Autoruns

Autorunsを13.51

4.95つ星のうち4.9（944票）

（2016年1月4日）

Windowsの（すべて）/フリーウェア/141599ダウンロード

Autorunsをプログラムがシステム起動やログイン時に実行するように構成されている何を示しており、あなたのWindowsがそれらを処理するためのエントリを示しています。これらのプログラムは、スタートアップフォルダ、ファイル名を指定して実行、RunOnceを、および他のレジストリキーでのものが挙げられます。 「ショーMicrosoft以外の唯一の"オプションを使用すると、システムに追加されたサードパーティ製の自動起動画像にズームインすることができます。あなたは、おそらく自動的に起動されているどのように多くの実行可能ファイルに驚かれることでしょう。

    使い方

Autorunsはマルウエアであろうと正常なプログラムであろうと関係なく、全ての自動起動エントリをリストアップします。

マルウェアの自動起動エント リを発見するにはリストアップされた全てのエントリについて、個々に検証する必要があります。

その後、マルウェアの自動起動エントリとマルウェア本体を削除することになります。

実際にAutorunsを起動させて見ると明らかなのですが、Autorunsがリストアップする自動起動エントリは、かなりの数に上ります。

全てのエン トリの検証は大変です。

そこで、マルウェアの自動起動エントリを含まないリスト（以降、擬似的クリーンリスト）を作成します。

そして、このリストと現在のリスト（マル ウェアの自動起動エントリを含む可能性のあるリスト）を比較し、増えているものだけを検証するという手法を用いることにします。

擬似的クリーンリストの作成方法は、§４．「擬似的クリーンリストの作成方法」を参照してください。

以下は、Autorunsによるリストの作成方法です。

（Step_1）　C:\Autoruns フォルダを作成し、このフォルダに　Autoruns　をダウンロード。もしくは、ダウンロードしてある　Aurtorans　をこのフォルダに移動。
（Step_2）　セーフモードで再起動。

• ・マルウェアを起動させないために必ずセーフモードで起動します。
• ・多くのマルウェアはマルウェアが起動されるためのキーを監視しています。もしも削除されるような状態があれば、自動的にスター トアップキーを変更して、削除されることを妨害します。
• ・マルウェアが削除を妨害するために設けた防御をかいくぐるためにセーフモードで起動します。

（Step_3）　C:\Autoruns\Autoruns.exe をダブルクリックして起動。
起動するとAutorunsは直ちに自動起動エントリの作成にかかります。

上図類似の画面になります。
以下はタブの説明です（上図の赤の囲みの部分）。

• Logon　：　このエント リは、現在のユーザ、全てのユーザ、RunRegistryKey、標準アプリケーション起動場所などの標準的自動起動位置のスキャン結果を表示していま す。
• Explorer　：　Explorer シェルエクステンション、ブラウザヘルパーオブジェクト、Explorerツールバー、アクティブなセットアップ実行、シェル実行のフックを閲覧するに は、このタブを選択します。
• Internet Explorer　：　こ のエントリは、ブラウザヘルパーオブジェクト、インターネットエクスプローラのツールバーと拡張を示している。
• Services　：　シス テムをブートしたとき、自動的に起動するために設定されている全てのWindowsサービスを表示しています。
• Scheduled Tasks　：　タ スクスケジューラはブートやログオンの開始を設定します。
• AppInit DLLs　：　こ のタブはアプリケーション初期化DLLとして登録されているDLLを示しています。
• Boot Execute　：　ブー トプロセスの間の早期に稼働するネイティブのイメージ(Windowsイメージに対して)。
• Image Hijacks　：　自 動起動を準備しているイメージ・ファイル実行オプションとコマンド。
• Winlogon Notifications　：　ロ グオン時にWinlogon警告を登録しているDLLを示します。
• Winsock Providers　：　登 録されているWinsockプロトコル表示します（Winsockサービスプロバイダを含む）。しばしば、マルウェアはそれ自身をWinsockサービス プロバイダとして登録します。その理由はそれらを削除するツールが殆ど無いためです。Autorunsはこれらをアンインストールできます。しかし、一時 停止にすることは出来ません。

