключ содержит имя какой-либо dll, нужно анализировать информацию об издателе, цифровую подпись, и при необходимости, выполнить онлайн проверку на VirusTotal.

Known DLLs - список библиотек DLL, которые загружаются в ссылающиеся на них прикладные программы.
Поиск вредоносных DLL можно выполнять по тому же алгоритму - анализ описания, сведения об издателе, наличие и достоверность цифровой подписи, при необходимости - проверка на VirusTotal.

Boot Execute - программы, которые должны быть выполнены на раннем этапе загрузки Windows (например, запланированная проверка диска при следующей перезагрузке системы)

Winlogon Notifications - список DLL, которые зарегистрированы для срабатывания при возникновении событий связанных с входом / выходом пользователя (logon/logoff), запуском заставки, завершением работы системы.

Winsock Providers - список провайдеров служб Windows для доступа к сетевым функциям. Обычно - это библиотеки DLL, которые могут подгружаться для взаимодействия приложений с сетевыми службами. Иногда в списке могут присутствовать библиотеки антивирусного ПО или брандмауэра.

LSA Providers - список зарегистрированных провайдеров LSA (Local Security Authority). LSA является частью системы проверки полномочий пользователя и назначения контекста безопасность (Security Context) на основе его учетной записи.

Print Monitors - список драйверов принтеров, которые загружаются в соответствии с записями в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors

Sidebar Gadgets - список гаджетов установленных пользователями Windows 7 / Vista

Источник: ab57.ru/autoruns.html