6 Инструменты для анализа программ, которые автоматически запускаются в Windows

Вредоносные программы обычно запрограммированы на то, чтобы оставаться зараженными в системе как можно дольше, чтобы украсть больше информации с компьютера посредством ведения блогов, продолжать распространять и заражать другие компьютеры в сети, или быть частью ботнета, ожидающего, пока их хозяин дайте им команду запустить DDoS-атаку. Чтобы остаться зараженным, кроме того, что он не обнаружен, он должен автоматически запускаться при загрузке Windows. Один из способов обнаружить заражение в Windows – проверить места запуска на наличие подозрительных записей.

Самый простой метод проверки наличия элементов автозагрузки – использование встроенного средства настройки системы (msconfig.exe) в Windows, но, к сожалению, проверяемые точки не являются полными, их легко отключить с помощью простого взлома реестра, а MSConfig не сказать, какие записи небезопасны. HijackЭто был популярный инструмент для анализа зараженного вредоносным ПО компьютера, который содержит записи автозагрузки в результатах сканирования, но, к сожалению, он был заменен большинством других инструментов того же типа.

Вот 6 бесплатных инструментов, которые вы можете использовать для анализа элементов автозапуска, включая хитрые места, которые не перечислены в msconfig.
1. Emsisoft HiJackFree

HiJackFree – это бесплатный инструмент для системного анализа, предлагаемый Emsisoft, создателем популярного программного обеспечения для защиты от вредоносных программ, предназначенного для опытных пользователей для обнаружения вредоносных программ и их удаления с компьютера. Чтобы проверить наличие записей при запуске, нажмите на автозапуск на левой боковой панели, где перечислены элементы, которые запускаются на основе различных методов. Что нам действительно понравилось в HiJackFree, так это то, что он попытается автоматически определить, являются ли записи безопасными или небезопасными, и пометит их цветовой кодировкой для облегчения идентификации.

HiJackFree

Если у вас есть активированное подключение к Интернету, вы можете нажать на значок обновления, расположенный в правом верхнем углу, который говорит «Автоматически обновлять данные онлайн», когда курсор мыши наводит на них курсор. Это позволит проверить элементы запуска с последними данными, чтобы обеспечить более точный и актуальный анализ. Вы можете временно отключить запуск элемента, сняв флажок, редактировать, удалять и даже добавлять новые записи запуска. Вкладку «Службы» также стоит проверить, поскольку это еще один метод запуска, который программа может запустить даже до того, как пользователь войдет в Windows.

Помимо анализа областей запуска, HiJackFree может также отображать подробную информацию о запущенных процессах, портах, которые открываются процессами, дополнениях Explorer, записях файлов LSP, HOSTS и установленных ActiveX в системе Windows. Если вы хотите получить отчет об анализе HiJackFree, вы можете нажать на кнопку Online Analysis, расположенную в правом верхнем углу, где будет создан файл журнала и автоматически загружен на веб-сайт Emsisoft для анализа. Как только анализ будет завершен, веб-страница сведений откроется с помощью веб-браузера по умолчанию.

HiJackFree Online Анализ

Скачать Emsisoft HiJackFree

2. Runscanner

Runscanner – это бесплатный и портативный анализатор запуска, который работает в двух режимах: новичок и эксперт. По сути, режим новичка предназначен для простого сканирования и создания журнала и «запуска» файла для проверки специалистом по вредоносным программам. Что касается режима Эксперт, то здесь вы можете просмотреть все элементы автозагрузки, а также исправить их, если обнаружите подозрительные. Вместо простого перечисления всех элементов автозагрузки, Runscanner облегчает задачу, перечисляя только те записи, которые не находятся в их белом списке. Перечисленные предметы не обязательно указывают на то, что они небезопасны, а просто требуют дополнительного внимания, чтобы убедиться, что вы знаете, откуда они берутся.

Runscanner

Чтобы удалить элемент автозагрузки, дважды щелкните запись, чтобы разместить чек. Затем перейдите на вкладку Fixer элемента, где можно просмотреть элементы, которые вы хотите удалить. Чтобы подтвердить удаление элементов, нажмите кнопку «Исправить выбранные элементы». Вы также можете дважды щелкнуть запись на вкладке «Исправление элемента», чтобы удалить элемент из списка. Любые элементы автозагрузки, которые были удалены из Runscanner, можно восстановить обратно на вкладке «Дополнительные материалы»> «История / резервные копии».

Восстановить Runscanner

Runscanner также поставляется с дополнительными функциями для исследования загруженных модулей, убийцей процессов с возможностью удаления при следующей перезагрузке и загрузкой файлов в VirusTotal для сканирования с помощью более чем 40 различных антивирусных программ.

Скачать Runscanner

3. Autoruns

Autoruns – это один из самых популярных портативных инструментов, используемых для анализа программ запуска в Windows, созданный Sysinternals и приобретенный Microsoft. Этот инструмент больше подходит для опытных пользователей, поскольку он не позволяет распознавать опасные или опасные предметы. Он использует цветовые кодировки для некоторых элементов, такие как желтый для файлов, которые не найдены, и красный для элементов, которые не имеют информации о свойствах файла.

