电脑每天第一次开机都自动安装几个垃圾软件,查了半天也查不出是什么原因,救救孩子吧 ?
不管是流氓软件,还是木马病毒,都喜欢写入 Windows 的开机启动项,实现每次开机自动加载,达到常驻系统的目的。
面对开机莫名弹窗、电脑卡断等问题,普通用户的也许打开任务管理器的“启动”选项卡,禁用几个看得见的程序。但这仅能覆盖最基础的注册表 Run 键值和启动文件夹。高级木马和流氓软件的驻留手段早已升级,它们会刻意绕过任务管理器,隐藏在计划任务、系统服务、WMI 事件订阅甚至映像劫持等系统深水区中。
退一步讲,即便你使用了专业的工具提取出了全量启动项,面对动辄上百条复杂的注册表路径和生僻的执行文件名,普通人根本无法判断它是核心的 Intel 硬件驱动,还是伪装的挖矿后门。由于缺乏辨别能力,用户往往不敢轻易清理,最终导致排查半途而废。
但是随着AI的发展,如今已经完全可以借助AI的能力来分析电脑里所有的开机启动项,智能的给出结论,并借助微软官方的工具包去清理,让没有专业背景的小白也能轻松上手。
本篇文章,我们将利用 Cherry Studio 结合 PowerShell MCP,引入微软官方的神仙套件 System Sysinternals ,实现AI自动化处理电脑开机自启动问题,还是跟之前一样,我会提供手动、半自动和全自动两种方式。

Windows官方套件System Sysinternals Suite
Windows 官方提供了一个极其强大的系统管理套件——Sysinternals Suite。其中包含的 Autoruns 工具,可以说是排查系统深层驻留的透视镜。
相比于任务管理器只能看到浅层的启动文件夹和基础注册表,Autoruns 能够直接读取系统服务、计划任务、WMI 数据库以及映像劫持(IFEO)等上百个隐蔽的持久化驻留点。这也是安全分析师排查高级木马时的核心工具。
我们首先要下载套件内容到本地,我们输入Win + R,然后在弹出的窗口中输入cmd,回车后弹出cmd窗口:

在cmd窗口中输入"powershell"进入powershell窗口,然后执行这个命令:
winget install Microsoft.Sysinternals.Suite --accept-package-agreements --accept-source-agreements
上述命令默认会将套件下载到 C 盘(通常位于 %LOCALAPPDATA% 目录下),并自动添加命令行别名(环境变量)。这也是我们最推荐的做法,因为后续 AI 可以直接无缝盲调这些工具。
如果你不希望将其安装到 C 盘,可以使用 --location 参数指定其他盘符(例如 D 盘):
winget install Microsoft.Sysinternals.Suite --location "D:\Tools\Sysinternals" --accept-package-agreements --accept-source-agreements
注意: 一旦使用 --location 指定了自定义路径,winget 可能无法自动为你配置全局执行别名。这就需要你手动将该路径(如 D:\Tools\Sysinternals)添加到系统的环境变量(Path)中,否则后续 AI 将无法直接识别并调用 autorunsc 命令。
手动方法
执行步骤
按下Win+R,然后输入"autoruns",会弹出检查系统启动项工具,点击左上角的"File->Run as Administrator",用管理员身份运行,等待一会等工具扫描:

然后会看到一堆从注册表、计划任务等处提取出来的密密麻麻很多信息:

点击左上角“File->Save”可以保存扫描结果,注意我们要选择txt格式保存:

我们直接把文件拖到AI里(可以直接用你常用的网页端AI),然后再贴上这个提示词:
这是我从 Windows Sysinternals Autoruns 提取出来的全量开机启动项数据。请你作为一名资深的 Windows 系统安全工程师与系统优化专家,对这份数据进行深度分析。
请严格按照以下两个维度进行交叉审计,并输出结构化的 Markdown 报告:
### 维度一:性能优化审计(管理侧)
- 审计目标:识别具备合法数字签名(Publisher 有效),但属于非系统必须、会拖慢系统开机速度的冗余驻留程序(例如:软件更新服务 UpdateHelper、游戏平台自启组件、流氓弹窗组件等)。
- 动作:评估其开机加载的必要性,并整理出《开机加速优化建议表》。
### 维度二:安全威胁狩猎(安全侧)
- 审计目标:排查深层潜伏的木马、后门、恶意挖矿脚本或流氓劫持。
- 重点关注特征:
1. 无数字签名(Publisher 为空或显示 Not Verified)。
2. 映像路径(Image Path)位于非标准高危目录(如 `\AppData\Local\Temp`、`\ProgramData` 等)。
3. 伪装系统进程(如命名为 svchost.exe 但路径不在 System32 下)。
4. 命令行参数包含隐蔽执行指令(如 `-Hidden`, `bypass`, `http`, `enc` 等执行脚本动作)。
- 动作:定性威胁级别,并整理出《高危异常预警表》。
### 输出格式要求
请严格按照以下格式输出你的分析报告:
#### 🚀 一、 开机加速优化清单
(使用表格输出。表头包含:程序/服务名称 | 所属公司 | 文件路径 | 禁用建议与理由。如果没有发现冗余项,请简述系统很干净。)
#### 🚨 二、 高危异常威胁预警
(使用表格输出。表头包含:威胁等级 | 异常特征描述 | 文件绝对路径 | 命令行参数 | 处置建议。如果未发现安全威胁,请明确告知“未发现明显的恶意持久化威胁”。)
请保持分析的客观性与严谨性,遇到不确定的生僻进程,请结合其上下文路径进行合理推断,切勿产生幻觉。这是我用Gemini思考模式得到的结果:
一、 开机加速优化清单
这些项具备合法签名,但属于非系统必需的组件。长期驻留会占用 CPU 指令周期、内存及 I/O 吞吐,建议禁用以提升系统响应速度。
| 程序/服务名称 | 所属公司 | 文件路径 | 禁用建议与理由 |
| BaiduYunDetect | Beijing Duyou Science | D:\software\BaiduNetdisk\YunDetectService.exe | 建议禁用。用于检测浏览器网页下载链接,非核心同步功能,按需手动运行网盘即可 。 |
| HP Bloatware Suite (Omen/LightStudio) | HP Inc. | C:\Program Files\HP\... | 建议禁用。包括 OmenInstallMonitor、LightStudioHelper 等 。此类厂商预装软件对性能影响极大,除非有高频调色需求,否则无需自启。+1 |
| Update Helpers (Google/Edge/WPS) | 多家公司 | ...\Update\GoogleUpdate.exe 等 | 建议禁用任务。包括 Google、Edge、WPS、Quark 的计划更新任务 。建议改为每周手动检查或在运行软件时自动触发,无需开机即扫描。+4 |
| Game Services (http://Battle.net/Epic/EA) | Blizzard / Epic / EA | C:\ProgramData\Battle.net_components\... 等 | 建议改为手动。这些游戏平台的 Helper 服务在不开机玩游戏时纯属浪费资源 。+2 |
| Nutstore (坚果云) | 上海亦净网络 | C:\Program Files\Nutstore\Nutstore.exe | 视情况禁用。若非实时同步需求,建议关闭自启,减少文件索引产生的磁盘占用 。 |
二、 高危异常威胁预警
通过安全特征提取,发现系统内存在潜在的攻击面(Attack Surface)以及不合规的二进制文件。
| 威胁等级 | 异常特征描述 | 文件绝对路径 | 命令行参数 | 处置建议 |
| 中危 | 未验证服务常驻:phpStudySrv 属于开发环境,但未通过数字签名验证,且长期监听端口。 | D:\software\phpstudy_pro\COM\phpStudyServer.exe | N/A | 建议手动启动。此类工具若长期开机启动且签名失效,可能被利用作为本地提权漏洞的跳板 。 |
| 低危 | 文件缺失/残留异常:npcapwatchdog 任务指向一个逻辑奇怪的 by.exe,且显示 File not found。 | by.exe (File not found) | N/A | 清理无效项。虽然文件已不存在,但这种不规范的命名(by.exe)常见于临时编写的恶意脚本残留 。 |
| 提示 | EDR/监控工具确认:发现 sysmon64.exe 被注册为服务。 | C:\WINDOWS\sysmon64.exe |
专家审计总结
你的系统目前处于**“重度负载且存在合规性隐患”**的状态。
- 安全建议:phpStudySrv 属于开发环境,但未通过数字签名验证,且长期监听端口,建议手动启动。
- 性能建议:系统中 HP 组件占用了过多的启动插槽 。通过 Autoruns 勾选掉
Run注册表键下的云盘检测项,开机速度预计可提升 20% 以上。 - 环境清理:存在多项 "File not found" 的任务 ,建议在 Autoruns 中执行
Delete操作,清理注册表冗余,避免加载失效 DLL 导致的系统延迟。
半自动方法
先打开cmd(见上文),然后再输入powershell并执行,进入powershell,此时打开的Powershell是你当前用户的权限,一般不是管理员权限,再执行这条命令,真正打开管理员权限窗口:
Start-Process powershell -Verb RunAs然后复制以下命令,直接粘贴:
- 注意,此处"E:\Download\autoruns_report.csv"和"E:\Download"是我设置的导出文件路径,你可以修改为你想要的路径。
[Console]::OutputEncoding = [System.Text.Encoding]::UTF8; autorunsc.exe -accepteula -m -c > "E:\Download\autoruns_report.csv"; ii "E:\Download"就会在对应位置看到文件已经导出,同样,直接拖拽文件到任意AI,让AI分析即可。结果一样,我就不展示了。
全自动方法
这里使用Cherry Studio作为演示,如果没看专栏之前文章,没有安装过Cherry Studio并配置MCP,请回顾这些文章:
连接云端与本地:部署 Cherry Studio 作为你的 AI 交互终端 - 知乎
Cherry Studio MCP 配置入门:让 AI 自己读取你的文件 - 知乎
安装Powershell MCP
首先,打开powershell,用文章里说的方式,找个文件地址栏输入cmd,回车,输入powershell,回车,然后粘贴这个命令,回车
# 1. 设置信任插件库
Set-PSRepository -Name PSGallery -InstallationPolicy Trusted
# 2. 安装插件
Write-Host "正在安装插件,请稍等..." -ForegroundColor Cyan
Install-Module -Name PowerShell.MCP -Scope CurrentUser -Force
# 3. 检查并显示路径
$pkg = Get-Module PowerShell.MCP -ListAvailable | Select-Object -First 1
if ($pkg) {
$realPath = Join-Path -Path $pkg.ModuleBase -ChildPath "PowerShell.MCP.Proxy.exe"
Write-Host "`n安装成功!请复制下面这行黄色路径到 Cherry Studio:" -ForegroundColor Green
Write-Host $realPath -ForegroundColor Yellow
} else {
Write-Host "`n❌ 安装失败。请检查你的网络是否能连上微软服务器,或尝试升级Powershell" -ForegroundColor Red
}复制得到的结果,进入cherry studio,在MCP服务器里点击添加->快速创建:


提示词
提示:在全自动方案下,AI可能会执行一些不可控的操作,没有相关经验的人请谨慎使用此方案。
我们需要管理员权限,才能获取到更全面的数据,鼠标右键单击CherryStudio图标,点击"以管理员身份运行"。
然后复制这个提示词,直接粘贴到Cherry Studio:
- 注意,此处"E:\Download\autoruns_report.csv"和"E:\Download"是我设置的导出文件路径,你可以修改为你想要的路径。
# 角色与任务
你是一位资深的 Windows 系统工程师与安全分析师。请利用你的 PowerShell MCP 执行权限,全自动完成本机的开机启动项审计。
# 执行流 Step 1:数据拉取
请调用 PowerShell 运行以下复合命令,静默获取系统深层启动项的 CSV 数据:
`[Console]::OutputEncoding = [System.Text.Encoding]::UTF8; autorunsc.exe -accepteula -m -c > "E:\Download\autoruns_report.csv"; ii "E:\Download"`
# 执行流 Step 2:双轨深度审计
读取数据后,跳过表头,按以下两个维度进行交叉分析:
### 维度一:性能优化(管理侧)
- 目标:识别具备合法数字签名,但属于非系统必须、会拖慢系统开机速度的冗余驻留程序(如:UpdateHelper、各类游戏平台无感自启、弹窗组件)。
- 动作:评估其开机加载的必要性。
### 维度二:安全威胁狩猎(安全侧)
- 目标:排查深层潜伏的木马、后门、恶意挖矿脚本或流氓劫持。
- 核心高危特征:
1. 无数字签名(Signer 为空或 Not Verified)。
2. 映像路径 (Image Path) 位于非标准目录(如 `\AppData\Local\Temp`, `\ProgramData` 根目录等)。
3. 伪装系统进程(如不在 System32 目录下的 svchost.exe 或 explorer.exe)。
4. 命令行参数包含隐蔽执行指令(如 `-Hidden`, `bypass`, `http`, `enc`)。
- 动作:定性威胁级别(疑似后门/挖矿/流氓劫持)。
# 执行流 Step 3:输出标准化报告
分析完成后,请输出html文件。
请保持分析的客观性与严谨性,遇到生僻进程请结合其上下文路径推断,切勿产生幻觉。现在,请开始执行。Cherry Studio操作一波后,会给自动打开一个网页报告,如下:

清理开机启动项方法
在cmd中输入autoruns.exe,回车打开程序,可以选择管理员身份启动,方法见上文。
然后看左边有这个打勾的图标,取消勾选后就可以禁止开机启动:

当取消勾选后一段时间,特别是重启后,发现系统没有什么异常,说明取消勾选的不是影响系统实际运行的程序,可以回来,选择具体的启动选,右键->Delete,就会永久删除。
因为AI具有一定的不可控性,不建议把清理逻辑也交给AI,如果有相关经验或者就是想让AI自动清理,可以直接在之前的提示词最后添加一个新的步骤:自动清理高风险启动项。
成本测算
这里统计token消耗最高的全自动方法的成本,我使用的是DeepSeek的官方api,模型是deepseek-chat。
运行前:


本次执行消耗0.13元。
专栏
本文为我的付费专栏《低门槛AI电脑安全排查与管理(Win篇)》的免费文章,如果本文对你有帮助,且你对更多AI管理电脑的方法感兴趣,欢迎订阅: