Ordenadores Zombis, por Dani Alonso

Por Pilar Arguiriz Lusarreta | 16/10/2010 - 3:37 PM | artculos externos, internet, Security Essentials, sistema Noticia: En Pblico.es A veces, noticias como sta son la fuente de inspiracin para iniciar un nuevo artculo, como por ejemplo este de los ZOMBIS. Esta noticia nos dice que Espaa es el tercer pas del mundo con ms ordenadores zombis, y s ms de 380.000 ordenadores espaoles formaron parte en el segundo trimestre de este ao de redes de ordenadores zombis controlados por un tercero, segn un estudio realizado por Microsoft sobre equipos con sistema operativo Windows. El informe detalla las amenazas detectadas y eliminadas en ms de 600 millones de ordenadores analizados en todo el mundo, y sita a Espaa como tercer pas en nmero de infecciones. El primer lugar lo ocupa EEUU con ms de dos millones de ordenadores zombis, seguido de Brasil, que supera el medio milln. El estudio destaca tambin que Espaa pasa a ocupar el segundo puesto cuando, en lugar de contabilizar el nmero total de ordenadores infectados por pases, se especifica el nmero de infecciones por cada mil operaciones de limpieza solicitadas. En este caso, Corea del Sur (14,6), Espaa (12,4) y Mxico (11,4) encabezan los primeros puestos. El estudio tiene como fin alertar a los usuarios de que su ordenador puede formar parte de una red que lo utiliza para enviar spam o atacar pginas web. Entre abril y junio de este ao Microsoft ha eliminado ms de 6,5 millones de infecciones, el doble que en los mismos meses de 2009. Pues aqu empieza mi entrada: Cmo puedo saber si mi ordenador es un zombi? Muchos se conformaran con recomendarte un escaneo online de algn antivirus, pero por desgracia no es suficiente y lo primero que tenemos que hacer es echar un vistazo a los procesos para ver si lo que est en ejecucin en nuestro PC es todo lo que creemos tener instalado. Para ello vamos al Administrador de tareas de Windows con la combinacin de teclas Ctrl+Alt+Supr, o incluso mejor vamos a utilizar una magnfica herramienta llamada Process Explorer

Vamos al men View, seccin select columns y marcamos Command line para mostrarla. Con estas herramientas podemos ver todos los programas que estn en ejecucin y en qu directorio se encuentran. Tambin es muy muy interesante saber si hay algn programa que se intenta ocultar, para ello vamos a utilizar otra interesante herramienta llamada RootkitRevealer que detecta correctamente todos los rootkits persistentes publicados en www.rootkits.com.

Como ya sabis, un zombie se produce por la infeccin de un malware daemon que requiere Internet para poder ser controlada, as que una de las actividades principales de estos bichos est en las conexiones. Por tanto vamos a comprobar si nuestro equipo se est conectando a sitios conocidos.

Si nos gusta jugar con comandos, el que debemos utilizar es NETSTAT -B, que nos dir de manera muy clara qu aplicaciones son los responsables de cada conexin activa. Si lo preferimos con interface grfica, podemos utilizar TCPView

Ahora, sabiendo que los malware intentan arrancar junto al sistema, una de las comprobaciones que podramos realizar es en el Registro de Windows, a travs de regedit.exe. En concreto, estas claves son la claves:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnceSetup

Por ltimo, pero no ello menos importante, si queremos garantizar que nuestro equipo est lo ms protegido posible, debemos asegurarnos de tener el equipo 100% actualizado, contar siempre con software legal, y un buen y actualizado antivirus, por ejemplo Microsoft Security Essentials (que es gratis) Autor de este artculo: Dani Alonso

Anotacin hecha en los comentarios por Ramn Sola:

Los consejos de Dani Alonso estn muy bien, pero en mi opinin se podra sustituir o complementar la inspeccin manual de las claves del registro con la ejecucin del inefable Autoruns Autouns: documentacin y descarga

Lo bueno de la informtica es que podemos tener ms de 1.000 medios para llegar a un mismo fin. Autoruns y Autorunsc (http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx) son buenas opciones, adems tambin se podra nombrar msconfig, + pestaa inicio. etc. :-)

