Autoruns для управления автозапуском
Autoruns располагает некоторыми очень мощными возможностями, которые можно использовать для исследования и нейтрализации элементов автозапуска. При двойном щелчке по элементу Autoruns, выведенному на экран, Autoruns немедленно переносит пользователя в ту точку реестра или диска (для папок автозагрузки или планируемых задач), из которой автоматически запускается данный элемент. Это позволяет проверять и редактировать реестр вручную, например, удалить соответствующий элемент реестра, или файл в Windows Explorer, если речь идет об автозапуске из папки. Можно также удалить элемент с помощью меню, выбрав Entry I Delete, или выбрав Delete в контекстном меню соответствующего элемента. Чтобы ненужный элемент автозапуска блокировать, но оставить возможность его повторной активизации в будущем, нужно сбросить флажок, не удаляя сам элемент. Autoruns делает резервную копию любого элемента автозапуска со сброшенным флажком, так чтобы их можно было восстановить позже. Удаление элемента автозапуска реестра не приводит к удалению того файла, который вызывается данным элементом, следовательно, если установлено, что некий элемент автозапуска относится к вредителям, следует удалить этот элемент автозапуска и вручную удалить соответствующий файл (или файлы) с диска.
Иследование элементов автозапуска
Если нет уверенности в происхождении или надежности какого-то элемента >запуска, приведенного в списке Autoruns, его можно исследовать с помощью следующих пяти приемов:
- Сделайте двойной щелчок по элементу автозапуска и проверьте точку его запуска в реестре или в папке автозагрузки на диске.
- Щелкните по элементу автозапуска правой кнопкой мыши и выберите Google, чтобы поискать в Интернете информацию об элементе, указанном в столбце Image.
- Щелкните по элементу автозапуска правой кнопкой мыши и выберите Properties, чтобы открыть диалоговое окно Windows Properties для элемента, указанного в столбце Image
- Щелкните по элементу автозапуска правой кнопкой мыши и выберите Process Explorer, чтобы активизировать диалоговое окно свойств Process Explorer Properties для элемента, указанного в столбце Image.
- Сравните текущие данные экрана с теми, которые были сохранены в журнале, чтобы проверить: данный элемент является новым элементом или включался и в предыдущую копию состояния системы. Для этого выберите опцию File | Compare.