（Step_4）　

赤の囲みが"Ready"になればスキャン終了です。
上図類似の画面で、日本語フォントを変更したい場合は"Font"をクリックします。何を選択すればいいのか解らない場合は　system　を選択してお いてください。
設定は

• # Hide Signed Microsoft Entries
• # Verify Code Signatures

にチェックがついていることを確認してください。
（Step_5）　リストに目を通し、削除したいファ イルを探します。ファイル名は"Image Path"列の下に表示されています。マルウェアは複数の始動エントリを作成するのが一般的です。同じファイルに関連付けられているエントリが一つ以上あ るかもしれません。
多くのマルウェアは公式のマイクロソフトのファイルと同じファイル名を使用することによって偽装します。そこで、マルウェアを削除するためにはマルウェア が偽装したファイルはどれなのか？？　マルウェアが存在しているフォルダはどれなのか？？　を明確にする必要があります。
この情報を得るために BleepingComputerが提供するスタートアップデータベース（英 文）、あるいはリストアップされたファイル名等をGoogleで検索してください。Autoruns.exeが表示したリストのファイルのうち擬似的ク リーンリストに存在しないものを一つ一つ検証してください。

コンテキストメニューの説明
検証するための情報の収集やエントリポイントに移動するにはコンテキストニューを利用すると便利です

• リストアップされたエントリを選択し、右クリックするとコンテキストメニューが表示されます。
• Jump to ; 起動エントリにジャンプします。例えば、起動エントリがレジストリであれば、レジストリエディタが起動し、選択しているエントリの起動場所が表示されま す。
• Google ; 選択したエントリに関するGoogleの検索結果が表示されます。
• Properties ; 選択したエントリのプロパティが表示されます。
• Process Explorer ; SysInternalの提供するプロセスエクスプローラをインストールしておく必要があります。ファイルを起動しているDLL等の情報が表示されます。
  http://www.sysinternals.com/Utilities/ProcessExplorer.html

（Step_6）　削除する前に表示されているリスト を .txt 形式で保存します。

• メニューの "File" から "Save as" をクリックし適当な名前を付けて保存します。

（Step_7）　マルウェアに関連付けられたエント リを発見したら削除します。

• 削除したいエントリの上で右クリックしDelete選択すれば、このスタートアップエントリはレジストリから削除されます。
• 上記操作でレジストリのエントリは削除されますのでマルウェアが開始されることはなくなりますが、マルウェアのファイルは残っ ています。（Step_8）に進みマルウェア本体を削除します

（Step_8）マルウェア本体の削除

• 隠しファイルの設定になっている場合が有りますから、下のリンクにしたがって全てのファイルを表示する設定に変更します。
  http://www-6.ibm.com/jp/domino04/pc/support/Sylphd02.nsf/jtechinfo/SYJ0-0295AD6
• 削除したいファイルの名前と場所はAutorunsの"ImagePath"列に表示されています。保存したテキストファイル で確認しつつ、マイコンピュータかExplorerから削除したいファイルに辿り着き削除します。マイコンピュータから検索を用いても辿り着けます。
• 複数のマルウェアのエントリが発見された場合は、Step_8とStep_9の操作を各エントリについて繰り返します。

    ちなみに

まだ、優秀なウィルス対策ソフトが出て来る前手動でマルウェアの活動を観察し、「経験」と「勘」を頼りに「この種のツール」で対策したのが懐かしい…。

もう、ずいぶんと昔、Symantecだったか、もっと前の会社だったかの技術さんとも直話をした経験がある…。

聞く方も答える方も、相当に「いい加減な質問・対応」をしていたものです。

当事者が言っているのだから、一番間違えが無い…。