RootkitRevealer v1.71
Por Bryce Cogswell y Mark Russinovich Publicado: noviembre 1, 2006

Introduccin
RootkitRevealer es una utilidad avanzada de deteccin de rootkits. Se ejecuta en Windows NT 4 y versiones posteriores y su salida incluye una lista de discrepancias entre el Registro y la API del sistema de archivos que puede indicar la presencia de un rootkit de modo de usuario o de modo ncleo. RootkitRevealer detecta correctamente todos los rootkits persistentes publicados en www.rootkit.com, que incluyen AFX, Vence y HackerDefender (Nota: RootkitRevealer no est destinado a detectar rootkits como Fu que no intentan ocultar sus archivos ni sus claves del registro). Si lo usa para identificar la presencia de un rootkit, comunquenoslo. La razn por la cual ya no existe una versin de lnea de comandos es que los autores de cdigo malintencionado comenzaron a centrarse en el anlisis de RootkitRevealer mediante su nombre de archivo ejecutable. Por lo cual, tuvimos que actualizar RootkitRevealer para que ejecute su anlisis a partir de una copia con nombre aleatorio que se ejecuta como servicio de Windows. Este tipo de ejecucin no es favorable para una interfaz de lnea de comandos. Tenga en cuenta que puede usar las opciones de lnea de comandos para ejecutar un anlisis automtico con resultados registrados en un archivo, lo que es equivalente al comportamiento de la versin de lnea de comandos.

Qu es un rootkit?
El trmino rootkit se usa para describir mecanismos y tcnicas por los cules cdigo mal intencionado, incluidos virus, spyware y caballos de Troya, intentan ocultar su presencia de bloqueadores de spyware, antivirus y utilidades de administracin del sistema. Existen varias clasificaciones de rootkits que dependen de si el cdigo mal intencionado sobrevive el reinicio o si se ejecutan de modo de usuario o modo ncleo. Rootkits persistentes Un rootkit persistente est asociado con cdigo mal intencionado que se activa cada vez que se inicia el sistema. Debido a que dicho cdigo mal intencionado contiene cdigo que se debe ejecutar automticamente en cada inicio del sistema o cuando un usuario inicia sesin, debe almacenar cdigo en un almacenamiento persistente, como por ejemplo, el Registro o el sistema de archivos, y configurar un mtodo por el cul el cdigo se ejecute sin intervencin del usuario.

Rootkits basados en memoria Los rootkits basados en memoria son cdigo mal intencionado que no contienen cdigo persistente y por tanto no sobreviven un reinicio. Rootkits de modo de usuario Existen muchos mtodos por los cuales los rootkits intentan evadir la deteccin. Por ejemplo, es posible que un rootkit de modo de usuario intercepte todas las llamadas a las API de Windows FindFirstFile/FindNextFile, usadas por utilidades de exploracin del sistema de archivos, que incluyen Explorador y el smbolo del sistema, para enumerar el contenido de los directorios del sistema de archivos. Cuando una aplicacin realiza una lista de directorios que normalmente devolvera resultados que contienen entradas identificando archivos asociados con el rootkit, el rootkit intercepta y modifica la salida para eliminar las entradas. La API nativa de Windows sirve como interfaz entre clientes de modo de usuario y servicios de modo ncleo y los rootkits ms sofisticados de modo de usuario interceptan funciones de enumeracin del sistema de archivos, Registro y procesos de la API nativa. Esto evita su deteccin por parte de analizadores, que comparan los resultados de la enumeracin de una API de Windows con los devueltos por la enumeracin de una API nativa. Rootkits de modo ncleo Los rootkits de modo ncleo pueden ser an ms eficaces, debido a que no slo pueden interceptar la API nativa de modo ncleo, sino que tambin pueden manipular directamente estructuras de datos de modo ncleo. Una tcnica frecuente para ocultar la presencia de un proceso de cdigo mal intencionado es quitar el proceso de la lista de procesos activos del ncleo. Dado que las API de administracin de procesos dependen del contenido de la lista, el proceso de cdigo mal intencionado no se mostrar en herramientas de administracin de procesos como el administrador de tareas o el explorador de procesos.

