🕵️ Ваш компьютер микро-фризит, антивирус молчит, а NPU в простое грузится на 20%? Вы столкнулись с теневой автозагрузкой.
В 2026 году персистентность — это многоуровневая архитектура: агрессивная телеметрия, фоновые ИИ-агенты, WMI-подписки и задачи планировщика. Чтобы увидеть систему насквозь, нужен хирургический скальпель. Таким инструментом остается Autoruns от Sysinternals.
🛠 Подписывайтесь на канал «Настройки Windows» — здесь мы разбираем ОС без маркетинговой шелухи и даем только рабочие технические решения.
🛡️ ВЗНОС В РАЗВИТИЕ КАНАЛА И СОЗДАНИЕ ПОЛЕЗНЫХ СКРИПТОВ 🛡️
Сегодня разберем Autoruns так, чтобы вы могли отличить легитимный телеметрический мусор от скрытого стиллера и зачистить систему, не превратив её в бесполезный набор микросхем.
Установка и подготовка: правила игры в 2026 году
💾 Autoruns — портативный инструмент. Он не оставляет хвостов в реестре и не создает фоновых служб. Скачиваем утилиту исключительно с официального ресурса Microsoft.
Распаковываем архив в защищенную папку:
Распаковываем в C:\Sysinternals\ (Создать)
⚠️ Критически важно: используйте Autoruns версии 14.2 или новее (обновление мая 2026 года). Только эти сборки поддерживают отображение Windows packaged apps (UWP/MSIX) — именно через них сегодня автозагружаются современные приложения из Microsoft Store. Старые версии просто не видят этот слой персистентности.
🛡️ Запускаем Autoruns64.exe строго от имени Администратора. Без этих прав утилита не прочитает защищенные ветки реестра и системные драйверы.
💡 Примечание: Windows 10 получила последние бесплатные обновления 14 октября 2025. Если вы используете «десятку» по программе ESU (Extended Security Updates), все описанные ниже методы работают идентично Windows 11.
🧹 Чтобы не утонуть в шуме, в Options включаем Hide Microsoft Entries и Hide Windows Entries. Для финального аудита раз в квартал фильтрацию нужно отключать.
Интерфейс и цветовая маркировка: учимся читать цвета
Желтый фон:
У записи нет цифровой подписи. В 2026 году, при ужесточении требований Microsoft, желтый цвет для стороннего софта — это «красный флаг». Изучайте путь и хэш.
Розовый фон:
Файл физически не найден на диске. Это «призраки» удаленных программ. Они тратят таймаут системы при загрузке. Смело отключаем.
Светло-зеленый фон:
Запись добавлена недавно. Удобно для отслеживания софта, прописавшегося после вчерашнего обновления.
Красный фон:
Запись скрыта от стандартных средств просмотра. Почти гарантированный индикатор компрометации.
Разбор ключевых вкладок: где прячутся демоны
🚪 Вкладка Logon (Вход в систему)
Классическая автозагрузка. Нас интересуют три зоны:
- Explorer / Shell: параметр Shell должен указывать только на explorer.exe. Любой .bat или expl0rer.exe — это перехват сессии.
- Logon: записи из веток Run и RunOnce. Безопасно отключать лаунчеры игр и облачные синхронизации. Нельзя трогать аппаратные утилиты.
- LSA Providers: если здесь незнакомая DLL с желтым цветом — система скомпрометирована на уровне ядра безопасности.
⚙️ Вкладка Services (Службы)
Показывает реальный путь к файлу (ImagePath). Это критично для выявления атак Masquerading. Злоумышленник может назвать службу WindowsTelemetrySync, но Autoruns покажет, что путь ведет не в C:\Windows\System32\, а в C:\Users\Public\Documents\svchost.exe. Легитимный svchost.exe никогда не запускается из папки пользователя. Снимаем галочку, не удаляем.
🧬 Вкладка Drivers (Драйверы)
Самая опасная вкладка. В эпоху жесткой политики HVCI загрузка уязвимого драйвера равносильна захвату системы. Сегодня популярны атаки BYOVD (использование легитимных, но уязвимых драйверов). Ищем желтые драйверы без подписи WHQL и низкий рейтинг VirusTotal. Если не уверены — снимаем галочку и перезагружаемся.
