电脑每天第一次开机都自动安装几个垃圾软件,查了半天也查不出是什么原因,救救孩子吧 ?

不管是流氓软件,还是木马病毒,都喜欢写入 Windows 的开机启动项,实现每次开机自动加载,达到常驻系统的目的。

面对开机莫名弹窗、电脑卡断等问题,普通用户的也许打开任务管理器的“启动”选项卡,禁用几个看得见的程序。但这仅能覆盖最基础的注册表 Run 键值和启动文件夹。高级木马和流氓软件的驻留手段早已升级,它们会刻意绕过任务管理器,隐藏在计划任务、系统服务、WMI 事件订阅甚至映像劫持等系统深水区中。

退一步讲,即便你使用了专业的工具提取出了全量启动项,面对动辄上百条复杂的注册表路径和生僻的执行文件名,普通人根本无法判断它是核心的 Intel 硬件驱动,还是伪装的挖矿后门。由于缺乏辨别能力,用户往往不敢轻易清理,最终导致排查半途而废。

但是随着AI的发展,如今已经完全可以借助AI的能力来分析电脑里所有的开机启动项,智能的给出结论,并借助微软官方的工具包去清理,让没有专业背景的小白也能轻松上手。

本篇文章,我们将利用 Cherry Studio 结合 PowerShell MCP,引入微软官方的神仙套件 System Sysinternals ,实现AI自动化处理电脑开机自启动问题,还是跟之前一样,我会提供手动、半自动和全自动两种方式。

AI分析报告

Windows官方套件System Sysinternals Suite

Windows 官方提供了一个极其强大的系统管理套件——Sysinternals Suite。其中包含的 Autoruns 工具,可以说是排查系统深层驻留的透视镜。

相比于任务管理器只能看到浅层的启动文件夹和基础注册表,Autoruns 能够直接读取系统服务、计划任务、WMI 数据库以及映像劫持(IFEO)等上百个隐蔽的持久化驻留点。这也是安全分析师排查高级木马时的核心工具。

我们首先要下载套件内容到本地,我们输入Win + R,然后在弹出的窗口中输入cmd,回车后弹出cmd窗口:


在cmd窗口中输入"powershell"进入powershell窗口,然后执行这个命令:

winget install Microsoft.Sysinternals.Suite --accept-package-agreements --accept-source-agreements

上述命令默认会将套件下载到 C 盘(通常位于 %LOCALAPPDATA% 目录下),并自动添加命令行别名(环境变量)。这也是我们最推荐的做法,因为后续 AI 可以直接无缝盲调这些工具。

如果你不希望将其安装到 C 盘,可以使用 --location 参数指定其他盘符(例如 D 盘):

winget install Microsoft.Sysinternals.Suite --location "D:\Tools\Sysinternals" --accept-package-agreements --accept-source-agreements

注意: 一旦使用 --location 指定了自定义路径,winget 可能无法自动为你配置全局执行别名。这就需要你手动将该路径(如 D:\Tools\Sysinternals)添加到系统的环境变量(Path)中,否则后续 AI 将无法直接识别并调用 autorunsc 命令。

手动方法

执行步骤

按下Win+R,然后输入"autoruns",会弹出检查系统启动项工具,点击左上角的"File->Run as Administrator",用管理员身份运行,等待一会等工具扫描:

然后会看到一堆从注册表、计划任务等处提取出来的密密麻麻很多信息:

点击左上角“File->Save”可以保存扫描结果,注意我们要选择txt格式保存:

我们直接把文件拖到AI里(可以直接用你常用的网页端AI),然后再贴上这个提示词:

这是我从 Windows Sysinternals Autoruns 提取出来的全量开机启动项数据。请你作为一名资深的 Windows 系统安全工程师与系统优化专家,对这份数据进行深度分析。

请严格按照以下两个维度进行交叉审计,并输出结构化的 Markdown 报告:

### 维度一:性能优化审计(管理侧)
- 审计目标:识别具备合法数字签名(Publisher 有效),但属于非系统必须、会拖慢系统开机速度的冗余驻留程序(例如:软件更新服务 UpdateHelper、游戏平台自启组件、流氓弹窗组件等)。
- 动作:评估其开机加载的必要性,并整理出《开机加速优化建议表》。

### 维度二:安全威胁狩猎(安全侧)
- 审计目标:排查深层潜伏的木马、后门、恶意挖矿脚本或流氓劫持。
- 重点关注特征:
  1. 无数字签名(Publisher 为空或显示 Not Verified)。
  2. 映像路径(Image Path)位于非标准高危目录(如 `\AppData\Local\Temp`、`\ProgramData` 等)。
  3. 伪装系统进程(如命名为 svchost.exe 但路径不在 System32 下)。
  4. 命令行参数包含隐蔽执行指令(如 `-Hidden`, `bypass`, `http`, `enc` 等执行脚本动作)。
- 动作:定性威胁级别,并整理出《高危异常预警表》。