Cmo funciona RootkitRevealer?

Dado que los rootkits persistentes funcionan cambiando los resultados de la API para que la vista de sistema que usan las API difiera de la vista real en almacenamiento, RootkitRevealer compara los resultados de un anlisis de sistema en el nivel ms alto con los del nivel ms bajo. El nivel ms alto es la API de Windows y el nivel ms bajo son los contenidos sin procesar de un volumen del sistema de archivos o de un subrbol del Registro (un archivo de subrbol es el formato de almacenamiento del registro en disco). As, los rootkits, sean de modo de usuario o de modo ncleo, que manipulan la API de Windows o la API nativa para eliminar su presencia de una lista de directorios, sern vistos por ejemplo por RootkitRevealer como una discrepancia entre la informacin devuelta por la API de Windows y la obtenida por el anlisis de nivel bajo de las estructuras del sistema de archivos del volumen FAT o NTFS. Puede un rootkit ocultarse de RootkitRevealer? Tericamente, es posible que un rootkit se oculte de RootkitRevealer. Hacerlo requerira interceptar lecturas de RootkitRevealer de datos de subrboles del Registro o datos del sistema de archivos y cambiar el contenido de los datos de manera tal que los archivos o datos de Registro del rootkit no estn presentes. Sin embargo, esto requerira un nivel de sofisticacin no visto en los rootkits en la actualidad. Los cambios a los datos requeriran un conocimiento ntimo de los formatos NTFS, FAT y subrboles de Registro, sumada la capacidad de cambiar estructuras de datos para que stas ocultan el rootkit, pero sin producir estructuras incoherentes o no vlidas ni discrepancias secundarias que pudieran ser marcadas por RootkitRevealer. Existe una manera segura de conocer sobre la presencia de un rootkit? En general, no en un sistema en ejecucin. Un rootkit de modo ncleo puede controlar cualquier aspecto del

comportamiento de un sistema, por lo cual la informacin devuelta por cualquier API, incluidas las lecturas de bajo nivel de datos de subrboles del Registro y del sistema de archivos realizadas por RootkitRevealer, pueden verse comprometidas. Si bien la comparacin de un anlisis en lnea de un sistema y un anlisis fuera de lnea desde un entorno seguro como, por ejemplo, el inicio en una instalacin de sistema operativo basada en CD, puede ser ms confiable, los rootkits pueden centrarse en dichas herramientas para evadir la deteccin incluso por ellos mismos. Lo fundamental es que nunca existir un analizador universal de rootkit, sino que los analizadores ms eficaces sern analizadores por comparacin en lnea/fuera de lnea integrados con antivirus.

Uso de RootkitRevealer
RootkitRevealer requiere que la cuenta desde la que se ejecuta tenga asignados los privilegios para hacer copias de seguridad de archivos y directorios, cargar controladores de dispositivos y realizar las tareas de mantenimiento del volumen (en Windows XP y versiones posteriores). El grupo Administradores tiene asignado estos privilegios de forma predeterminada. Para minimizar los falsos positivos al ejecutar RootkitRevealer en un sistema inactivo. Para obtener los mejores resultados, cierre todas las aplicaciones y mantenga inactivo el sistema durante el proceso de anlisis de RootkitRevealer. Si tiene alguna pregunta o problema, visite el foro Sysinternals RootkitRevealer.

Anlisis manual
Para analizar un sistema, incielo en ste y haga clic en el botn Scan. RootkitRevealer analizar el sistema e informar sus acciones en un rea de estado en la parte inferior de su ventana e indicar las discrepancias en la lista de salida. Opciones que se pueden configurar:

Hide NTFS Metadata Files: esta opcin est activada de forma predeterminada, por lo cual RootkitRevealer no muestra los archivos estndar de metadatos de NTFS que se ocultan de la API de Windows. Scan Registry: esta opcin est activada de forma predeterminada. Al desactivarla RootkitRevealer no realiza un anlisis del Registro.

