Autoruns est un outils très pratique de Microsoft, gratuit mais disponible en anglais qui permet de lister des points de chargement de Windows pour y déceler des malwares/virus ou désactiver des programmes.
Autoruns est donc très utile dans le cas où vous pensez que votre ordinateur est infecté pour vérifier les programmes qui se lancent au démarrage, ou dans le cas où un programme génère des messages d’erreurs et que vous souhaitez trouver comment il se charge pour le désactiver.
Table des matières
Présentation Autoruns
- Téléchargez Autoruns depuis ce lien :
- Décompressez le fichier ZIP dans un emplacement de votre choix, par exemple avec 7-zip
- Puis faites un clic droit sur Autoruns64.exe et exécutez en tant qu’administrateur
L’interface de l’utilitaire d’ouvre alors.
Voici un exemple de fenêtre Autoruns avec en haut les onglets des différents éléments systèmes que vous listez.
On y trouve en autre les clés Run, les clef Active Setup, les ContextMenu Handlers etc.
Le menu Autoruns et la barre d’outils et d’icônes :
- disquette permet d’enregistrer le rapport, cela permet de charger un état sur un autoruns d’un autre ordinateur, dans le cas où vous faites scanner un ordinateur tiers.
- Doubles flèches vertes permet de réactualiser le contenu de la fenêtre Autoruns
- Jumelle permet d’effectuer une recherche
- Feuille blanche et coche rouge permet d’ouvrir les propriétés d’un élément sélectionné
- Croix rouge supprime l’élément sélectionné
- Enfin la dernière icône flèche verte permet d’ouvrir l’élément dans l’éditeur du registre Windows.
Si vous souhaitez désactiver un élément, il vous suffit de le décocher.
L’icône avec la croix rouge permet de supprimer complètement l’entrée.
Nous vous recommandons d’actualiser l’affichage, car si le malwares/virus est actif, ce dernier peut réinscrire l’entrée pour s’assurer d’autre à nouveau actif au prochain démarrage de Windows.
Les options Autoruns
Le menu Options d’Autoruns, par défaut, Autoruns masque les entrées des programmes systèmes Windows, vous pouvez désactiver cette option mais les listes vont être vraiment très longues.
A l’inverse, vous pouvez aussi masquer les fichiers sains de VirusTotal (voir ci-dessous comment l’activer) et les fichiers Microsoft.
Par exemple, si on affiche les entrées Windows.. :
et que l’on filtre ces dernières (menu Options / Hide Windows Entries), la liste est beaucoup plus courte :
Pour activer, une analyse VirusTotal des éléments listés, cliquez sur le menu Options > Scan Options.
Cochez alors Check VirusTotal.com et acceptez les conditions d’utilisation.
Vous pouvez vérifier si les fichiers sont signés numériquement (plus d’informations, sur la page Signature numériques et malwares)
Si l’on reprend la première capture d’écran avec l’analyse VirusTotal active, on s’aperçoit que l’ordinateur est très infecté.
D’un autre côté, la localisation des fichiers qui se chargeait ne laissait pas vraiment de doute.
Les onglets d’Autoruns
Un tour rapide des onglets disponibles dans Autorun
- Everything : liste tous les éléments du système, c’est à dire l’intégralité du contenu des onglets Autoruns.
Les onglets les plus utiles
Les onglets les plus utiles notamment lorsqu’il s’agit de trouver un programme qui se lance au démarrage de Windows.
- Logon : tous les points de chargement systèmes.
- Explorer : tous les clefs du registre Windows relatives à Explorer.exe, on trouve en autre les clefs Shell et MenuContextHandlers (les éléments qui se mettent sur le menu du clic droit) et qui peuvent causer des crash/plantages explorer.exe.
- Internet Explorer : toutes les clefs du registre Windows relatives à Internet Explorer dont les BHO et plugins
- Scheduled Tasks : il s’agit des tâches planifiées de Windows.
- Services : liste les services Windows.
- Drivers : liste les drivers chargés.
- AppInit : liste les clefs AppInit_DLLs, beaucoup de malwares/virus peuvent s’y loger.
Les autres onglets d’Autoruns
- Codecs : liste les codecs installés et les fichiers relatifs à ces derniers.
