autoruns是Sysinternals公司出品的一款功能強(qiáng)大的自啟動(dòng)項(xiàng)管理器,能全面地顯示系統(tǒng)自啟動(dòng)項(xiàng)并且進(jìn)行修改或刪除。
如果你不想它運(yùn)行也可以通過你安裝的360的自啟動(dòng)項(xiàng)關(guān)閉它，但autoruns絕對(duì)是正常程序.
AutoRuns
　　
Autoruns
Autorunsfor Windows 是 Mark Russinovich 和 Bryce Cogswell 開發(fā)的一款軟件，它能用于顯示在 Windows啟動(dòng)或登錄時(shí)自動(dòng)運(yùn)行的程序，并且允許用戶有選擇地禁用或刪除它們，例如那些在“啟動(dòng)”文件夾和注冊(cè)表相關(guān)鍵中的程序。此外，Autoruns還可以修改包括：Windows 資源管理器的 Shell 擴(kuò)展（如右鍵彈出菜單）、IE瀏覽器插件（如工具欄擴(kuò)展）、系統(tǒng)服務(wù)和設(shè)備驅(qū)動(dòng)程序、計(jì)劃任務(wù)等多種不同的自啟動(dòng)程序。
　　Autoruns 作為Sysinternals Suite （故障診斷工具套裝）的一部分，現(xiàn)在的最新發(fā)布是 9.5 版本，可運(yùn)行于 WindowsXP、Windows Server 2003 和更高版本的 Windows 操作系統(tǒng)。該軟件還包括一個(gè)相同功能的命令行版本Autorunsc，可以把結(jié)果報(bào)表以 CSV 格式輸出。Autoruns的官方網(wǎng)站是：http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx(英文) 和 http://technet.microsoft.com/zh-cn/bb963902.aspx （中文）。
　　AutoRuns介紹
　　AutoRuns是一款出色的啟動(dòng)項(xiàng)目管理工具，首先我們來談一下它的作用：AUTORUNSR的作用就是檢查開機(jī)自動(dòng)加載的所有程序，例如硬件驅(qū)動(dòng)程序，windows核心啟動(dòng)程序和應(yīng)用程序．它比windows自帶的msconfig.exe還要強(qiáng)大，通過它我們還可以看到一些在msconfig里面無法查看到的病毒和木馬以及惡意插件程序．還能夠詳細(xì)的把啟動(dòng)項(xiàng)目加載的所有程序列出來。比如logon,explorer,還有ＩＥ上加載的dll跟其它組鍵．
　　“全部”--顧名思義，全部的開機(jī)自啟動(dòng)項(xiàng)都在這個(gè)標(biāo)簽下啦。另外，它也是雙擊autoruns.exe彈出窗口缺省定位的標(biāo)簽，包括其他標(biāo)簽的所有內(nèi)容。
　　“登陸”--細(xì)心的朋友可以發(fā)現(xiàn)，該標(biāo)簽下HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run、HKCU\Software\Microsoft\Windows\CurrentVersion\Run這兩個(gè)注冊(cè)表子項(xiàng)的內(nèi)容與系統(tǒng)配置實(shí)用程序“啟動(dòng)”標(biāo)簽下打勾的項(xiàng)目是完全一樣的，甚至“登陸”的圖標(biāo)也和系統(tǒng)配置實(shí)用程序MSCONFIG.EXE的圖標(biāo)完全相同，呵呵！當(dāng)然，除了以上項(xiàng)目外，該標(biāo)簽還包括HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell這三個(gè)自啟動(dòng)子項(xiàng)的內(nèi)容，這些是用系統(tǒng)配置實(shí)用程序“啟動(dòng)”標(biāo)簽看不到的內(nèi)容。