Inicio de un anlisis automtico

RootkitRevealer admite varias opciones para el anlisis automtico de sistemas: usage: rootkitrevealer [-a [-c] [-m] [-r] outputfile] -a Permite analizar automticamente y salir al finalizar. -c Permite dar formato a la salida como CSV -m Permite mostrar archivos de metadatos de NTFS -r

No analiza el Registro. Observe que la ubicacin de la salida del archivo debe encontrarse en un volumen local. Si especifica la opcin -c, no se notificar del progreso y se imprimirn las discrepancias en formato CSV para una importacin sencilla en una base de datos. Puede realizar anlisis de sistemas remotos si se ejecuta con la utilidad de PsExec de Sysinternals mediante la siguiente lnea de comandos: psexec \\remote -c rootkitrevealer.exe -a c:\windows\system32\rootkit.log

Interpretacin de los resultados

Esta es una captura de pantalla de RootkitRevealer que detecta la presencia del popular rootkit HackerDefender. Las discrepancias de clave del Registro muestran que las claves del Registro que almacenan el controlador de dispositivo de HackerDefender y la configuracin del servicio no son visibles a la API de Windows, pero estn presentes en el anlisis de nivel bajo de los datos del subrbol del Registro. Del mismo modo, los archivos asociados de Hackerdefender no son visibles para el anlisis del directorio de la API de Windows, pero estn presentes en el anlisis de los datos sin procesar del sistema de archivos.

Debe examinar todas las discrepancias y determinar la posibilidad de que indiquen la presencia de un rootkit. Lamentablemente, no hay manera definitiva de determinar, segn la salida, si un rootkit est presente, pero debera examinar todas las discrepancias informadas para asegurarse de que tienen explicacin. Si determina que tiene un rootkit instalado, busque en la Web para obtener las instrucciones de eliminacin. Si no est seguro sobre cmo quitar un rootkit, deber volver a dar formato al disco duro de sistema y reinstalar Windows. Adems de la siguiente informacin sobre discrepancias de RootkitRevealer posibles, el foro de RootkitRevealer en Sysinternals trata sobre rootkits detectados y falsos positivos especficos.

Oculto de la API de Windows.

Estas discrepancias aparecen en la mayora de los rootkits, sin embargo, si no activ Hide NTFS metadata files ver varias de estas entradas en cualquier volumen NTFS dado que NTFS oculta sus archivos de metadatos, tales como $MFT y $Secure, de la API de Windows. Los archivos de metadatos presentes en volmenes NTFS varan con la versin de NTFS y las caractersticas de NTFS habilitadas en el volumen.

Tambin existen productos antivirus, como Kaspersky Antivirus, que usan tcnicas de rootkit para ocultar datos almacenados en secuencias alternativas de datos de NTFS. Si ejecuta dicho analizador de virus, ver una discrepancia oculta de la API de Windows para una secuencia alternativa de datos en cada archivo de NTFS. RootkitRevealer no admite filtros de salida porque los rootkits pueden aprovechar cualquier filtrado. Por ltimo, si un archivo se elimina durante un anlisis, tambin es posible que observe esta discrepancia. Esta es una lista de archivos de metadatos de NTFS definidos segn Windows Server 2003:

$AttrDef $BadClus $BadClus:$Bad $BitMap $Boot $LogFile $Mft $MftMirr $Secure $UpCase $Volume $Extend $Extend\$Reparse $Extend\$ObjId $Extend\$UsnJrnl $Extend\$UsnJrnl:$Max $Extend\$Quota