### 输出格式要求
请严格按照以下格式输出你的分析报告:

#### 🚀 一、 开机加速优化清单
(使用表格输出。表头包含:程序/服务名称 | 所属公司 | 文件路径 | 禁用建议与理由。如果没有发现冗余项,请简述系统很干净。)

#### 🚨 二、 高危异常威胁预警
(使用表格输出。表头包含:威胁等级 | 异常特征描述 | 文件绝对路径 | 命令行参数 | 处置建议。如果未发现安全威胁,请明确告知“未发现明显的恶意持久化威胁”。)

请保持分析的客观性与严谨性,遇到不确定的生僻进程,请结合其上下文路径进行合理推断,切勿产生幻觉。

这是我用Gemini思考模式得到的结果:

一、 开机加速优化清单

这些项具备合法签名,但属于非系统必需的组件。长期驻留会占用 CPU 指令周期、内存及 I/O 吞吐,建议禁用以提升系统响应速度。

程序/服务名称所属公司文件路径禁用建议与理由
BaiduYunDetectBeijing Duyou ScienceD:\software\BaiduNetdisk\YunDetectService.exe建议禁用。用于检测浏览器网页下载链接,非核心同步功能,按需手动运行网盘即可 。
HP Bloatware Suite (Omen/LightStudio)HP Inc.C:\Program Files\HP\...建议禁用。包括 OmenInstallMonitor、LightStudioHelper 等 。此类厂商预装软件对性能影响极大,除非有高频调色需求,否则无需自启。+1
Update Helpers (Google/Edge/WPS)多家公司...\Update\GoogleUpdate.exe 等建议禁用任务。包括 Google、Edge、WPS、Quark 的计划更新任务 。建议改为每周手动检查或在运行软件时自动触发,无需开机即扫描。+4
Game Services (Battle.net/Epic/EA)Blizzard / Epic / EAC:\ProgramData\Battle.net_components\... 等建议改为手动。这些游戏平台的 Helper 服务在不开机玩游戏时纯属浪费资源 。+2
Nutstore (坚果云)上海亦净网络C:\Program Files\Nutstore\Nutstore.exe视情况禁用。若非实时同步需求,建议关闭自启,减少文件索引产生的磁盘占用 。

二、 高危异常威胁预警

通过安全特征提取,发现系统内存在潜在的攻击面(Attack Surface)以及不合规的二进制文件。

威胁等级异常特征描述文件绝对路径命令行参数处置建议
中危未验证服务常驻:phpStudySrv 属于开发环境,但未通过数字签名验证,且长期监听端口。D:\software\phpstudy_pro\COM\phpStudyServer.exeN/A建议手动启动。此类工具若长期开机启动且签名失效,可能被利用作为本地提权漏洞的跳板 。
低危文件缺失/残留异常:npcapwatchdog 任务指向一个逻辑奇怪的 by.exe,且显示 File not found。by.exe (File not found)N/A清理无效项。虽然文件已不存在,但这种不规范的命名(by.exe)常见于临时编写的恶意脚本残留 。
提示EDR/监控工具确认:发现 sysmon64.exe 被注册为服务。C:\WINDOWS\sysmon64.exe

专家审计总结

你的系统目前处于**“重度负载且存在合规性隐患”**的状态。

  1. 安全建议:phpStudySrv 属于开发环境,但未通过数字签名验证,且长期监听端口,建议手动启动。
  2. 性能建议:系统中 HP 组件占用了过多的启动插槽 。通过 Autoruns 勾选掉 Run 注册表键下的云盘检测项,开机速度预计可提升 20% 以上。
  3. 环境清理:存在多项 "File not found" 的任务 ,建议在 Autoruns 中执行 Delete 操作,清理注册表冗余,避免加载失效 DLL 导致的系统延迟。

半自动方法

先打开cmd(见上文),然后再输入powershell并执行,进入powershell,此时打开的Powershell是你当前用户的权限,一般不是管理员权限,再执行这条命令,真正打开管理员权限窗口:

Start-Process powershell -Verb RunAs

然后复制以下命令,直接粘贴:

  • 注意,此处"E:\Download\autoruns_report.csv"和"E:\Download"是我设置的导出文件路径,你可以修改为你想要的路径。
[Console]::OutputEncoding = [System.Text.Encoding]::UTF8; autorunsc.exe -accepteula -m -c > "E:\Download\autoruns_report.csv"; ii "E:\Download"

就会在对应位置看到文件已经导出,同样,直接拖拽文件到任意AI,让AI分析即可。结果一样,我就不展示了。

全自动方法

这里使用Cherry Studio作为演示,如果没看专栏之前文章,没有安装过Cherry Studio并配置MCP,请回顾这些文章:

