Les points de chargement de Windows ou Autoruns sont des emplacements qui permettent à une application de se charger au démarrage de Windows.
Cela permet donc à une application de se rendre actif lorsque Windows démarre.
Par exemple ajouter une icône dans la zone de notification (systray).
Les logiciels malveillants utilisent ces autoruns pour se rendre actif au démarrage de Windows.
Il convient donc de les surveiller pour plusieurs raisons :
- S’assurer qu’aucun malware n’est présent sur l’ordinateur
- Limiter les programmes au démarrage de Windows pour lutter contre les lenteurs. Lors d’une optimisation, c’est l’une des première chose à faire.
Voici un tour d’horizon de ces points de chargements de Windows.
Table des matières
Les points de chargement ou autoruns de Windows
Il existe des centaines de points de chargements sur Windows, tous les énumérer serait donc très difficile.
Voici quelque uns des points de chargement les plus courants et utiliser notamment par les applications ou logiciels malveillants.
Ce tableau récapitule quelques points de chargement de Windows avec l’emplacement et une description.
Beaucoup se trouvent dans le registre Windows.
Ici on donne une liste des clés HKEY_LOCAL_MACHINE, ce qui fait que ces clés sont actifs pour tous les utilisateurs.
Mais vous pouvez avoir l’équivalent au niveau d’un utilisateur Windows depuis les clés HKEY_CURRENT_USER.
C’est le principe des ruches du registre Windows.
| Nom de la clé | Emplacement dans le registre Windows | Description/remarque |
|---|---|---|
| Les clés Run | HKLM\Microsoft\Windows\CurrentVersion et sous-clé : Run RunOnce RunOnceEx RunServices RunServicesOnce et : HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ Run | Ce sont les clés les plus utilisées par les logiciels malveillants. |
| BHO (Objet Browser Helper) | HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects | Sous forme de DLL qui se charge dans explorer.exe |
| AppInit_DLLs | HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs | Charge une DLL sur tous les processus. Peut-être utiliser par un keylogger |
| Userinit | HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Clé Userinit | Cette clé permet de rendre actif le processus en mode sans échec |
| load | HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Clé Load | Cette clé permet de rendre actif le processus en mode sans échec |
| Les tâches planifiées | Se reporter à la page : | |
| Startup | C:\Users\ | Lié à la session utilisateur puisque le fichier se trouve dans le startup de l'utilisateur. |
| Shell | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Clé Shell | Réglez sur explorer.exe pour charger le bureau. Cette clé est très utilisée par les Trojan Winlock (Ransomware) pour bloquer l'ordinateur. |
| Shell Folders | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | |
| Services Windows | Une application ou un malware peut aussi créer un service Windows. Plus d'informations : Les services Windows | |
| CLSID | CustomCLSID: HKU\S-1-5-21-2568215945-4132293836-1244343729-1000_Classes\CLSID\{56CBD3CF-BF99-4DF5-851F-F5B9B57496A1}\InprocServer32 -> C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}\xrWCtmg2.dll (Microsoft Corporation) | Il s'agit ici de charger une DLL dans explorer.exe en enregistrant celle-ci. Par exemple : Le Trojan Bedep a utilisé cette méthode. |
| Command Processor | HKLM\Software\Microsoft\Command Processor\AutoRun | Cette clé permet de rendre actif le processus en mode sans échec |
| Image File Execution Options | HKLM\Software\Microsoft\Windows NT\currentversion\image file execution options | Permet de lancer un autre processus en ciblant un en particulier. Exemple : HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SKYPE.EXE Un autre exécutable s'exécutera lorsque vous lancerez Skype.exe |
Vous pouvez utiliser l’éditeur du registre Windows regedit pour visualiser le contenu d’une clé Autorun.
Toutefois, pour surveiller toutes ces clés, cela devient vite compliqué.
Mais, il existe d’autres applications présentées plus bas dans cet article.
Les Clés Run
Les clés Run sont les emplacements de chargement de Windows les plus connus.
Les logiciels malveillants sont aussi très friands de ces clés Run, du moins pour les Trojan simple. Les cheval de troie plus sophistiqués utilisent d’autres points de chargement.