Access is Denied. RootkitRevealer nunca debe notificar esta discrepancia porque usa mecanismos que le permiten tener acceso a cualquier archivo, directorio o clave de registro en un sistema. Visible in Windows API, directory index, but not in MFT. Visible in Windows API, but not in MFT or directory index. Visible in Windows API, MFT, but not in directory index. Visible in directory index, but not Windows API or MFT. El anlisis de un sistema de archivos incluye tres componentes: La API de Windows, la tabla principal de archivos de NTFS (MFT) y las estructuras del ndice del directorio en disco de NTFS. Estas discrepancias indican que un archivo aparece slo en uno o dos anlisis. Una razn frecuente es la creacin o eliminacin de un archivo durante los anlisis. Este es un ejemplo de un informe de discrepancia de RootkitRevealer para un archivo creado durante el anlisis: C:\newfile.txt 3/1/2005 5:26 PM 8 bytes Visible in Windows API, but not in MFT or directory index. Windows API length not consistent with raw hive data. Los rootkits pueden intentar ocultarse tergiversando el tamao de un valor del Registro para que su contenido no sea visible para la API de Windows. Debe examinar este tipo de discrepancias, aunque tambin pueden aparecer como resultado de cambios en los valores del Registro durante un anlisis. Type mismatch between Windows API and raw hive data.

Los valores del Registro tienen un tipo, como por ejemplo, DWORD y REG_SZ, y esta discrepancia indica que el tipo de valor informado a travs de la API de Windows difiere de aquel que tienen los datos sin procesar de subrbol. Un rootkit puede enmascarar sus datos al almacenarlos, por ejemplo, como un valor REG_BINARY, y hacer que la API de Windows crea que es un valor REG_SZ; si almacena un 0 en el inicio de los datos, la API de Windows no podr tener acceso a los datos posteriores. Key name contains embedded nulls. La API de Windows trata los nombres de las claves como cadenas terminadas en nulos mientras que el ncleo las trata como cadenas contadas. Por lo tanto, es posible crear claves de Registro que son visibles para el sistema operativo, pero slo parcialmente visibles para herramientas del Registro como Regedit. El cdigo de ejemplo Reghide en Sysinternals muestra esta tcnica, que usan tanto el cdigo mal intencionado como los rootkits para ocultar los datos del Registro. Use la utilidad Regdellnull de Sysinternals para eliminar claves con nulos incrustados. Data mismatch between Windows API and raw hive data. Esta discrepancia ocurrir si un valor del registro se actualiza mientras se realiza el anlisis del Registro. Los valores que cambian con frecuencia incluyen marcas de hora como, por ejemplo, el valor del tiempo de actividad de Microsoft SQL Server que se muestra a continuacin, y valores tipo "ltimo anlisis" del analizador de virus. Debe investigar cualquier valor informado para asegurarse de que se trate de una aplicacin o valor del Registro del sistema vlidos. HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\RECOVERYMANAGER\MSSQLServer\uptime_time_utc 3/1/2005 4:33 PM 8 bytes

Recursos sobre Rootkits

Los siguientes sitios web y libros son recursos de informacin acerca de los rootkits: Webcast a peticin de TechNet: Limpieza avanzada de software malintencionado Aprenda con Mark cmo usar las herramientas de Sysinternals para identificar infecciones de cdigo mal intencionado, desde spyware estndar a rootkits de modo ncleo, y eliminarlos del sistema. Comprender el software malintencionado: virus, spyware y rootkits El webinar de Mark en Microsoft TechEd 2005 abarca virus, spyware y rootkits. Sony, rootkits y administracin de derechos digitales que han ido demasiado lejos Lea la entrada de blog de Mark sobre su descubrimiento y anlisis de un rootkit de Sony en uno de sus equipos. Descubriendo los rootkits El artculo de Mark en el nmero de junio de Windows IT Pro Magazine ofrece una descripcin general de las tecnologas de rootkits y cmo funciona RootkitRevealer. www.rootkit.com Este sitio contiene cdigo de ejemplo para varios rootkits de modo de usuario y modo ncleo as como discusiones continuas sobre cmo desarrollar rootkits.

