Что такое au_.exe и нужно ли его удалять?

Важно: в статье описаны безопасные шаги для обычных пользователей и системных администраторов. Если вы не уверены в действиях — создайте точку восстановления или обратитесь к IT‑специалисту.

Краткое определение

au.exe — исполняемый файл, который часто ассоциируется с движком AutoIt (инструмент для автоматизации Windows). AutoIt позволяет программам запускать скрипты и автоматизировать действия. В то же время злоумышленники могут переименовать вредоносную программу в au.exe, чтобы замаскировать её под легитимный процесс.

Определение в одну строчку: AutoIt — скриптовый движок для автоматизации Windows; au_.exe — файл, который может принадлежать либо AutoIt, либо вредоносной программе.

Почему этот файл появляется в Диспетчере задач

• Программы и установщики, созданные с помощью AutoIt, часто включают исполняемые файлы вида au.exe и могут запускать их временно при инсталляции или обновлении.
• Вредоносное ПО (например, ложные «анти-спайверы» вроде SpyFalcon) может использовать имя au.exe, чтобы усложнить обнаружение.
• Если файл запускается автоматически при загрузке — он может быть прописан в автозагрузке, службах или реестре.

Типичные легитимные приложения, где встречается au_.exe:

• Adobe Flash Player (установщики)
• Adobe Reader
• Google Calendar (интеграции)
• Mozilla Firefox (плагины/установщики)
• Yahoo Toolbar
• Spotify
• TeamViewer
• Razer Synapse

Путь, в котором часто находится временный исполняемый AutoIt-скрипт:

C:\Users\<ВашПользователь>\AppData\Local\Temp\~nsu.tmp

Если вы видите au_.exe в этом временном каталоге сразу после инсталляции — это чаще всего нормально. Если же файл находится в системных папках (C:\Windows\System32) или в корне профиля с необычными правами доступа, это повод для проверки.

Признаки вредоносной активности

• Процесс потребляет много CPU или памяти без видимых причин.
• Файл расположен в непривычном каталоге (например, C:\Windows\System32) и не подписан цифровой подписью.
• Появляются всплывающие окна с ложными сообщениями об угрозах и требованием купить «антивирус».
• Неожиданная автозагрузка при старте системы.
• Антивирус отмечает файл как угрозу.

Что делать — пошаговое руководство по удалению au_.exe

Ниже — упрощённый SOP: сначала идентифицируйте файл, затем удалите источник (программу), выполните сканирование, очистите остатки.

1. Идентификация и базовая проверка

1. Откройте Диспетчер задач (Ctrl+Shift+Esc) и найдите процесс au_.exe.
2. Щёлкните правой кнопкой по процессу и выберите «Открыть расположение файла».
3. Проверьте подпись файла: в проводнике правой кнопкой по файлу → Свойства → Цифровые подписи.
4. Загрузите копию файла на VirusTotal для многосоставного сканирования (virusTotal покажет сводку разных антивирусов).

Если файл находится в Temp и появился сразу после установки известной программы — вероятно, он безопасен. Если расположение неожиданное или VirusTotal/ваш антивирус помечают файл — продолжайте удаление.

2. Удаление связанной программы (рекомендуемый первый шаг)

Удаление через меню «Пуск» (Windows 10/11)

1. Нажмите клавишу Win для открытия меню «Пуск».
2. Нажмите «Все приложения».
3. Найдите приложение, которое, по вашему мнению, связано с au_.exe (часто это Yahoo Toolbar или похожие панели).
4. Правой кнопкой мыши → Удалить.

Удаление через Панель управления

1. Нажмите Win → откройте Панель управления.
2. Перейдите в «Программы и компоненты» (Programs and Features).
3. Выберите подозрительную программу и нажмите «Удалить» вверху списка.
4. Следуйте инструкциям мастера удаления и перезагрузите компьютер.

Примечание: иногда инсталлятор/деинсталлятор сам использует au_.exe в процессе удаления — дождитесь завершения и затем проверьте систему снова.

3. Полная проверка антивирусом

1. Нажмите Win, введите «Защита от вирусов и угроз» и откройте приложение «Безопасность Windows».
2. Перейдите в «Защита от вирусов и угроз».
3. Запустите «Быструю проверку» или «Полная проверка» для глубокого поиска.
4. Примените рекомендованные исправления и следуйте подсказкам по удалению угроз.

Рекомендация: если у вас остались сомнения относительно эффективности Защиты Windows, используйте проверенный сторонний антивирус или антируткитный сканер — например, ESET NOD32, Malwarebytes или средства производителя (без рекламы). Запустите сканирование с загрузочного носителя, если требуются глубокие проверки.

4. Очистка реестра и автозагрузки

1. Откройте Проводник и удалите оставшиеся файлы из папки программы (если она ещё существует).
2. Нажмите Win+R → regedit и перейдите в реестр.
3. Поиск (Ctrl+F) по имени файла/программы в ветках HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER.
4. Удалите ключи автозагрузки, связанные с вредоносной программой.
5. Проверьте папки автозагрузки и задания планировщика задач на предмет неизвестных записей.

