Autoruns – Come Funziona e Come Utilizzarlo Velocemente

Autoruns è uno strumento gratis che permette di individuare tutti i programmi che sono eseguiti automaticamente all’avvio del sistema per tutti gli utenti.

Avviando Autoruns si apre la finestra che mostra tutte le varie sezioni in cui può essere impostato l’avvio automatico delle applicazioni.

Per ogni elemento vengono mostrate le seguenti colonne

Autorun Entry – Mostra il nome del programma.

Description – Una breve descrizione dell’applicazione impostata per essere eseguita all’avvio del sistema.

Publisher – Il nome  dell’azienda che ha prodotto il programma.

Image Path – Il percorso dell’applicazione.

Inoltre se si attiva l’opzione OptionsVerifies Code Signatures accanto a Publisher viene mostrato un’ulteriore indicazion che può essere Verified o Unverified a seconda che Autoruns sia in grado di verificare o meno se l’applicazione ha una firma digitare autentica.

Tra le varie schede che compongono la parte principale di Autoruns le principali sono

Everything

Selezionando questa scheda vengono mostrate tutte le applicazioni impostate per l’avvio automatico.

Logon

In questa sezione vengono mostrate le applicazione avviate nella fase di logon.

Il logon è definito dalla chiave di registro HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit che ha come valore di default C:\WINDOWS\system32\userinit.exe.

Questa chiave supporta l’utilizzo di più valori separati da una virgola e questa caratteristica è utilizzata spesso da malware per fare in modo da essere avviati automaticamente.

In questa sezione troviamo inoltre i valori impostati nelle altre chiavi di registro utilizzate in fase di avvio come HKCU\Software\Microsoft\Windows\CurrentVersion\Run e HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Explorer

In questa scheda vengono mostrati elementi come le estensioni della shell utilizzate per permettere a un programma di aggiungere elementi al menu di explorer che si apre quando si clicca con il tasto destro su un file.

Internet Explorer

Mostra estensioni e toolbar di Internet Explorer.

Services

Elenca i servizi impostati per avviarsi alla partenza di Windows.

Drivers

In questa sezione vengono elencati tutti i driver che non sono disabilitati.

Scheduled Task

In questa scheda vengono mostrate eventuali operazioni pianificazioni impostate.

Boot Execute

Mostra i valori definiti nella chiave di registro HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute.

Questa chiava è utilizzata dai programmi che devono essere eseguiti in fase di avvio al prossimo riavvio del sistema come una scansione del disco.

Possiamo analizzare i menu che Autoruns ci mette a disposizione.

File

Compare – Permette di confrontare la situazione attuale con un log salvato in precedenza.

Save – Salva un log utilizzabile per fare confronti in seguito.

Find – Cerca il termine specificato.

Refresh – Aggiorna le informazioni visualizzate.

Exit – Termina Autoruns

Entry

In questo menu si trovano una serie di opzioni che permettono di operare con l’elemento che è selezionato.

Delete – Elimina l’elemento selezionato che non viene più eseguito all’avvio del sistema.

Copy – Copia l’elemento selezionato.

Verify – Verifica l’autenticità della firma digitale dell’elemento selezionato.

Jump To – Apre la chiave di registro o la cartella che è responsabile dell’avvio dell’elemento selezionato.

Process Explorer – Se Process Explorer è in esecuzione mostra le proprietà dell’elemento selezionato in questo programma.

Properites – Mostra le proprietà dell’elemento selezionato.

Options

Include Empty Sections – Se questa opzione è abilitata vengono mostrate anche le sezioni che non contengono elementi.

Verify Code Signature – Quando viene attivata questa opzione Autoruns cerca di verificare la firma digitale di tutti gli elementi.

Hide Signed Microsoft Entries – Nasconde gli elementi Microsoft con una firma digitale autentica.

User

Tramite questo menu è possibile selezionare per quale utente si vuole analizzare i programmi configurati per essere eseguiti all’avvio del sistema.