- Boot Execute : Boot Execute sert à stocker les informations pour effectuer certaines opérations durant le démarrage de Windows, notamment si vous demandez d’effectuer un checkdisk (chkdsk). Certains antivirus peuvent le modifier pour effectuer une analyse au démarrage, c’est notamment le scan d’Avast!
- Image Hijacks : liste les clefs Debug, les clefs qui permettent de remplacer le chargement du gestionnaire de tâches par un autre programme (Exemple Process Explorer) etc. Certains malwares/virus peuvent s’y loger. Ces clefs ne sont pas chargées dans l’onglet Logon.
- KnownDLLs : permet à Windows de stocker des informations sur des versions de DLLs, en général, cet onglet n’est pas utile.
- Winlogon : toutes les clefs du registre Windows relatives à Winlogon.exe
- Winsock : toutes les clefs réseau relatives à la couche Winsock, si ce dernier est endommagé, les connexions réseaux ne fonctionneront plus. Beaucoup de malwares/virus peuvent s’y inscrivent afin de manipuler les requêtes réseaux. Se reporter à la page: Winsock : Reset du catalogue
- Print Monitors / LSA PRoviders / Network Providers : ces onglets ne devraient pas vous être utiles et ne devrait pas être modifiés par des infections.
- WMI : clefs relatives au WMI (Windows Management Instrumentation), des scripts malveillants VBS/WSH peuvent s’y loger
- Sidebar Gadgets : tous les éléments relatifs aux gadgets de Windows
- Office : toutes les clés du registre relatives aux applications Microsoft Office.
Filtrer les entrées pour rechercher un élément
Par défaut, Autorun filtre les entrées Microsoft et Windows afin que la liste soit la plus courte possible.
Parfois, il peut être utile de filtrer sur un contenu.
Cela est possible grâce au champs Filter.
Par exemple, vous cherchez toutes les entrées liés à filtrer le contenu Nvidia
Autoruns : message d’erreur au démarrage de Windows
Comme évoqué dans l’introduction, en plus de déceler des infections, Autoruns s’avère très pratique pour filtrer les programmes au démarrage de Windows.
Par exemple vous avez un message d’erreur au démarrage de la session Windows dû à une entrée restant alors que le fichier a été supprimé.
Pour plus d’informations et exemple alors se reporter à cette FAQ : Résoudre les erreurs RunDLL au démarrage de Windows ou à intervalles réguliers
Lister les fichiers signés et non signés numériquement
La signature numérique garantit l’origine d’un fichier et son non altération.
Cela permet par exemple de s’assurer qu’un pilote ou fichier système n’a pas été corrompu ou modifier par un malware.
Autoruns est capable de lister la signature de fichiers.
Pour ce faire :
- Lancez Autoruns par un clic droit et exécuter en tant qu’administrateur
- Une fois ouvert, ouvrez le menu Options puis Options de scan
- cochez Verify code signatures.
- Enfin cliquez sur l’onglet drivers pour lister les pilotes du système
- La colonne Publisher permet de vérifier la signature numérique. La mention « Verified » apparaît lors que le pilote est signé.
Autoruns en vidéo
La vidéo suivante aborde Autoruns et notamment les explications pour désactiver les programmes au démarrage de Windows.
Liens
- Supprimer les programmes au démarrage de Windows
- 8 meilleurs logiciels pour supprimer les programmes au démarrage de Windows
- Comment nettoyer la liste des programmes au démarrage dans le gestionnaire de tâches
- Les points de chargements et autoruns de Windows
- Windows 10 : supprimer les applications inutiles
- Guide complet d’entretien Windows
- Nettoyer Windows 10 : booster, accélérer et faire de la place disque
- Msconfig l’utilitaire de configuration système de Windows
- Accélérer Windows 10 : le guide complet
- Utiliser le gestionnaire de tâches Edge/Chrome pour vérifier l’utilisation mémoire, CPU et GPU
Quelques autres liens du site autour de la détection de malwares.
- Autoruns, ce bon vieil utilitaire qui dépote encore
- Autoruns de Sysinternals
- FRST : un autre outil d’analyse système
- Eset SysInspector
- Scan antivirus en ligne
- et pour surveiller son ordinateur contre les malwares : Virus : Analyser son Windows