Rootkits: Subverting the Windows Kernel Este libro de Greg Hoglund y Jamie Butler es el tratado ms exhaustivo disponible sobre rootkits. www.phrack.org Este sitio almacena el archivo de Phrack, una revista orientada a crackers, donde los programadores analizan los defectos en productos relacionados con la seguridad, tcnicas de rootkit y otros trucos de cdigo mal intencionado. research.microsoft.com/rootkit/ Esta es la pgina principal de Microsoft sobre la investigacin de rootkits donde Microsoft publica artculos e informacin acerca de sus esfuerzos para combatir rootkits. The Art of Computer Virus Research and Defense, por Peter Szor Malware: Fighting Malicious Code, por Ed Skoudis y Lenny Zeltser Windows Internals, 4th Edition, por Mark Russinovich y Dave Solomon (el libro no trata sobre rootkits, sino sobre cmo comprender la arquitectura de Windows ayuda a comprender los rootkits). Descargar RootkitRevealer (231 KB)

TCPView para Windows v2.4

Por Mark Russinovich

Publicado: noviembre 1, 2006

Introduccin
TCPView es un programa de Windows que muestra listados detallados de todos los extremos de TCP y UDP del sistema, incluidas las direcciones locales y remotas y el estado de las conexiones TCP. En Windows NT, 2000 y XP, TCPView informa tambin del nombre del proceso que posee el extremo. TCPView ofrece un subconjunto ms informativo y perfectamente presentado del programa Netstat incluido con Windows. La descarga de TCPView incluye Tcpvcon, una versin de lnea de comandos con la misma funcionalidad. TCPView funciona en Windows NT/2000/XP y Windows 98/Me. Se puede usar TCPView en Windows 95 si se cuenta con Windows 95 Winsock 2 Update de Microsoft.

Uso de TCPView
Cuando se inicia TCPView, enumera todos los extremos activos TCP y UDP, resolviendo todas las direcciones IP como sus versiones de nombre de dominio. Se puede usar un botn de barra de herramientas o un elemento de men para activar y desactivar la pantalla de nombres resueltos. En sistemas Windows XP, TCPView muestra el nombre del proceso que posee cada extremo. De forma predeterminada, TCPView se actualiza cada segundo, pero se puede usar el elemento de men Options|Refresh Rate (Opciones|Frecuencia de actualizacin) para cambiar la frecuencia. Los extremos que cambian de estado de una actualizacin a la siguiente se resaltan en amarillo, los eliminados se muestran en rojo y, los nuevos extremos, en verde. Se pueden cerrar conexiones TCP/IP establecidas (las etiquetadas con un estado de ESTABLISHED, es decir, establecido) si selecciona File|Close Connections (Archivo|Cerrar conexiones), o hace clic con el botn secundario en una conexin y elige Close Connections (Cerrar conexiones) en el men contextual resultante. Se puede guardar la ventana de resultados de TCPView en un archivo mediante el elemento de men Save (Guardar).

Uso de Tcpvcon
El uso de Tcpvcon es semejante al de la utilidad integrada de estado de red de Windows: Uso tcpvcon [-a] [-c] [-n] [nombre del proceso o PID] -a

Mostrar todos los extremos (el valor predeterminado es mostrar las conexiones TCP establecidas). -c Imprimir el resultado como CSV. -n No resolver las direcciones.

Cdigo fuente de Netstatp

Cmo funciona TCPView Netstatp es un programa con cdigo fuente que muestra cmo programar algunas de las funcionalidades de TCPView. Muestra el modo de uso de las interfaces del programa auxiliar para IP, documentado en MSDN, para obtener una lista de extremos de TCP/IP. No obstante, hay que tener en cuenta que netstatp no muestra los nombres de proceso de NT 4 y Win2K como TCPView y TCPVCon.

Artculo de Microsoft Knowledge Base sobre TCPView

Este artculo de Microsoft Knowledge Base hace referencia a TCPView: 816944: Recibe el mensaje de error "Error inesperado 0x8ffe2740" cuando intenta iniciar un sitio web

Utilidad relacionada
TDImon muestra la actividad de TCP y UDP en tiempo real. Si le gusta TCPView, TCPView Pro le encantar. TCPView Pro, un producto de Winternals Software, tiene varias caractersticas que lo hacen mucho ms eficaz y til que TCPView: Consulte qu proceso ha abierto cada extremo (tambin en Win9x)

Compruebe el rendimiento de los procesos de actividad de TCP y UDP en tiempo real Use el filtrado avanzado para definir su bsqueda Y mucho ms...

TCPView Pro est disponible como parte de Winternals Administrator's Pak.

