Autoruns

Autoruns est un outils très pratique de Microsoft, gratuit mais disponible en anglais qui permet de lister des points systèmes pour y déceler des malwares/virus ou désactiver des programmes.
Autoruns est donc très utile dans le cas où vous pensez que votre ordinateur est infecté pour vérifier les programmes qui se lancent au démarrage, ou dans le cas où un programme génère des messages d’erreurs et que vous souhaitez trouver comment il se charge pour le désactiver.

Présentation Autoruns

Voici un exemple de fenêtre Autoruns avec en haut les onglets des différents éléments systèmes que vous listez.
On y trouve en autre les cles Run, les clef Active Setup, les ContextMenu Handlers etc.

Autoruns_everything

Le menu Autoruns et la barre d’outils :

  • L’icône disquette permet d’enregistrer le rapport, cela permet de charger un état sur un autoruns d’un autre ordinateur, dans le cas où vous faites scanner un ordinateur tiers.
  • L’icône avec les doubles flèches vertes permet de ré-actualiser le contenu de la fenêtre Autoruns
  • L’icône jumelle permet d’effectuer une recherche
  • L’icône avec la feuille blanche et coche rouge permet d’ouvrir les propriétés d’un élément sélectionné
  • L’icône croix rouge supprime l’élément sélectionné
  • Enfin la dernière icône flèche verte permet d’ouvrir l’élément dans l’éditeur du registre Windows.

Autoruns_Toolbar

Si vous souhaitez désactiver un élément, il vous suffit de le décocher.
L’icône avec la croix rouge permet de supprimer complètement l’entrée.
Nous vous recommandons d’actualiser l’affichage, car si le malwares/virus est actif, ce dernier peut réinscrire l’entrée pour s’assurer d’autre à nouveau actif au prochain démarrage de Windows.

Les options Autoruns

Le menu Options d’Autoruns, par défaut, Autoruns masque les entrées des programmes systèmes Windows, vous pouvez désactiver cette option mais les listes vont être vraiment très longues.
A l’inverse, vous pouvez aussi masquer les fichiers sains sur VirusTotal (voir ci-dessous comment l’activer) et les fichiers Microsoft.

Autoruns_options

 

Pour activer, une analyse VirusTotal des éléments listés, cliquez sur le menu Options > Scan Options.
Cochez alors Check VirusTotal.com et acceptez les conditions d’utilisation.
Il est aussi possible de vérifier si les fichiers sont signés numériquement (plus d’informations, sur la page Signature numériques et malwares)Autoruns_virustotal

Si l’on reprend la première capture d’écran avec l’analyse VirusTotal active, on s’aperçoit que l’ordinateur est très infecté.
D’un autre côté, la localisation des fichiers qui se chargeait ne laissait pas vraiment de doute.

Autoruns_everything_virustotal

Les onglets d’Autoruns

Un tour rapide des onglets disponibles dans Autorun :

  • Everything : liste tous les éléments du système, c’est à dire l’intégralité du contenu des onglets Autoruns.
  • Logon : tous les points de chargement systèmes.
  • Explorer : tous les clefs du registre Windows relatives à Explorer.exe, on trouve en autre les clefs Shell et MenuContextHandlers (les éléments qui se mettent sur le menu du clic droit) et qui peuvent causer des crash/plantages explorer.exe.
  • Internet Explorer : toutes les clefs du registre Windows relatives à Internet Explorer dont les BHO et plugins
  • Scheduled Tasks : il s’agit des tâches planifiées de Windows.
  • Services : liste les services Windows.
  • Drivers : liste les drivers chargés.
  • Codecs : liste les codecs installés et les fichiers relatifs à ces derniers.
  • Boot Execute : Boot Execute est notamment utilisé pour stocker les informations pour effectuer certaines opérations durant le démarrage de Windows, notamment si vous demandez d’effectuer un checkdisk (chkdsk) d’une partition. Certains antivirus peuvent le modifier pour effectuer une analyse au démarrage, c’est notamment le scan d’Avast!
  • Image Hijacks : liste les clefs Debug, les clefs qui permettent de remplacer le chargement du gestionnaire de tâches par un autre programme (Exemple Process Explorer) etc. Certains malwares/virus peuvent s’y loger. Ces clefs ne sont pas chargés dans l’onglet Logon.
  • Autoruns_image_hijacks
  • AppInit : liste les clefs AppInit_DLLs, beaucoup de malwares/virus peuvent s’y loger.
  • KnownDLLs : permet à Windows de stocker des informations sur des versions de DLLs, en général, cet onglet n’est pas utile.
  • Winlogon: toutes les clefs du registre Windows relatives à Winlogon.exe
  • Winsock : toutes les clefs réseau relatives à la couche Winsock, si ce dernier est endommagé, les connexions réseaux ne fonctionneront plus. Beaucoup de malwares/virus peuvent s’y inscrivent afin de manipuler les requêtes réseaux. Se reporter à la page: Winsock : Reset du catalogue
  • Print Monitors / LSA PRoviders / Network PRoviders : ces onglets ne devraient pas vous être utiles et ne devrait pas être modifiés par des infections.
  • WMI : clefs relatives au WMI (Windows Management Instrumentation), des scripts malicieux VBS/WSH peuvent s’y loger
  • Sidebar Gadgets : tous les éléments relatifs aux gadgets de Windows
  • Office : toutes les cles relatives aux applications Microsoft Office.

Autoruns : message d’erreur au démarrage de Windows

Comme évoqué dans mon l’introduction, en plus de délecer des infections, Autoruns s’avère très pratique si par exemple vous avez un message d’erreur au démarrage de la session Windows, dû à un fichier supprimé de l’ordinateur, encore référencé.
Pour plus d’informations, se reporter à cette FAQ : Erreur Rundll au démarrage : Entrée manquante

Liens connexes

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 681 times, 3 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *