利用微软出品的 AUTORUNS 揪出流氓软件-HEU8

“常在网上浪，哪有不湿鞋”，相信大家在网上下载东西的时候，一不小心就被虚假的地址坑了，下回来是一个捆绑各种流氓软件的程序，一旦运行就会在你后台自动下载安装N个软件。

你想卸载它，没那么容易！每个流氓软件的程序，都会通过各种手动隐匿在你的系统中，哪怕你安装了各种杀毒软件，也有可能会杀不尽，流氓程序可能会植入驱动程序、任务计划、映像劫持、注入DLL、自我保护、自动复制、交叉感染等方式来执行本身。

锋哥的猛男表哥就中了流氓软件，他表示怎么杀都杀不掉，工作时来弹窗，表示搞得很烦。

其实不管啥流氓软件一旦开始作恶，那肯定会在系统里面有踪影，但是你想通过系统自带的任务管理器来寻找这些流氓软件，比较难，无法查看到具体的底层信息。

所以今天雷锋哥给大家推荐微软出品的超强启动管理器「Autoruns」能全面查看检查系统的方方面面的项目，如启动项、服务、注册表、驱动程序加载、任务计划、插件管理等等。

另外给大家科普下，原先「Autoruns」是著名工具程序集「Sysinternal Suite」里面的一款软件，后来被微软收购了，所以现在是由微软在维护更新这款工具。

使用 Autoruns 揪出流氓软件

为了给大家演示「Autoruns」使用，锋哥还专门去找了一个流氓软件安装包测试。有时候当你下载到这样的捆绑包，你以为点右上角 X 关闭，就不会安装了？太年轻了….

当你点击关闭，其实流氓包已经愉快的会在后台偷偷静默下载安装了，可以看下面的动图，关闭退出后桌面立刻跳出了一个悬浮飘窗广告。

桌面开始慢慢出现一堆软件的快捷方式，删除流氓软件安装包，提示正在使用中，任务管理器结束进程，结束了，又自启动。

几分钟后，桌面已经开始出现一堆弹窗和漂浮窗，关闭隔一会又弹，系统也开始变卡了，「Windows 10」表示我TM太难了……

这时候就需要「Autoruns」登场了，用它来分析这些偷偷安装的程序都藏在系统什么地方。

从「Autoruns」里面可以看到，有些流氓软件已经自动加入计划任务列表了，当你卸载这些软件时，会存留一个离线下载程序，利用计划任务不定时的帮你重新安装上，这就是所谓的流氓软件跟小强一样，怎么杀都杀不完。

这时可以从「Autoruns」的计划任务列表里，查看到程序所在的位置，然后手动删除，并从计划任务列表里删了任务。

右键菜单也是被添加了一堆项目，即使你卸载了软件，也有可能会残留，不管那么多，全部右键删除掉。

系统服务也被添加了很多项目，并且还是自启动，你卸载后这些服务还会残留，同样直接右键删除。

还有以系统级的驱动方式植入，即使你卸载了，系统可能还是会加载这个流氓 “驱动” ，然后又偷偷的帮你安装回来软件。

你也可以单独切换项目页来分析哪些是流氓软件的残留文件，遇到不认识的文件，可以右键在线搜索。

也可以选中文件后，右键选择 “上传到 VirusTotal” 在线查毒网站进行分析是否有病毒。

为避免有些流氓软件会采用系统项方式植入，你还需要在选项目里去掉”隐藏微软条目”，可以看到更多的文件项目。需要注意的是系统的项目不要乱修改删除哦，否则系统可能会崩了。

通过「Autoruns」的全方位查找，不管隐藏在系统哪个位置的流氓安装程序，都可以找出来并删掉。

需要注意的是，有些流氓软件的文件采用系统管理级，你需要用管理员方式运行「Autoruns」才能删除。又或者可以试试粉碎强制删除文件的软件来删除。

另外你也可以配合这款「Geek Uninstaller」免费小巧的程序卸载软件，可以对软件强制卸载并清理注册表条目。

那么如何避免上网下载到这些流氓全家桶包呢？雷锋哥根据自己的经验给大家分享下，也欢迎留言补充：

总结

「Autoruns」对资深系统维护人员来说应该熟悉不过了，很多时候系统的疑难杂症问题，也可通过「Autoruns」来分析解决，也可以作为系统优化工具，减少启动项、服务等。

最后不管你现在有没有中流氓软件，还是推荐大家下载一个备用，还是那句话”常在网上浪，哪有不湿鞋”。

下载

利用微软出品的 AUTORUNS 揪出流氓软件