Autoruns-功能强大的微软官方自启动检测工具(免费绿色)
1.下载和安装
微软官网下载:https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns
这是解压后的文件夹,绿色启动免安装:
程序界面:
2.主窗口字段:
2.1 自启动项分类
-
登录(Logon):此条目会扫描标准的自动启动位置,例如当前用户和所有用户的 “启动” 文件夹、注册表中的 “运行(Run)” 键值,以及标准的应用程序启动位置。
-
文件资源管理器(Explorer):选择此条目可查看自启动的资源管理器外壳扩展(上下文菜单等)
-
Internet Explorer:此条目会显示IE浏览器辅助对象(BHO)、Internet Explorer 工具栏和扩展。因为IE已被弃用,里面所有键都可以放心删除.
-
Scheduled Tasks(计划任务):登录时启动的任务计划程序任务。
-
Services(服务):自动启动的服务。
-
Drivers(驱动程序):此选项会显示系统上已注册的所有内核模式驱动程序,但已禁用的驱动程序除外。
-
编解码器(Codecs):显示已安装的编解码器。
-
启动执行(Boot Execute):在启动过程早期运行的原生映像(与 Windows 映像相对)。
-
映像劫持(Image Hijacks):映像文件执行选项和命令提示符自动启动项。
-
应用程序初始化 DLL(AppInit DLLs):“自动运行(Autoruns)” 程序会在此处显示已注册为应用程序初始化 DLL 的动态链接库。
-
已知 DLL(Known DLLs):此选项会报告 Windows 加载到引用这些 DLL 的应用程序中的 DLL 的位置。
-
Winlogon:Winlogon 主要负责管理用户登录和注销的交互流程,协调系统与用户之间的身份验证、桌面初始化等一系列操作。这里显示为登录事件的 Winlogon 通知进行注册的 DLL。
-
Winsock 提供程序(Winsock Providers):显示已注册的 Winsock 协议,包括 Winsock 服务提供程序。恶意软件常常将自身安装为 Winsock 服务提供程序,因为很少有工具能够将它们移除。Autoruns”程序可以禁用它们,但无法删除它们。
-
打印机监控驱动程序(Printer Monitor Drivers):显示加载到打印后台处理服务中的 DLL。恶意软件曾利用此功能来实现自身的自动启动。
-
本地安全机构(LSA)提供程序(LSA Providers):显示已注册的本地安全机构(LSA)身份验证、通知和安全包。
WMI(Windows 管理规范):显示 WMI 使用者条目。
- Office:显示 Microsoft Office 的加载项。
2.2 颜色说明
- 灰色:自启动项的类型
- 紫色:自启动项的启动位置
- 黄色:文件未找到
- 粉色:签名未通过
2.3 启动项的各种信息
3.菜单栏功能介绍
3.1 File(文件)
3.2 Search(搜索)
3.3 Entry(条目)
3.4 User(用户)
“Users” 菜单中会列出用户名.选择其中一个用户名,即可查看该账户的自启动信息.
3.5 Options(选项)
3.6 Category(类别)
同下方标签功能一致,筛选自启动的类型.
4.禁用和删除
4.1.禁用
- 如果您不希望某个条目在下次系统启动或登录时激活,您可以选择禁用或删除它。
- 要禁用一个条目,只需取消勾选该条目即可。
- Autoruns会将该启动项信息存储在一个备份位置,这样当您再次勾选该条目时,程序就能重新激活它。
- 对于存储在启动文件夹中的项目,Autoruns会创建一个名为 “Autorunsdisabled” 的子文件夹。勾选已禁用的项目即可重新启用它。
4.2.删除
-
如果您不希望某些项目再被执行,那么您应该删除它们。
-
通过在 “条目(Entry)” 菜单中选择 “删除(Delete)” 来进行删除操作。每次只会删除当前选中的项目。
-
如果您以非管理员权限运行Autoruns程序,并尝试更改一个全局条目的状态,您将被拒绝访问。Autoruns会显示一个对话框,其中有一个按钮,可让您以管理员权限重新启动 程序。
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/weixin_40332490/article/details/145210567
扫一扫
7044
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