Важно: редактирование реестра несёт риск; создайте экспортные копии веток перед удалением.

5. Дополнительные инструменты для анализа и удаления

• Sysinternals Autoruns — показывает все точки автозапуска.
• Process Explorer — подробная информация о процессе, дерево процессов, цифровые подписи.
• Антируткитные сканеры (Kaspersky TDSSKiller, Sophos, Malwarebytes).
• Загрузочный антивирусный диск (Bootable Rescue Disk) — при сильной инвазии.

Альтернативные подходы и когда они не подходят

• Если au_.exe запускается только во время инсталляции и исчезает — не нужно предпринимать радикальных мер.
• Если файл подписан известным издателем — скорее всего, он легитимен.
• Если вы не уверены, не удаляйте вручную файлы системных установщиков; сначала создайте резервную копию и точку восстановления.

Когда ручное удаление не помогает:

• Вредоносное ПО восстанавливает себя из скрытых копий или встраивается в MBR/EFI — тогда нужен загрузочный антивирус и восстановление системы.
• Если вы в доменной среде, может потребоваться групповой отклик IT‑отдела.

Практическая методология — быстрая проверка (чеклист для одного прохода)

1. Найдите au_.exe в Диспетчере задач.
2. Откройте «Открыть расположение файла».
3. Проверьте подпись и дату модификации.
4. Отправьте файл в VirusTotal.
5. Удалите связанное приложение через «Пуск» или Панель управления.
6. Просканируйте систему полным антивирусным сканированием.
7. Очистите реестр и автозагрузку.
8. Перезагрузите и повторно проверьте.

Ролевые чеклисты

Чеклист для домашнего пользователя:

• Сохранили важные документы.
• Выполнил полную проверку антивирусом.
• Удалил подозрительную программу.
• Проверил автозагрузку и реестр (по руководству).
• Создал точку восстановления и перезагрузил ПК.

Чеклист для IT‑администратора:

• Собрал образец файла и сохранил лог процесса.
• Отправил на анализ в VirusTotal и поставил в карантин.
• Проверил репликацию в сети и точки распространения.
• Провёл массовое удаление через GPO/Endpoint Management.
• Обновил правила детекции и уведомил пользователей.

Критерии приёмки

• Процесс au_.exe не появляется в Диспетчере задач после перезагрузки (если это не временный установщик).
• Файл не обнаруживается антивирусом и не загружается при старте системы.
• Нет всплывающих окон с ложными предупреждениями и рекламой.
• Нет неизвестных ключей в автозагрузке и планировщике задач.

Примеры ситуаций и контрпримеры

Контрпример 1: Вы нашли au.exe в Temp сразу после установки Adobe Reader и процесс исчез через несколько минут — это ожидаемое поведение установщика.
Контрпример 2: au.exe находится в C:\Windows\System32 и запущен от имени SYSTEM без цифровой подписи — это подозрительно и требует удаления.

Быстрый план реагирования (playbook)

1. Изолируйте машину (отключите от сети).
2. Сделайте снимок процессов и экспортируйте логи.
3. Снимите образ подозрительного файла и загрузите на VirusTotal.
4. Удалите приложение и выполните полную проверку антивирусом.
5. Очистите реестр и автозапуск.
6. При необходимости восстановите систему из резервной копии.

Decision flowchart

flowchart TD
  A[Обнаружен au_.exe] --> B{Расположение файла}
  B -- Temp или папка установки --> C{Подписан?}
  B -- Системная папка или неизвестно --> D[Сканировать и изолировать]
  C -- Да --> E[Вероятно легитимный; мониторинг]
  C -- Нет --> D
  D --> F[Удалить связанное приложение]
  F --> G[Полное сканирование антивирусом]
  G --> H{Обнаружены угрозы?}
  H -- Да --> I[Применить очистку и восстановление]
  H -- Нет --> J[Проверить реестр и автозагрузку]
  I --> K[Перезагрузка и верификация]
  J --> K

Часто задаваемые вопросы

Что если антивирус помечает au_.exe как троян?

Следуйте подсказкам антивируса — поместите файл в карантин и выполните полную проверку системы. Если антивирус ложно срабатывает (false positive), проверьте подпись файла и обратитесь к вендору ПО.

Можно ли удалить au_.exe вручную?

В большинстве случаев сначала удаляют программу‑источник через стандартные средства, затем удаляют оставшиеся файлы и ключи реестра. Ручное удаление без удаления источника может привести к восстановлению файла.

Нужно ли переустанавливать Windows?

Только при серьёзном заражении (руткит, повреждение загрузочной записи) — в остальных случаях достаточно удаления и восстановления из резервных копий.

Итог

au_.exe не всегда означает угрозу: он может быть частью законных установщиков, использующих AutoIt. Однако необычное расположение файла, отсутствие цифровой подписи, высокие ресурсоёмкие операции и пометки антивирусов указывают на необходимость действий. Следуйте чеклисту: идентификация → удаление источника → сканирование → очистка реестра → верификация.

Важно: при сомнении сохраните образ файла и обратитесь к специалисту.