autoruns.exe軟件

autoruns工具是一款支持Windows32位和64位的啟動項（xiàng）目管理軟件，可以便捷的掌（zhǎng）握開機（jī）運（yùn）行程序，解除不必（bì）要的開（kāi）機進（jìn）行（háng），縮短開機時間提高（gāo）電腦性能，快來（lái）綠色（sè）資源網試試吧！

autoruns 如何使用

在綠色資（zī）源網下載皆有後，打開軟件可（kě）以見到（dào）15個（gè）標簽，列表下的內容全部是用類（lèi）似注冊（cè）表編輯器的方式顯示的。

以刪除有問（wèn）題的（de）驅動保護操（cāo）作為例：

如通過（guò）SRENG掃描（miáo）日誌發現有（yǒu）個不明驅動項目USBVM31B.SYS在機中活動！（這裏（lǐ）僅僅是在舉例，實際上這（zhè）個（gè）服務項目是攝像頭驅動，而且為了說（shuō）明問題我（wǒ）對（duì）該映像文件的“屬性”做了（le）修改，實際該文（wén）件並非病毒驅動文（wén）件，不可照搬使用哦！） 

1.選項--勾選“隱藏微軟項（xiàng）目”--按菜單欄下常用工具欄的“刷新”按鈕，排（pái）除不（bú）必要的（de）正常自啟動項目；

2.“文件”--“查找”--輸入“USBVM31B.SYS”--回車，讓AUTORUNS自（zì）動查找包（bāo）括“USBVM31B.SYS”字段的自啟動值項並定位； 

3.發現USBVM31B.SYS這個DD有（yǒu）驅動保護，且驅（qū）動保（bǎo）護項目為ZSMc301B；

4.右鍵該項目條，選擇“屬性”，發現（xiàn）該映像文件創建時間是今天。因為最近沒有安裝新軟件和硬件，感覺其有重大（dà）安全隱患（huàn）；

5.右鍵該項目條，選擇（zé）“GOOGLE/MSN”，在網上查找該映像文件的相關資料；

6.經過在網絡上查找（zhǎo）資料（liào）確（què）認，認（rèn）定該文件為病毒文件（jiàn）（為說明問（wèn）題才這樣說的，別當真！），這就證明ZSMC301B這個自啟動項目就（jiù）是病毒（dú）的驅動保護。在該項目條上右鍵，選擇“刪除”，刪（shān）除了該自啟動項之（zhī）後， USBVM31B.SYS這個病毒文件失去了驅動保護，也就無用武之地了，而且可以直接用“SHIFT”+“DEL”刪除（如果不刪（shān）除此（cǐ）驅動保（bǎo）護，你會發現在刪除“USBVM31B.SYS”這個映像文件時，會出現“該文件正在運行，請關閉相關（guān）的程序後（hòu）再刪除”之類的提示，或者即便能刪除（chú）也會很快複活（huó）。這就是病毒或流氓軟件熱衷於此的根本原因）；

7.為了徹底不留後患，按照AUTORUNS提供的信息（xī）找到該映像文件（刪除ZSMC301B這個（gè）自啟動項前可以在其項目條上右（yòu）鍵，選擇“複製”，將複製（zhì）內容粘貼到寫字（zì）板或記事本中，以便刪除映像文件時查找該文件的路徑和文件名），刪除c:windowssystem32driversUSBVM31B.SYS這個文件。

Autoruns軟件介（jiè）紹

Autoruns for Windows 是 Mark Russinovich 和 Bryce Cogswell 開（kāi）發的一款軟件，它能用於顯示在 Windows啟動或登錄時自動運行的（de）程序，並且允許用（yòng）戶有選（xuǎn）擇地禁用或刪除它們（men），例如（rú）那些在“啟動”文件夾和注冊表相關鍵中的程序。此外，Autoruns還（hái）可以修改包括：Windows 資源管理器的 Shell 擴展（zhǎn）（如右鍵彈出菜單）、IE瀏覽器（qì）插件（如工具欄擴展）、係統服務和（hé）設備驅動程序、計劃（huá）任務等（děng）多種不同的自啟動程序。

主要功能

1.“英特（tè）網瀏覽器”：對應的是IE所有瀏覽器幫助對象（BHO）、網絡URL地址搜索鉤子、各類IE工（gōng）具條以及IE常用工（gōng）具欄按（àn）鈕所對（duì）應的注冊表子項和注冊表（biǎo）值項值。

2.“服務”：即（jí）HKLMSystemCurrentControlSetServices對（duì）應的開機（jī）自（zì）啟動（dòng）服務的項目。由於具備開機自啟動功能，而且依靠ROOTKIT技（jì）術可以隱蔽運行，所以是病毒（流氓軟件）最愛光臨的地方。

3.“驅動”：即HKLMSystemCurrentControlSetServices對應的開機自啟（qǐ）動驅動程（chéng）序的項目。同上，又一個病毒經常光（guāng）臨的樂園。

4.“計劃任務”：和“開始”--“程序”--“附件”--“係統信息”--“任務計劃”中的內容（róng）是完全一致的，一般為空（kōng）。

5.“資源管理（lǐ）器”：對應資源管理器在注冊表上的子項和值（zhí）項（xiàng）。

6.“LSA提供商”： LSA的全稱為“Local Security Authority”--本地安全授（shòu）權，Windows係統中一個相當重要（yào）的服務，所有安全認證相關的處（chù）理都要通過這個服務。它從 Winlogon.exe中獲取用戶的賬號和密碼，然後經過密鑰機製（zhì）處理（lǐ），並和存儲在（zài）賬號（hào）數據庫中的密鑰進行對比，如果對比的結果匹配，LSA就認（rèn）為用戶的身份有效，允許用戶登錄計算機。如果對比的結果不匹配，LSA就認為（wéi）用戶的身份無效。這時用戶就無法登錄計算機。

7.“APPINIT”：初始化動態鏈接庫，其（qí）內容是開機時係統加載的必要的（de）初始化動態（tài）鏈接庫文件。除了卡（kǎ）巴斯基等少數軟件需要通過添加dll文件到此處實現從開機就接管係統底層的目的外，一般此項目應為空。

8.“WINSOCK提供商”：顯示已注冊的WINSOCK協議，包括WINSOCK服務商。由於目前隻有很（hěn）少的工具能夠移（yí）除該項目下的內容，惡意軟件經常偽裝成WINSOCK服務商實（shí）現自我安裝。AUTORUNS可以卸載此（cǐ）項目下的內容，但不能禁用（yòng）他們（men）。

9.“映像劫持（chí）”：在此標簽下的內（nèi）容對應的應用（yòng）程序，開機後即被係統強製劫持而不（bú）能運行（就是我們經常說的IFEO，即係統自帶的應用程序映像劫（jié）持功能）。

10.“啟動執（zhí）行”：在係統登陸前（qián）啟動的本地映像（xiàng）文件（即WINDOWS映像文件的對稱）及自啟動（dòng）項的情況。形象地理解一下，就（jiù）是貌似瑞星的係統登陸（lù）前掃描這樣的自（zì）啟動項。

11.“打（dǎ）印監視器”：顯示在PRINT SPOOLER服務中被加載的DLL文件。一些惡意軟件可能利用此服務項目實現開機自啟動（dòng）。

12.“WINLOGON”：WINLOGON登陸項對應的自啟動注冊表（biǎo）子項（xiàng）及值項。

13.“KNOWNDLLS”：係統中已知（zhī）的DLL文件（jiàn）。