🛡️ Smart App Control (SAC): в Windows 11 25H2 эта функция включена по умолчанию для новых установок. SAC блокирует запуск неподписанных приложений и драйверов с низкой репутацией. Именно поэтому злоумышленники перешли на BYOVD-атаки с легитимными, но уязвимыми подписанными драйверами — их Smart App Control пропускает.
📅 Вкладка Scheduled Tasks (Планировщик заданий)
Любимое место скрытия угроз в 2026 году. Реестр контролируют EDR, а планировщик огромен. Ищем задачи, запускающие PowerShell с аргументами -enc (закодированные команды) или -w hidden (скрытое окно). Задачи с именами вроде {A1B2-C3D4...} в папке AppData\Local\Temp — немедленно отключаем.
☁️ Windows 365 / Cloud PC: если вы используете облачный ПК, часть записей автозагрузки управляется через Intune или Group Policy. Перед отключением убедитесь, что запись не является корпоративной политикой.
💳 Донат через Ozon (от 10 ₽. Получатель: Александр Г.)
Философия безопасного отключения: «Не навреди»
🛑 Никогда не жмите Delete. Физическое удаление ключа реестра сложно откатить. Всегда снимайте галочку (Disable).
💾 Делайте бэкапы. Перед чисткой идем в File → Save и сохраняем состояние в файл .arn. Это ваш сейв-поинт.
🔄 Используйте Compare. Сделайте снимок системы до установки подозрительного софта и после. Функция Compare покажет только новые или измененные записи. Идеально для поиска скрытых майнеров.
🛡️ Чистка в Safe Mode. Упорные угрозы блокируют снятие галочек. Перезагрузитесь в Безопасном режиме — там вредоносные драйверы не стартуют и беззащитны.
🗑️ Физическое удаление мусора. После отключения записей очистите папки:
Remove-Item -Path "$env:TEMP\*", "$env:SystemRoot\Prefetch\*" -Recurse -Force -ErrorAction SilentlyContinue
Интерактив: проверьте себя прямо сейчас
Откройте Autoruns от имени администратора. Перейдите на вкладку Logon и отсортируйте список по колонке Image Path. Найдите запись с желтым фоном, которая не относится к вашим самописным скриптам. Напишите в комментариях, что это за файл. Разберем самые опасные находки в следующих постах.
Что дальше: автоматизация через PowerShell
Графический интерфейс Autoruns идеален для точечной работы. Но что делать, если нужно провести аудит на двадцати машинах в корпоративной сети? Или быстро выгрузить подозрительные записи в CSV для отправки коллегам по ИБ? Или настроить регулярный мониторинг автозагрузки без участия человека?
Здесь в игру вступает PowerShell — универсальный язык автоматизации Windows. Читайте дополнительно:
Резюме: контроль над периметром
🏰 Регулярный аудит вкладок Logon, Services, Drivers и Scheduled Tasks позволяет выявить тихие угрозы, обходящие эвристические сканеры. Вы зачистили автозагрузку, отключили лишнее, обезопасили ядро. Периметр под контролем.
Но автозагрузка — это лишь дверь. Механизмы, которые мы отключали галочками, физически прописаны в глубинных недрах ОС. Реестр Windows в 2026 году — это минное поле, где одна удаленная ветка в HKLM\SYSTEM\CurrentControlSet может отправить систему в бесконечный цикл BSOD.
Autoruns дал нам карту. Но чтобы построить настоящую крепость, нужно научиться саперному делу. Как редактировать реестр, не убив ОС, и какие скрытые разделы нужно проверить в первую очередь — разберём в статье №19:
«Реестр Windows: саперные будни системного инженера».
👍 Если материал помог найти скрытые угрозы — ставьте лайк, подписывайтесь на канал и делитесь статьёй с друзьями, которым тоже надоело, что их ПК работает не на полную мощность, а так же чтобы не пропустить ничего интересного.
#windows11 #autoruns #sysinternals #безопасностьпк #оптимизацияwindows #настройкиwindows #кибербезопасность #windows25h2 #поисквирусов #sysadmin #очисткапк #твикерwindows #защитаданных #планировщикзаданий #драйверыwindows #скрытыепроцессы #byovd #smartappcontrol #windows10 #esu
✴️ Дорогие друзья. Если статья оказалась полезна, одна СТЕЛЛА от вас = мощная реклама для сотен людей. Поддержите контент, чтобы проблемы и решения находились быстрее! ✴️
С уважением. Александр, канал "Настройки Windows" на Яндекс.Дзен