分享 - AutoRuns V8.73

[yoyo007]

■ 軟體說明：

∥軟體名稱：AutoRuns
∥版本資訊：8.73
∥檔案大小：374 KB (383,084 位元組)
∥軟體分類：軟體本地化
∥存放空間：HTTP
∥官方站台：http://www.microsoft.com/technet/sys.../AutoRuns.mspx
∥中 文 化：YoYo



■ 軟體簡介：

一、軟體介紹：

Autoruns 可以拿來檢查有哪些東西會在一開機就自動執行，藉由把不必要的東西刪掉，可加快開機的速度。這程式有兩隻，分別叫 autoruns 跟 autorunsc，我們需要的是 autoruns。建議帶在身上保平安，誰也不知道自己什麼時候得幫別人修電腦。

這個公用程式具備對任何啟動監視器的自動啟動位置最全面性的知識，不但為您顯示哪些程式設定為在系統開機或登入的時候執行，還有 Windows 依序處理的各個項目。這些程式包括在您的啟動資料夾、「執行」、「RunOnce」和其他「登錄機碼」中的公用程式。您可以藉由設定 Autoruns 顯示其他位置，其中包括瀏覽器殼層延伸、工具列、瀏覽器協助程式物件、Winlogon 通知和自動啟動服務等等。Autoruns 遠超過搭配 Windows Me 和 XP 的 MSConfig 公用程式。

Autoruns 的 [隱藏已簽署的微軟項目] 選項協助您放大協力廠商自動啟動映像，這些映像已經加入至您的系統，而且支援查看系統上設定的其他帳戶之設定的自動啟動映像。此外，包括在下載套件等同於命令行，能夠以 CSV 格式和 Autorunsc 輸出。

您可能會對自動啟動的可執行檔的數量感到不可思議！

二、目錄清單：

‧autoruns.exe - 主程式。
‧autorunsc.exe - 指令行版本。
‧#1 有教學。

三、Autorunsc 使用方法：

引用:

Autorunsc 為 Autoruns 的命令行版本。其使用方法語法為：

用法：autorunsc [-a] | [-c] [-b] [-d] [-e] [-h] [-i] [-l] [-m] [-n] [-p] [-r][-s] [-v] [-w] [user]

-a　　　　　顯示所有項目。
-b　　　　　開機執行。
-c　　　　　列印輸出成 CSV。
-d　　　　　Appinit DLLs。
-e　　　　　瀏覽器附加元件。
-h　　　　　映像攔截。
-i　　　　　Internet Explorer 附加元件。
-l　　　　　登入啟動 (這是預設值)。
-m　　　　　隱藏已簽署的 Microsoft 項目。
-n　　　　　Winsock 通訊協定提供者。
-p　　　　　監控印表機驅動程式。
-r　　　　　LSA 提供者。
-s　　　　　自動啟動服務和非停用的驅動程式。
-t　　　　　排定的工作。
-v　　　　　確認數位簽章。
-w　　　　　Winlogon 項目。
user　　　　刪除指定使用者帳戶的 Autorun。

檔案下載：http://0rz.tw/4c385

MD5：

語法:

E00AEC3C913BBC401A1A5421C96CE70F

解壓碼：

語法:

CENTURYS 網際論壇 中文化開發團隊

[yoyo007]

以下文章轉載自：偉大的網際網路...
圖片上傳及編排：http://www.centurys.net/index.php


利用 Autoruns 輕鬆判斷是否中毒 & 輕鬆 DIY 清除木馬。


一、前言

Autoruns 是一款由 Microsoft 所推出的工具，擁有不遜於 SREng 的報表能力，有些部份甚至贏過 SREng。與 SREng 不同的是，Autoruns 可以方便快速的檢查啟動項，我認為很適合一般使用者自行檢查是否有中毒情形。

‧近來有很多惡意程式會利用 IFEO (映像劫持) 造成工具無法開啟。
　若 Autoruns 無法執行，請自行更換名稱、副檔名。
‧任何工具都是兩面刃，操作請務必小心謹慎！

Autoruns 適用處理範圍：木馬、間諜、廣告、後門、大致上全部都可以處理，不過有部份會進行檔案感染的蠕蟲就無法簡單的使用工具處理了。


二、木馬基礎概念

防毒軟體偵測到木馬，但是卻刪不掉，或者刪除過後又再生，這因該很多人都碰過，也是許多人的夢魘。究竟為什麼會造成這個原因呢？

一隻完整的木馬，通常不會只有一個檔案，它會利用各種手動想辦法不要被刪除，於是產生很多生成物，這些生成物之前彼此保護，防毒軟體通常都沒砍乾淨，甚至連偵測到都沒有，這就是所謂「斬草不除根，春風吹又生」，要徹底清除木馬，得砍掉他最重要的啟動程式。