Descargar TCPView (55 KB)

Autoruns for Windows v11.5

By Mark Russinovich and Bryce Cogswell Published: March 27, 2013 Download Autoruns and Autorunsc (536 KB)

Introduction

This utility, which has the most comprehensive knowledge of auto-starting locations of any startup monitor, shows you what programs are configured to run during system bootup or login, and shows you the entries in the order Windows processes them. These programs include ones in your startup folder, Run, RunOnce, and other Registry keys. You can configure Autoruns to show other locations, including Explorer shell extensions, toolbars, browser helper objects, Winlogon notifications, auto-start services, and much more. Autoruns goes way beyond the MSConfig utility bundled with Windows Me and XP. Autoruns' Hide Signed Microsoft Entries option helps you to zoom in on third-party auto-starting images that have been added to your system and it has support for looking at the auto-starting images configured for other accounts configured on a system. Also included in the download package is a command-line equivalent that can output in CSV format, Autorunsc. You'll probably be surprised at how many executables are launched automatically!

Screenshot

Usage
See the November 2004 issue of Windows IT Pro Magazine for Mark's article that covers advanced usage of Autoruns. If you have questions or problems, visit the Sysinternals Autoruns Forum. Simply run Autoruns and it shows you the currently configured auto-start applications as well as the full list of Registry and file system locations available for auto-start configuration. Autostart locations displayed by Autoruns include logon entries, Explorer add-ons, Internet Explorer add-ons including Browser Helper Objects (BHOs), Appinit DLLs, image hijacks, boot execute images, Winlogon notification DLLs, Windows Services and Winsock Layered Service Providers. Switch tabs to view autostarts from different categories.

To view the properties of an executable configured to run automatically, select it and use the Properties menu item or toolbar button. If Process Explorer is running and there is an active process executing the selected executable then the Process Explorer menu item in the Entry menu will open the process properties dialog box for the process executing the selected image. Navigate to the Registry or file system location displayed or the configuration of an auto-start item by selecting the item and using the Jump menu item or toolbar button. To disable an auto-start entry uncheck its check box. To delete an auto-start configuration entry use the Delete menu item or toolbar button. Select entries in the User menu to view auto-starting images for different user accounts. More information on display options and additional information is available in the on-line help.

Autorunsc Usage
Autorunsc is the command-line version of Autoruns. Its usage syntax is: Usage: autorunsc [-x] [[-a] | [-b] [-c] [-d] [-e] [-g] [-h] [-i] [-k] [-l] [-m] [-o] [-p] [-r] [-s] [-v] [-w] [[-z <systemroot> <userprofile>] | [user]]] -a -b -c -d -e -g -h -i -l -m -n -p -r -s -t -v -w -x -z user Show all entries. Boot execute. Print output as CSV. Appinit DLLs. Explorer addons. Sidebar gadgets (Vista and higher). Image hijacks. Internet Explorer addons. Logon startups (this is the default). Hide signed Microsoft entries. Winsock protocol and network providers. Printer monitor drivers. LSA providers. Autostart services and non-disabled drivers. Scheduled tasks. Verify digital signatures. Winlogon entries. Print output as XML. Specifies the offline Windows system to scan. Specifies the name of the user account for which autorun items will be shown.

Related Links

Windows Internals Book The official updates and errata page for the definitive book on Windows internals, by Mark Russinovich and David Solomon. Windows Sysinternals Administrator's Reference The official guide to the Sysinternals utilities by Mark Russinovich and Aaron Margosis, including

descriptions of all the tools, their features, how to use them for troubleshooting, and example realworld cases of their use.

