Autoruns Ver.8.42
「Autoruns」の起動
 
002 「Autoruns」の起動 end

「Autoruns」を起動すると自動的にスタートアップ関連のチェックが始まり、順次スタートアップの一覧が表示されます。

☆メニューバー/ツールバー

「Save」 「Refresh」 「Properties」 「Delete」 「Jump」 の5つのコマンドに対応しています。

詳細は、後述の「メニューバー/ツールバー」を参照ください。

☆データ表示

画面には14のタブが表示され、それぞれに分類された項目を閲覧できるようになっています。

Everything すべての項目が一覧表示されます。
Logon スタートアップフォルダ、レジストリの「Run」キー等アプリケーションで一般的使われる項目です。
C:\Documents and Settings\All Users\スタート メニュー\
プログラム\スタートアップ
C:\Documents and Settings\ユーザー名\スタート メニュー\
プログラム\スタートアップ, , 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Explorer 下記のレジストリキーを使って起動される項目(エキスプローラ関連)
HKLM\Software\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks 
HKLM\Software\Microsoft\Windows\CurrentVersion\
Shell Extensions\Approved , 
HKCU\Software\Microsoft\Windows\CurrentVersion\
Shell Extensions\Approved , 
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers.
Internet Explorer IEのBHO、ツールバー、拡張機能の設定
HKLM\Software\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects 
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks 
Services システム起動時に実行される「サービス」の設置
HKLM\System\CurrentControlSet\Services 
Drivers カーネルモードで実行されるドライバー
HKLM\System\CurrentControlSet\Services 
Scheduled Tasks パソコン起動時に実行されるタスクスケジュールの設定
C:\WINDOWS\Tasks
AppInit DLLs アプリケーション登録のためのDLLの設定。最近、Google Desktop Searchが設定されるようです。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
"AppInit_DLLs"="設定値"
Boot Execute パソコン起動時にWindowsの起動に先行して起動されるプログラムの設定。ドライバーの開発等のためにある機能で、多分、デフォルトでは、このキーは設定されていないと思います。
詳細、下記参照ください。
http://www.sysinternals.com/Information/bootini.html
HKLM\System\CurrentControlSet\Control\SystemStartOptions. 
Image Hijacks 下記のレジストリキーを使って、例えば「Notepad」を実行しようとすると他のコマンドが実行されるように摩り替えてしまうことができます。(悪用されると危険な設定ですので詳細省略します。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Known DLLs Windowsによってアプリケーションに組み込まれるDLLファイルの設定
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Session Manager\KnownDLLs
Winsock Providers ネット接続関連の設定。修復が難しいのでスパイウエアに利用されることがあります。
「Autoruns」で、その機能を「無効」にできますが「削除」はできません。
この項目を「無効」にする場合は事前にレジストリのバックアップを取って不測の事態に備えてください。
ネット接続が不可能になるケースがあるかも知れません。
HKLM\System\CurrentControlSet\Services\Winsock
HKLM\System\CurrentControlSet\Services\WinSock2
Printer Monitor Drivers プリンターのスプール機能を設定するレジストリキー(スパイウエアによって悪用された例があります。)
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

ヒント

拡張子が次のようなもので、身に覚えのないファイルが実行されていれば注意が必要です。

「Exe」ファイル 拡張子が「Exe」のファイル
「DLL」ファイル 拡張子が「DLL」のファイル。「Rundll32.exe」を起動して実行されます。
「HTA」ファイル 「mshta.exe」を起動して実行されます。
「VBS」ファイル 「wscript.exe」を起動して実行されます。

☆設定項目の停止と復旧

各設定項目の左端にあるチェックボックスのオン/オフで実行と停止を切り替え出来ます。

チェックボックスをオフにすると、レジストリキーに「AutorunsDisabled」というサブキーが作成され、一時的に隔離された状態になり、Windows起動時の自動実行が停止されます。

チェックボックスをオンにして設定項目を復旧できます。

メニューの「Entry」>「Delete」や、右クリックメニューの「Delete」で削除してしまうと、復旧が大変ですが、この方法ではチェックボックスをオンにするだけで簡単に復旧できます。

☆右クリックメニュー

各設定項目を右クリックしてメニューを選択できます。このメニューはメニューバーの「Entry」と全く同じものです。

詳細は、後述の「メニューバー/ツールバー」を参照ください。

☆File Compare

メニューの「File」>「Compare」を選択します。

過去のスキャンログと比較して、新規に追加された項目をグリーン色の背景で表示します。

詳細は、「メニューバー/ツールバー」>」File(ファイルメニュー)」>」Compare」を参照ください。

☆プロパティ表示

選択した項目の「Image Path」に表示されるファイルのプロパティが画面一番下に、簡略表示されます。

メニューの「Entry」>「Property」でプロパティ画面を表示することもできます。

☆「autorunsc.exe」の活用(レポートの作成)

「Autoruns」をインストールすると「autorunsc.exe」というファイルが同時にインストールされます。

「autorunsc.exe」は「autoruns.exe」をコマンドプロンプトで実行するプログラムです。

バッチファイルを作って重要な項目のレポートを簡単に作成できます。

 1.下記の行をコピーしメモ帳に貼り付け、例えば、「autorunsc.bat」という名前で「autorunsc.exe」と同じフォルダに保存します。

 2.「autorunsc.bat」をダブルクリックすると自動的にコマンドプロンプトが開かれ、「autorunsc.txt」を作成できます。

:〜〜〜〜〜〜「autorunsc.bat」始まり〜〜〜〜〜〜〜〜〜〜〜
autorunsc.exe -d -e -m -s -w > autorunsc.txt
notepad autorunsc.txt
:〜〜〜〜〜〜「autorunsc.bat」終わり〜〜〜〜〜〜〜〜〜〜〜

参考:速習「MS-DOS」スパイウエア編 

パソコンに詳しい方に、このファイルを見てもらって、スタートアップ関連のトラブルの殆どを解決できるようになります。

Autorunsc Usage

Usage: autorunsc [-a] | [-c] [-d] [-e] [-m] [-s] [-w] [user]

-a  Include empty locations. 登録項目の無いレジストリキーも書き出す。
-c  Print output as CSV. CSVファイルに書き出す。
- Show Appinit DLLs. Appinit_Dllsキーも書き出す。
-e  Show Explorer addons. エキスプローラのアドオンも書き出す。
-m  Hide signed Microsoft entries. マイクロソフトの認証済みプログラムは書き出さない
-s  Show autostart services. Windowsの「サービス」機能として起動されるプログラムも書き出す。
-w  Winlogon entries. Winlogon Notificationsも書き出す。
user    ログオンユーザー名を指定する

 

≪Prev ▲Top Next≫
end
Ads by TOK2