木馬也只是個普通的程式，若沒特殊條件進行啟動，根本無法運作，且最常利用的方式就是登錄檔，但是那麼繁雜混亂的登錄檔，一般人根本無從判斷起，也絲毫沒有頭緒，這時候就該借助工具了，Autoruns 就是一款操作簡單，判斷容易的安全軟體，足以讓您 DIY 清除木馬。


三、自動判定啟動項、產生記錄檔

當檔案下載完成，且解壓縮之後，雙按 [autoruns.exe] 程式就會啟動了。








這就是這款軟體為什麼可以簡單判斷登錄檔的原因了。





透過連接 Microsoft 資料庫，且自動隱藏驗證過的 Microsoft 物件，達到大幅度簡化 Log 效果。

接下來進行輸出 Log 的動作，方便日後運用。





接著請輸出 Log，一來有需要時可提供給版上大大判讀，二來需要有 Log 才能使用 Autoruns 經典功能之一。





四、啟動項的判斷

判斷啟動項有兩種方法，一種是節省時間，也較為方便的方法，不過還是得靠一點經驗。

方法 1：網路搜尋資料。








方法 2：VT 判讀法。

VT 網址：http://www.virustotal.com/en/virustotalf.html

稍微簡介一下 VT，VT 就是一個專門提供掃描服務的網站，內含非常多的防毒引擎，也就是說您可以一次使用數十種防毒軟體來檢查這個檔案。

‧由於很多檔案會以「隱藏檔」、「作業系統檔」的形式存在，
　所以請先 行修改資料夾選項，否則可能會無法找到檔案。

修改資料夾選項的步驟大致如下，由於操作簡單，就不用太多圖片說明，改用文字說明呈現。

　1. 按「我的電腦」。
　2. 工具 > 資料夾選項 。
　3. 然後上方選擇到檢視。
　4. 之後請見下圖操作。





由於有些檔案屬性是「作業系統檔案」、「隱藏檔」，所以需要修改資料夾選項才可看見，請照圖操作。

修改過後請自行手動連結到 VT：http://www.virustotal.com/en/virustotalf.html

















若自己不敢確定，可以嘗試回報防毒軟體公司，或者請其他大大協助判斷、回報。


五、威脅處理

要清理一隻木馬要分兩個部份，登錄檔 (Registry)、實體檔案。

Autoruns 只能處理登錄檔，實體檔案部份請自行運用工具處理，只要是能刪除檔案的工具都可以，沒了啟動項，木馬不過就是破銅爛鐵。





當確認有威脅，且刪除登錄檔過後，請重新啟動一次電腦，再刪除實體檔案，確保操作期間不會受到干擾。

若手動還是刪除不了，可以運用一下刪除工具，這種工具各位因該都多少會幾款，就不詳細說明了。

可運用的刪除工具有：Unlocker、KillBox、費爾木馬強力清除助手、Icesword、Gmer ...等等)


‧建議清除步驟簡述

步驟一：

請先準備相關會應用到的工具。 EX：(Unlocker、KillBox、費爾木馬強力清除助手，隨便選一款自己會用的就好。)

步驟二：關閉系統還原、清空 IE 暫存檔。

步驟三：進入安全模式。

步驟四：啟動「Autoruns」，照上圖說明刪除登錄檔。

步驟五：請再度重新開機，且再度進入安全模式。

步驟六：使用刪除工具，對實體檔案進行刪除。


備註：可能得修改資料夾選項才看的到檔案；
　　　如何修改資料夾選項文中有提到，請自行查閱。

P.S 清除方法有很多種，以上是個人推薦之清除方案。
　　還是強調，工具操作請謹慎小心。


六、在未來懷疑中毒？自己 DIY 比對 Log！

這就是為何麼推廣此軟體的原因了，可以進行「前後比對」，當未來某一天您懷疑有中木馬時，可以輸出 Log 進行比對。

‧Options 設定部份請不要進行任何修改，保持「驗證代碼簽署、隱藏已簽署的微軟項目」以免造成一些混亂狀況發生。











七、結論

這款軟體我早就想推廣了，自行檢查啟動項，及未來當作比對用途，都非常方便，也非常適合一般大眾。

剛好碰到端午連續假期，花了兩天的時間編輯完成，由於進度匆忙，若發現有錯誤煩請指正。

為了推廣此工具，歡迎各位自由轉載。