Menu Fermer

Autoruns : désactiver des programmes qui se lancent au démarrage de Windows

Autoruns est un outils très pratique de Microsoft, gratuit mais disponible en anglais qui permet de lister des points de chargement de Windows pour y déceler des malwares/virus ou désactiver des programmes.

Autoruns est donc très utile dans le cas où vous pensez que votre ordinateur est infecté pour vérifier les programmes qui se lancent au démarrage, ou dans le cas où un programme génère des messages d’erreurs et que vous souhaitez trouver comment il se charge pour le désactiver.

Présentation Autoruns

  • Téléchargez Autoruns depuis ce lien :
  • Décompressez le fichier ZIP dans un emplacement de votre choix, par exemple avec 7-zip
  • Puis faites un clic droit sur Autoruns64.exe et exécutez en tant qu’administrateur
Ouvrir Autoruns

L’interface de l’utilitaire d’ouvre alors.
Voici un exemple de fenêtre Autoruns avec en haut les onglets des différents éléments systèmes que vous listez.
On y trouve en autre les clés Run, les clef Active Setup, les ContextMenu Handlers etc.

Tutoriel Autoruns : désactiver des programmes qui se lancent au démarrage de Windows

Le menu Autoruns et la barre d’outils et d’icônes :

  • disquette permet d’enregistrer le rapport, cela permet de charger un état sur un autoruns d’un autre ordinateur, dans le cas où vous faites scanner un ordinateur tiers.
  • Doubles flèches vertes permet de réactualiser le contenu de la fenêtre Autoruns
  • Jumelle permet d’effectuer une recherche
  • Feuille blanche et coche rouge permet d’ouvrir les propriétés d’un élément sélectionné
  • Croix rouge supprime l’élément sélectionné
  • Enfin la dernière icône flèche verte permet d’ouvrir l’élément dans l’éditeur du registre Windows.
Tutoriel Autoruns : désactiver des programmes qui se lancent au démarrage de Windows

Si vous souhaitez désactiver un élément, il vous suffit de le décocher.
L’icône avec la croix rouge permet de supprimer complètement l’entrée.
Nous vous recommandons d’actualiser l’affichage, car si le malwares/virus est actif, ce dernier peut réinscrire l’entrée pour s’assurer d’autre à nouveau actif au prochain démarrage de Windows.

Les options Autoruns

Le menu Options d’Autoruns, par défaut, Autoruns masque les entrées des programmes systèmes Windows, vous pouvez désactiver cette option mais les listes vont être vraiment très longues.
A l’inverse, vous pouvez aussi masquer les fichiers sains de VirusTotal (voir ci-dessous comment l’activer) et les fichiers Microsoft.

Tutoriel Autoruns : désactiver des programmes qui se lancent au démarrage de Windows

Par exemple, si on affiche les entrées Windows.. :

Tutoriel Autoruns : désactiver des programmes qui se lancent au démarrage de Windows

et que l’on filtre ces dernières (menu Options / Hide Windows Entries), la liste est beaucoup plus courte :

Tutoriel Autoruns : désactiver des programmes qui se lancent au démarrage de Windows
Tutoriel Autoruns : désactiver des programmes qui se lancent au démarrage de Windows

Pour activer, une analyse VirusTotal des éléments listés, cliquez sur le menu Options > Scan Options.
Cochez alors Check VirusTotal.com et acceptez les conditions d’utilisation.
Vous pouvez vérifier si les fichiers sont signés numériquement (plus d’informations, sur la page Signature numériques et malwares)

Si l’on reprend la première capture d’écran avec l’analyse VirusTotal active, on s’aperçoit que l’ordinateur est très infecté.
D’un autre côté, la localisation des fichiers qui se chargeait ne laissait pas vraiment de doute.

Tutoriel Autoruns : désactiver des programmes qui se lancent au démarrage de Windows

Les onglets d’Autoruns

Un tour rapide des onglets disponibles dans Autorun

  • Everything : liste tous les éléments du système, c’est à dire l’intégralité du contenu des onglets Autoruns.

Les onglets les plus utiles

Les onglets les plus utiles notamment lorsqu’il s’agit de trouver un programme qui se lance au démarrage de Windows.