Autoruns

Вы можете временно отключить запись при запуске, сняв флажок. Когда вы обнаружите, что внесенные изменения безопасны, вы можете навсегда удалить запись, используя контекстное меню правой кнопкой мыши. По умолчанию он также скрывает записи Windows, чтобы предотвратить неправильное отключение важной записи запуска, из-за которой Windows не загружается, потому что восстановление изменений путем редактирования реестра без загрузки в Windows может быть довольно сложной задачей.

Скачать автозапуск

4. Онлайн-решения Autorun Manager

Online Solutions Autorun Manager, сокращение от OSAM – это еще один анализатор автозагрузки, который позволяет сканировать записи автозагрузки с помощью их онлайн-сканера вредоносных программ. Онлайн-сканер вредоносных программ OSAM в основном берет хэши процессов и сравнивает их со своей базой данных. После сканирования в анализ добавляется уровень риска, поэтому вы можете игнорировать безопасные и обращать внимание только на неизвестные. Есть также элементы, помеченные как «Up-to-you», которые могут быть удалены или оставлены нетронутыми, поскольку это не представляет никакой угрозы безопасности.

OSAM

Цветовая кодировка также используется в Online Solutions Autorun Manager, где синий означает, что файл не найден, и желтый для файлов без информации о свойствах. Снятие флажка отключит элемент от запуска. По некоторым неизвестным причинам мы не смогли окончательно удалить элементы автозагрузки, поскольку опция «Удалить из хранилища» в контекстном меню правой кнопки мыши всегда отображается серым цветом. OSAM доступен как в установочной, так и в переносной версиях.

Скачать онлайн-решения Autorun Manager

5. Тихие Бегуны

Silent Runners – это на самом деле VBScript, который просто генерирует файл журнала, содержащий элементы автозагрузки в системе. Здесь нет ни графического интерфейса пользователя, ни параметров, и сам файл запускает файл журнала в том же каталоге, что и скрипт. Элементы автозагрузки, принадлежащие Windows, не включены в список, и вам следует обратить внимание на строки, содержащие > потому что точка запуска обычно используется вредоносными программами.

Отчет Silent Runners

Очевидно, что Silent Runners не предназначен для использования простыми пользователями или для удаления сомнительных записей при запуске. Этот VBScript оказывается полезным, когда вы ограничены в запуске исполняемых файлов.

Скачать Silent Runners

6. FreeFixer

FreeFixer – это общий инструмент для удаления, который сканирует не только несколько мест запуска, но и несколько других областей системы, где вредоносное ПО может скрыться. Всего сканируется более 40 различных местоположений, включая вспомогательные объекты браузера, панели инструментов и расширения Mozilla Firefox / Internet Explorer, ярлыки автозапуска, запуск реестра, запланированные задачи, скрытые процессы, файл HOSTS, системные политики, драйверы, службы, параметры TCP / IP. , UserInits, ярлыки, недавно созданные или измененные файлы, модули Svchost.exe / Explorer.exe и многое другое.

Freefixer средство удаления вредоносных программ

Несмотря на то, что программа использует белый список для уменьшения количества полностью законных записей, отображаемых в списке результатов, она ясно дает понять, что вам по-прежнему необходимы определенные знания, чтобы понять, что вы хотите сохранить, а что вы хотите, может быть злонамеренным и нуждается в удалении. Поскольку сканирование является более полным, время для завершения операции может занять 10 минут или более, поэтому требуется немного терпения. Просто скачайте установщик установщика или переносную версию, запустите его и нажмите Start Scan.

Если при просмотре результатов все еще есть записи, которые вы не понимаете, ссылка «дополнительная информация» приведет вас в онлайн-библиотеку на веб-сайте FreeFixer, где, как мы надеемся, более подробная информация поможет лучше понять, что это за элемент. Отметьте галочкой то, что вы хотите удалить, и нажмите «Исправить». Существуют дополнительные настройки для планирования фоновой проверки и загрузки файлов в FreeFixer, когда вы нажимаете «подробнее», в окне «Инструменты» можно найти файл-нукер и средство проверки системных файлов. Windows 2000 до 8.1 поддерживается.

Скачать FreeFixer

Примечание редактораХотя эти 6 инструментов, которые мы представили, могут перечислять и удалять записи автозагрузки, созданные сторонними программами, это все же не является надежной проверкой, поскольку существует более продвинутый тип вредоносных программ, таких как руткит, для которых требуется программа антируткита для обнаружения его присутствия. Более того, мы видели действительно умный кейлоггер, который добавляет запись запуска только перед завершением программы при завершении работы Windows, а затем автоматически удаляет запись запуска после ее запуска во время запуска Windows. Этот метод эффективно обходит обнаружение на любом из 5 инструментов, которые мы упомянули выше.