连接云端与本地:部署 Cherry Studio 作为你的 AI 交互终端 - 知乎

Cherry Studio MCP 配置入门:让 AI 自己读取你的文件 - 知乎

安装Powershell MCP

首先,打开powershell,用文章里说的方式,找个文件地址栏输入cmd,回车,输入powershell,回车,然后粘贴这个命令,回车

# 1. 设置信任插件库
Set-PSRepository -Name PSGallery -InstallationPolicy Trusted

# 2. 安装插件
Write-Host "正在安装插件,请稍等..." -ForegroundColor Cyan
Install-Module -Name PowerShell.MCP -Scope CurrentUser -Force

# 3. 检查并显示路径
$pkg = Get-Module PowerShell.MCP -ListAvailable | Select-Object -First 1
if ($pkg) {
    $realPath = Join-Path -Path $pkg.ModuleBase -ChildPath "PowerShell.MCP.Proxy.exe"
    Write-Host "`n安装成功!请复制下面这行黄色路径到 Cherry Studio:" -ForegroundColor Green
    Write-Host $realPath -ForegroundColor Yellow
} else {
    Write-Host "`n❌ 安装失败。请检查你的网络是否能连上微软服务器,或尝试升级Powershell" -ForegroundColor Red
}

复制得到的结果,进入cherry studio,在MCP服务器里点击添加->快速创建:

提示词

提示:在全自动方案下,AI可能会执行一些不可控的操作,没有相关经验的人请谨慎使用此方案。

我们需要管理员权限,才能获取到更全面的数据,鼠标右键单击CherryStudio图标,点击"以管理员身份运行"。

然后复制这个提示词,直接粘贴到Cherry Studio:

  • 注意,此处"E:\Download\autoruns_report.csv"和"E:\Download"是我设置的导出文件路径,你可以修改为你想要的路径。
# 角色与任务
你是一位资深的 Windows 系统工程师与安全分析师。请利用你的 PowerShell MCP 执行权限,全自动完成本机的开机启动项审计。

# 执行流 Step 1:数据拉取
请调用 PowerShell 运行以下复合命令,静默获取系统深层启动项的 CSV 数据:
`[Console]::OutputEncoding = [System.Text.Encoding]::UTF8; autorunsc.exe -accepteula -m -c > "E:\Download\autoruns_report.csv"; ii "E:\Download"`

# 执行流 Step 2:双轨深度审计
读取数据后,跳过表头,按以下两个维度进行交叉分析:

### 维度一:性能优化(管理侧)
- 目标:识别具备合法数字签名,但属于非系统必须、会拖慢系统开机速度的冗余驻留程序(如:UpdateHelper、各类游戏平台无感自启、弹窗组件)。
- 动作:评估其开机加载的必要性。

### 维度二:安全威胁狩猎(安全侧)
- 目标:排查深层潜伏的木马、后门、恶意挖矿脚本或流氓劫持。
- 核心高危特征:
  1. 无数字签名(Signer 为空或 Not Verified)。
  2. 映像路径 (Image Path) 位于非标准目录(如 `\AppData\Local\Temp`, `\ProgramData` 根目录等)。
  3. 伪装系统进程(如不在 System32 目录下的 svchost.exe 或 explorer.exe)。
  4. 命令行参数包含隐蔽执行指令(如 `-Hidden`, `bypass`, `http`, `enc`)。
- 动作:定性威胁级别(疑似后门/挖矿/流氓劫持)。

# 执行流 Step 3:输出标准化报告
分析完成后,请输出html文件。

请保持分析的客观性与严谨性,遇到生僻进程请结合其上下文路径推断,切勿产生幻觉。现在,请开始执行。

Cherry Studio操作一波后,会给自动打开一个网页报告,如下:

清理开机启动项方法

在cmd中输入autoruns.exe,回车打开程序,可以选择管理员身份启动,方法见上文。

然后看左边有这个打勾的图标,取消勾选后就可以禁止开机启动:

当取消勾选后一段时间,特别是重启后,发现系统没有什么异常,说明取消勾选的不是影响系统实际运行的程序,可以回来,选择具体的启动选,右键->Delete,就会永久删除。

因为AI具有一定的不可控性,不建议把清理逻辑也交给AI,如果有相关经验或者就是想让AI自动清理,可以直接在之前的提示词最后添加一个新的步骤:自动清理高风险启动项。

成本测算

这里统计token消耗最高的全自动方法的成本,我使用的是DeepSeek的官方api,模型是deepseek-chat。

运行前:

本次执行消耗0.13元。

专栏

本文为我的付费专栏《低门槛AI电脑安全排查与管理(Win篇)》的免费文章,如果本文对你有帮助,且你对更多AI管理电脑的方法感兴趣,欢迎订阅:

低门槛AI电脑安全排查与管理(Win篇) - 知乎

编辑于 2026-02-23 · 著作权归作者所有