  • Logon : tous les points de chargement systèmes.
  • Explorer : tous les clefs du registre Windows relatives à Explorer.exe, on trouve en autre les clefs Shell et MenuContextHandlers (les éléments qui se mettent sur le menu du clic droit) et qui peuvent causer des crash/plantages explorer.exe.
  • Internet Explorer : toutes les clefs du registre Windows relatives à Internet Explorer dont les BHO et plugins
  • Scheduled Tasks : il s’agit des tâches planifiées de Windows.
  • Services : liste les services Windows.
  • Drivers : liste les drivers chargés.
  • AppInit : liste les clefs AppInit_DLLs, beaucoup de malwares/virus peuvent s’y loger.

Les autres onglets d’Autoruns

  • Codecs : liste les codecs installés et les fichiers relatifs à ces derniers.
  • Boot Execute : Boot Execute sert à stocker les informations pour effectuer certaines opérations durant le démarrage de Windows, notamment si vous demandez d’effectuer un checkdisk (chkdsk). Certains antivirus peuvent le modifier pour effectuer une analyse au démarrage, c’est notamment le scan d’Avast!
  • Image Hijacks : liste les clefs Debug, les clefs qui permettent de remplacer le chargement du gestionnaire de tâches par un autre programme (Exemple Process Explorer) etc. Certains malwares/virus peuvent s’y loger. Ces clefs ne sont pas chargées dans l’onglet Logon.
  • Tutoriel Autoruns : désactiver des programmes qui se lancent au démarrage de Windows
  • KnownDLLs : permet à Windows de stocker des informations sur des versions de DLLs, en général, cet onglet n’est pas utile.
  • Winlogon : toutes les clefs du registre Windows relatives à Winlogon.exe
  • Winsock : toutes les clefs réseau relatives à la couche Winsock, si ce dernier est endommagé, les connexions réseaux ne fonctionneront plus. Beaucoup de malwares/virus peuvent s’y inscrivent afin de manipuler les requêtes réseaux. Se reporter à la page: Winsock : Reset du catalogue
  • Print Monitors / LSA PRoviders / Network Providers : ces onglets ne devraient pas vous être utiles et ne devrait pas être modifiés par des infections.
  • WMI : clefs relatives au WMI (Windows Management Instrumentation), des scripts malveillants VBS/WSH peuvent s’y loger
  • Sidebar Gadgets : tous les éléments relatifs aux gadgets de Windows
  • Office : toutes les clés du registre relatives aux applications Microsoft Office.

Filtrer les entrées pour rechercher un élément

Par défaut, Autorun filtre les entrées Microsoft et Windows afin que la liste soit la plus courte possible.
Parfois, il peut être utile de filtrer sur un contenu.
Cela est possible grâce au champs Filter.

Par exemple, vous cherchez toutes les entrées liés à filtrer le contenu Nvidia

Filtrer la liste sur Autoruns avec le champs filter

Autoruns : message d’erreur au démarrage de Windows

Comme évoqué dans l’introduction, en plus de déceler des infections, Autoruns s’avère très pratique pour filtrer les programmes au démarrage de Windows.
Par exemple vous avez un message d’erreur au démarrage de la session Windows dû à une entrée restant alors que le fichier a été supprimé.
Pour plus d’informations et exemple alors se reporter à cette FAQ : Résoudre les erreurs RunDLL au démarrage de Windows ou à intervalles réguliers

Lister les fichiers signés et non signés numériquement

La signature numérique garantit l’origine d’un fichier et son non altération.
Cela permet par exemple de s’assurer qu’un pilote ou fichier système n’a pas été corrompu ou modifier par un malware.

Autoruns est capable de lister la signature de fichiers.
Pour ce faire :

  • Lancez Autoruns par un clic droit et exécuter en tant qu’administrateur
  • Une fois ouvert, ouvrez le menu Options puis Options de scan
  • cochez Verify code signatures.
Vérifier la signature numérique des pilotes avec Autoruns
  • Enfin cliquez sur l’onglet drivers pour lister les pilotes du système
  • La colonne Publisher permet de vérifier la signature numérique. La mention « Verified » apparaît lors que le pilote est signé.
Vérifier la signature numérique des pilotes avec Autoruns
Plus d’informations et autres méthodes sur cette page : Comment vérifier la signature numérique des fichiers systèmes et pilotes de Windows.

Autoruns en vidéo

La vidéo suivante aborde Autoruns et notamment les explications pour désactiver les programmes au démarrage de Windows.