autoruns工具是一款支持Windows32位和64位的啟動項目管理軟件，可以便捷的掌握開機運行程序，解除不必要的開機進行，縮短開機時間提高電腦性能，快來綠色資源網(wǎng)試試吧！

autoruns 如何使用

在綠色資源網(wǎng)下載皆有后，打開軟件可以見到15個標簽，列表下的內容全部是用類似注冊表編輯器的方式顯示的。

以刪除有問題的驅動保護操作為例：

如通過SRENG掃描日志發(fā)現(xiàn)有個不明驅動項目USBVM31B.SYS在機中活動?。ㄟ@里僅僅是在舉例，實際上這個服務項目是攝像頭驅動，而且為了說明問題我對該映像文件的“屬性”做了修改，實際該文件并非病毒驅動文件，不可照搬使用哦?。?nbsp;

1.選項--勾選“隱藏微軟項目”--按菜單欄下常用工具欄的“刷新”按鈕，排除不必要的正常自啟動項目；

2.“文件”--“查找”--輸入“USBVM31B.SYS”--回車，讓AUTORUNS自動查找包括“USBVM31B.SYS”字段的自啟動值項并定位； 

3.發(fā)現(xiàn)USBVM31B.SYS這個DD有驅動保護，且驅動保護項目為ZSMc301B；

4.右鍵該項目條，選擇“屬性”，發(fā)現(xiàn)該映像文件創(chuàng)建時間是今天。因為最近沒有安裝新軟件和硬件，感覺其有重大安全隱患；

5.右鍵該項目條，選擇“GOOGLE/MSN”，在網(wǎng)上查找該映像文件的相關資料；

6.經(jīng)過在網(wǎng)絡上查找資料確認，認定該文件為病毒文件（為說明問題才這樣說的，別當真?。@就證明ZSMC301B這個自啟動項目就是病毒的驅動保護。在該項目條上右鍵，選擇“刪除”，刪除了該自啟動項之后， USBVM31B.SYS這個病毒文件失去了驅動保護，也就無用武之地了，而且可以直接用“SHIFT”+“DEL”刪除（如果不刪除此驅動保護，你會發(fā)現(xiàn)在刪除“USBVM31B.SYS”這個映像文件時，會出現(xiàn)“該文件正在運行，請關閉相關的程序后再刪除”之類的提示，或者即便能刪除也會很快復活。這就是病毒或流氓軟件熱衷于此的根本原因）；

7.為了徹底不留后患，按照AUTORUNS提供的信息找到該映像文件（刪除ZSMC301B這個自啟動項前可以在其項目條上右鍵，選擇“復制”，將復制內容粘貼到寫字板或記事本中，以便刪除映像文件時查找該文件的路徑和文件名），刪除c:windowssystem32driversUSBVM31B.SYS這個文件。

Autoruns軟件介紹

Autoruns for Windows 是 Mark Russinovich 和 Bryce Cogswell 開發(fā)的一款軟件，它能用于顯示在 Windows啟動或登錄時自動運行的程序，并且允許用戶有選擇地禁用或刪除它們，例如那些在“啟動”文件夾和注冊表相關鍵中的程序。此外，Autoruns還可以修改包括：Windows 資源管理器的 Shell 擴展（如右鍵彈出菜單）、IE瀏覽器插件（如工具欄擴展）、系統(tǒng)服務和設備驅動程序、計劃任務等多種不同的自啟動程序。

主要功能

1.“英特網(wǎng)瀏覽器”：對應的是IE所有瀏覽器幫助對象（BHO）、網(wǎng)絡URL地址搜索鉤子、各類IE工具條以及IE常用工具欄按鈕所對應的注冊表子項和注冊表值項值。

2.“服務”：即HKLMSystemCurrentControlSetServices對應的開機自啟動服務的項目。由于具備開機自啟動功能，而且依靠ROOTKIT技術可以隱蔽運行，所以是病毒（流氓軟件）最愛光臨的地方。

3.“驅動”：即HKLMSystemCurrentControlSetServices對應的開機自啟動驅動程序的項目。同上，又一個病毒經(jīng)常光臨的樂園。

4.“計劃任務”：和“開始”--“程序”--“附件”--“系統(tǒng)信息”--“任務計劃”中的內容是完全一致的，一般為空。

5.“資源管理器”：對應資源管理器在注冊表上的子項和值項。

6.“LSA提供商”： LSA的全稱為“Local Security Authority”--本地安全授權，Windows系統(tǒng)中一個相當重要的服務，所有安全認證相關的處理都要通過這個服務。它從 Winlogon.exe中獲取用戶的賬號和密碼，然后經(jīng)過密鑰機制處理，并和存儲在賬號數(shù)據(jù)庫中的密鑰進行對比，如果對比的結果匹配，LSA就認為用戶的身份有效，允許用戶登錄計算機。如果對比的結果不匹配，LSA就認為用戶的身份無效。這時用戶就無法登錄計算機。

7.“APPINIT”：初始化動態(tài)鏈接庫，其內容是開機時系統(tǒng)加載的必要的初始化動態(tài)鏈接庫文件。除了卡巴斯基等少數(shù)軟件需要通過添加dll文件到此處實現(xiàn)從開機就接管系統(tǒng)底層的目的外，一般此項目應為空。

8.“WINSOCK提供商”：顯示已注冊的WINSOCK協(xié)議，包括WINSOCK服務商。由于目前只有很少的工具能夠移除該項目下的內容，惡意軟件經(jīng)常偽裝成WINSOCK服務商實現(xiàn)自我安裝。AUTORUNS可以卸載此項目下的內容，但不能禁用他們。

9.“映像劫持”：在此標簽下的內容對應的應用程序，開機后即被系統(tǒng)強制劫持而不能運行（就是我們經(jīng)常說的IFEO，即系統(tǒng)自帶的應用程序映像劫持功能）。

10.“啟動執(zhí)行”：在系統(tǒng)登陸前啟動的本地映像文件（即WINDOWS映像文件的對稱）及自啟動項的情況。形象地理解一下，就是貌似瑞星的系統(tǒng)登陸前掃描這樣的自啟動項。

11.“打印監(jiān)視器”：顯示在PRINT SPOOLER服務中被加載的DLL文件。一些惡意軟件可能利用此服務項目實現(xiàn)開機自啟動。

12.“WINLOGON”：WINLOGON登陸項對應的自啟動注冊表子項及值項。

13.“KNOWNDLLS”：系統(tǒng)中已知的DLL文件。