En supprimant une entrée, vous supprimez le chargement du programme au démarrage de Windows.
Dans la suite de l’article vous verrez qu’il existe des outils pour les surveiller.
Enfin, notez que ces clés Run ne sont pas actives en mode sans échec, ce qui fait que les applications ne s’exécuteront pas automatiquement au démarrage de Windows dans ce mode.
Le dossier Shell:Startup
Ces commandes shell permettent d’ouvrir le dossier de démarrage.
En plaçant un raccourci, on peut alors lancer un programme au démarrage de Windows.
Il s’agit donc d’un autre point de chargement important.
On en parle d’ailleurs dans cet article :
Il en existe deux :
- Dossier Démarrage Utilisateur : shell:startup
- Dossier Démarrage de tous les utilisateurs (All Users) : shell:common
Pour y accéder,
- Sur votre clavier, appuyez sur la touche
+
R - Saisissez shell:startup et OK.
Le dossier de démarrage s’ouvre alors.
Si un raccourci vers un exécutable est présent alors il va se lancer au démarrage de la session utilisateur.
Enfin notez que vous pouvez aussi utiliser cette commande dans la barre d’adresse de l’explorateur de fichiers de Windows.
Surveiller les points de chargement de Windows contre les virus
Surveiller les poins de chargement de Windows à la recherche de logiciels malveillants n’est pas chose aisée puisqu’il existe vraiment beaucoup d’autoruns.
Toutefois, des programmes peuvent aider, notamment :
msconfig et gestionnaire de tâches
Dans les versions précédentes de Windows, on pouvait surveiller les points de chargements depuis l’outil msconfig.
Cela concerne Windows XP, Vista, 7.
Pour l’utiliser :
- Sur votre clavier, appuyez sur la touche +
R - Saisissez ensuite msconfig et OK
- Enfin cliquez sur l’onglet Démarrage
- Vous pouvez alors désactiver les programmes depuis la liste
A partir de Windows 8 et donc 10, on gère cela depuis le gestionnaire de tâches.
- Ouvrez le gestionnaire de tâches par un clic droit sur le menu Démarrer ou utilisez le raccourci clavier +
X - puis Gestionnaire des tâches. Vous pouvez aussi utiliser le raccourci clavier
CTRL +ALT +ESC
- puis cliquez sur le menu démarrage
- Dé là on peut aussi désactiver les programmes à l’ouverture de Windows
Les entrées désactivées de démarrage désactivées dans le gestionnaire de tâches seront déplacées dans les emplacements du registre Windows suivants :
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32Autoruns et FRST
D’autres outils donnent une liste plus complète des points de chargement.
Vous trouverez des tutoriels sur le site.
- Autoruns : permet de lister et surveiller beaucoup de points de chargement. De plus, les programmes peuvent être soumis à une analyse VirusTotal.
- FRST : est un programme qui analyse l’ordinateur et certains autoruns pour générer un rapport
Ces deux programmes FRST & Autoruns s’utilisent pour vérifier de temps à autres si votre ordinateur a été infecté.
On peut les voir comme des compléments à l’analyse de votre antivirus.
Les pages suivantes vous expliquent comment surveiller votre ordinateur face aux logiciels malveillants.
- Comment vérifier si ordinateur a été hacké ou piraté ?
- Désinfection manuelle de Windows (Trojan, Adware etc)
Liens
- Supprimer les programmes au démarrage de Windows
- 8 meilleurs logiciels pour supprimer les programmes au démarrage de Windows
- Comment nettoyer la liste des programmes au démarrage dans le gestionnaire de tâches
- Les points de chargements et autoruns de Windows
- Windows 10 : supprimer les applications inutiles
- Guide complet d’entretien Windows
- Nettoyer Windows 10 : booster, accélérer et faire de la place disque
- Msconfig l’utilitaire de configuration système de Windows
- Accélérer Windows 10 : le guide complet
- Utiliser le gestionnaire de tâches Edge/Chrome pour vérifier l’utilisation mémoire, CPU et GPU