　　“資源管理器”：對(duì)應(yīng)資源管理器在注冊(cè)表上的子項(xiàng)和值項(xiàng)。
　　“英特網(wǎng)瀏覽器”：對(duì)應(yīng)的是IE所有瀏覽器幫助對(duì)象（BHO）、網(wǎng)絡(luò)URL地址搜索鉤子、各類IE工具條以及IE常用工具欄按鈕所對(duì)應(yīng)的注冊(cè)表子項(xiàng)和注冊(cè)表值項(xiàng)值。
　　“計(jì)劃任務(wù)”：和“開始”--“程序”--“附件”--“系統(tǒng)信息”--“任務(wù)計(jì)劃”中的內(nèi)容是完全一致的，一般為空。
　　“服務(wù)”：即HKLM\System\CurrentControlSet\Services對(duì)應(yīng)的開機(jī)自啟動(dòng)服務(wù)的項(xiàng)目。由于具備開機(jī)自啟動(dòng)功能，而且依靠ROOTKIT技術(shù)可以隱蔽運(yùn)行，所以是病毒（流氓軟件）最愛光臨的地方。
　　“驅(qū)動(dòng)”：即HKLM\System\CurrentControlSet\Services對(duì)應(yīng)的開機(jī)自啟動(dòng)驅(qū)動(dòng)程序的項(xiàng)目。同上，又一個(gè)病毒經(jīng)常光臨的樂園。
　　“啟動(dòng)執(zhí)行”：在系統(tǒng)登陸前啟動(dòng)的本地映像文件（即WINDOWS映像文件的對(duì)稱）及自啟動(dòng)項(xiàng)的情況。形象地理解一下，就是貌似瑞星的系統(tǒng)登陸前掃描這樣的自啟動(dòng)項(xiàng)。
　　“映像劫持”：在此標(biāo)簽下的內(nèi)容對(duì)應(yīng)的應(yīng)用程序，開機(jī)后即被系統(tǒng)強(qiáng)制劫持而不能運(yùn)行（就是我們經(jīng)常說的IFEO，即系統(tǒng)自帶的應(yīng)用程序映像劫持功能）。
　　“APPINIT”：初始化動(dòng)態(tài)鏈接庫，其內(nèi)容是開機(jī)時(shí)系統(tǒng)加載的必要的初始化動(dòng)態(tài)鏈接庫文件。除了卡巴斯基等少數(shù)軟件需要通過添加DLL文件到此處實(shí)現(xiàn)從開機(jī)就接管系統(tǒng)底層的目的外，一般此項(xiàng)目應(yīng)為空。
　　“KNOWNDLLS”：系統(tǒng)中已知的DLL文件。
　　“WINLOGON”：WINLOGON登陸項(xiàng)對(duì)應(yīng)的自啟動(dòng)注冊(cè)表子項(xiàng)及值項(xiàng)。
　　“WINSOCK提供商”：顯示已注冊(cè)的WINSOCK協(xié)議，包括WINSOCK服務(wù)商。由于目前只有很少的工具能夠移除該項(xiàng)目下的內(nèi)容，惡意軟件經(jīng)常偽裝成WINSOCK服務(wù)商實(shí)現(xiàn)自我安裝。AUTORUNS可以卸載此項(xiàng)目下的內(nèi)容，但不能禁用他們。
　　“打印監(jiān)視器”：顯示在PRINT SPOOLER服務(wù)中被加載的DLL文件。一些惡意軟件可能利用此服務(wù)項(xiàng)目實(shí)現(xiàn)開機(jī)自啟動(dòng)。
　　“LSA提供商”：LSA的全稱為“Local Security Authority”——本地安全授權(quán)，Windows系統(tǒng)中一個(gè)相當(dāng)重要的服務(wù)，所有安全認(rèn)證相關(guān)的處理都要通過這個(gè)服務(wù)。它從Winlogon.exe中獲取用戶的賬號(hào)和密碼，然后經(jīng)過密鑰機(jī)制處理，并和存儲(chǔ)在賬號(hào)數(shù)據(jù)庫中的密鑰進(jìn)行對(duì)比，如果對(duì)比的結(jié)果匹配，LSA就認(rèn)為用戶的身份有效，允許用戶登錄計(jì)算機(jī)。如果對(duì)比的結(jié)果不匹配，LSA就認(rèn)為用戶的身份無效。這時(shí)用戶就無法登錄計(jì)算機(jī).