Download

Download Autoruns and Autorunsc (536 KB)

Run Autoruns now from Live.Sysinternals.com

AutoRuns para Windows v9.35

Por Mark Russinovich y Bryce Cogswell
Publicado: octubre 16, 2008

Introduccin
Esta utilidad, que cuenta con el conocimiento ms completo de las ubicaciones de inicio automtico de cualquier monitor de inicio, muestra qu programas estn configurados para ejecutarse durante el inicio del sistema o el inicio de sesin, y muestra las entradas en el orden en que Windows las procesa. Entre estos programas, se incluyen algunos de la carpeta de inicio, as como las claves Run, RunOnce y otras claves del Registro. Puede configurar Autoruns para mostrar otras ubicaciones, incluidas extensiones de shell del Explorador, barras de herramientas, objetos del ayudante del explorador, notificaciones de Winlogon, servicios de inicio automtico y un largo etctera. Autoruns va ms all de la utilidad MSConfig incluida con Windows Me y XP. La opcin Hide Signed Microsoft Entries de Autoruns ayuda a acercar imgenes de inicio automtico de terceros agregadas al sistema y admite la visualizacin de imgenes de inicio automtico configuradas para otras cuentas en un sistema. En el paquete de descarga tambin se incluye un equivalente de lnea de comandos que puede ofrecer resultados en formato CSV: Autorunsc. Probablemente se sorprender de ver cuntos archivos ejecutables se inician automticamente. Autoruns funciona en Windows 2000 SP4 Rollup 1 o superior.

Captura de pantalla

Uso
Busque en el nmero de noviembre de 2004 de la revista Windows IT Pro, el artculo de Mark que trata la sintaxis avanzada de Autoruns. Si tiene alguna pregunta o cualquier problema, visite el foro de Autoruns de Sysinternals. Simplemente ejecute Autoruns y le mostrar las aplicaciones de inicio automtico configuradas actualmente, as como la lista completa de ubicaciones del Registro y sistema de archivos disponibles para la configuracin de inicio automtico. Las ubicaciones de inicio automtico que muestra Autoruns incluyen entradas de inicio de sesin, complementos del Explorador, complementos de Internet Explorer que incluyen objetos del ayudante del explorador (BHO), DLL de Appinit, apropiaciones de imgenes, imgenes de ejecucin de inicializacin, DLL de notificacin de Winlogon, Servicios de Windows y proveedores de servicio por capas Winsock. Cambie las fichas para ver los inicios automticos de categoras diferentes. Para ver las propiedades de un archivo ejecutable configurado para ejecutarse automticamente, seleccinelo y utilice el elemento de men Properties o el botn de la barra de herramientas. Si Process Explorer est en ejecucin y hay un proceso activo que ejecuta el archivo ejecutable seleccionado, el elemento de men Process Explorer del men Entry abrir el cuadro de dilogo de propiedades del proceso que ejecuta la imagen seleccionada. Dirjase a la ubicacin del Registro o el sistema de archivos que se muestra o a la configuracin de un elemento de inicio automtico seleccionando el elemento y usando el elemento de men Jump o el botn de la barra de herramientas. Para deshabilitar una entrada de inicio automtico, desactive su casilla de verificacin. Para eliminar una entrada de configuracin de inicio automtico, use el elemento de men Delete o el botn de la barra de herramientas.

Seleccione entradas en el men User para ver imgenes de inicio automtico para cuentas de usuario diferentes. Hay disponible ms informacin sobre las opciones de visualizacin e informacin adicional en la ayuda en lnea.

Sintaxis de Autorunsc
Autorunsc es la versin de lnea de comandos de Autoruns. Su sintaxis es: Uso: autorunsc [-a] | [-c] [-b] [-d] [-e] [-h] [-i] [-l] [-m] [-n] [-p] [-r][-s] [-v] [-w] [user] -a -b -c -d -e -h -i -l -m -n -p -r -s -t -v -w user Muestra todas las entradas. Inicia la ejecucin. Imprime el resultado como CSV. DLL de Appinit. Complementos del Explorador. Apropiaciones de imgenes. Complementos de Internet Explorer. Inicios de sesin (valor predeterminado). Oculta las entradas de Microsoft firmadas. Proveedores de protocolo Winsock. Controladores de monitor de impresora. Proveedores de LSA. Servicios de inicio automticos y controladores no deshabilitados. Tareas programadas. Comprueba firmas digitales. Entradas de Winlogon. Inicios automticos de volcado para la cuenta de usuario especificada.

Descargar Autoruns y Autorunsc (490 KB)