Les points de chargement ou autoruns de Windows

Les points de chargement de Windows ou Autoruns sont des emplacements qui permettent à une application de se charger au démarrage de Windows.
Cela permet donc à une application de se rendre actif lorsque Windows démarre.
Par exemple ajouter une icône dans la zone de notification (systray).
Les logiciels malveillants utilisent ces autoruns pour se rendre actif au démarrage de Windows.
Il convient donc de les surveiller pour plusieurs raisons :

• S’assurer qu’aucun malware n’est présent sur l’ordinateur
• Limiter les programmes au démarrage de Windows pour lutter contre les lenteurs. Lors d’une optimisation, c’est l’une des première chose à faire.

Voici un tour d’horizon de ces points de chargements de Windows.

Les points de chargement ou autoruns de Windows

Il existe des centaines de points de chargements sur Windows, tous les énumérer serait donc très difficile.
Voici quelque uns des points de chargement les plus courants et utiliser notamment par les applications ou logiciels malveillants.

Ce tableau récapitule quelques points de chargement de Windows avec l’emplacement et une description.
Beaucoup se trouvent dans le registre Windows.
Ici on donne une liste des clés HKEY_LOCAL_MACHINE, ce qui fait que ces clés sont actifs pour tous les utilisateurs.
Mais vous pouvez avoir l’équivalent au niveau d’un utilisateur Windows depuis les clés HKEY_CURRENT_USER.
C’est le principe des ruches du registre Windows.

Nom de la clé	Emplacement dans le registre Windows	Description/remarque
Les clés Run	HKLM\Microsoft\Windows\CurrentVersion et sous-clé : Run RunOnce RunOnceEx RunServices RunServicesOnce et : HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ Run	Ce sont les clés les plus utilisées par les logiciels malveillants.
BHO (Objet Browser Helper)	HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects	Sous forme de DLL qui se charge dans explorer.exe
AppInit_DLLs	HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs	Charge une DLL sur tous les processus. Peut-être utiliser par un keylogger
Userinit	HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Clé Userinit	Cette clé permet de rendre actif le processus en mode sans échec
load	HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Clé Load	Cette clé permet de rendre actif le processus en mode sans échec
Les tâches planifiées	Se reporter à la page :
Startup	C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\	Lié à la session utilisateur puisque le fichier se trouve dans le startup de l'utilisateur.
Shell	HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Clé Shell	Réglez sur explorer.exe pour charger le bureau. Cette clé est très utilisée par les Trojan Winlock (Ransomware) pour bloquer l'ordinateur.
Shell Folders	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Services Windows	Une application ou un malware peut aussi créer un service Windows. Plus d'informations : Les services Windows
CLSID	CustomCLSID: HKU\S-1-5-21-2568215945-4132293836-1244343729-1000_Classes\CLSID\{56CBD3CF-BF99-4DF5-851F-F5B9B57496A1}\InprocServer32 -> C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}\xrWCtmg2.dll (Microsoft Corporation)	Il s'agit ici de charger une DLL dans explorer.exe en enregistrant celle-ci. Par exemple : Le Trojan Bedep a utilisé cette méthode.
Command Processor	HKLM\Software\Microsoft\Command Processor\AutoRun	Cette clé permet de rendre actif le processus en mode sans échec
Image File Execution Options	HKLM\Software\Microsoft\Windows NT\currentversion\image file execution options	Permet de lancer un autre processus en ciblant un en particulier. Exemple : HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SKYPE.EXE Un autre exécutable s'exécutera lorsque vous lancerez Skype.exe

Vous pouvez utiliser l’éditeur du registre Windows regedit pour visualiser le contenu d’une clé Autorun.
Toutefois, pour surveiller toutes ces clés, cela devient vite compliqué.
Mais, il existe d’autres applications présentées plus bas dans cet article.

Les Clés Run

Les clés Run sont les emplacements de chargement de Windows les plus connus.

Les logiciels malveillants sont aussi très friands de ces clés Run, du moins pour les Trojan simple. Les cheval de troie plus sophistiqués utilisent d’autres points de chargement.

En supprimant une entrée, vous supprimez le chargement du programme au démarrage de Windows.
Dans la suite de l’article vous verrez qu’il existe des outils pour les surveiller.

Enfin, notez que ces clés Run ne sont pas actives en mode sans échec, ce qui fait que les applications ne s’exécuteront pas automatiquement au démarrage de Windows dans ce mode.

Le dossier Shell:Startup

Ces commandes shell permettent d’ouvrir le dossier de démarrage.
En plaçant un raccourci, on peut alors lancer un programme au démarrage de Windows.
Il s’agit donc d’un autre point de chargement important.
On en parle d’ailleurs dans cet article :

Il en existe deux :

• Dossier Démarrage Utilisateur : shell:startup
• Dossier Démarrage de tous les utilisateurs (All Users) : shell:common

Pour y accéder,

• Sur votre clavier, appuyez sur la touche + R
• Saisissez shell:startup et OK.

Le dossier de démarrage s’ouvre alors.
Si un raccourci vers un exécutable est présent alors il va se lancer au démarrage de la session utilisateur.

Enfin notez que vous pouvez aussi utiliser cette commande dans la barre d’adresse de l’explorateur de fichiers de Windows.

Surveiller les points de chargement de Windows contre les virus

Surveiller les poins de chargement de Windows à la recherche de logiciels malveillants n’est pas chose aisée puisqu’il existe vraiment beaucoup d’autoruns.
Toutefois, des programmes peuvent aider, notamment :

msconfig et gestionnaire de tâches

Dans les versions précédentes de Windows, on pouvait surveiller les points de chargements depuis l’outil msconfig.
Cela concerne Windows XP, Vista, 7.

Pour l’utiliser :

• Sur votre clavier, appuyez sur la touche + R
• Saisissez ensuite msconfig et OK
• Enfin cliquez sur l’onglet Démarrage
• Vous pouvez alors désactiver les programmes depuis la liste

A partir de Windows 8 et donc 10, on gère cela depuis le gestionnaire de tâches.

• Ouvrez le gestionnaire de tâches par un clic droit sur le menu Démarrer ou utilisez le raccourci clavier + X
• puis Gestionnaire des tâches. Vous pouvez aussi utiliser le raccourci clavier CTRL+ALT+ESC

• puis cliquez sur le menu démarrage
• Dé là on peut aussi désactiver les programmes à l’ouverture de Windows

Les entrées désactivées de démarrage désactivées dans le gestionnaire de tâches seront déplacées dans les emplacements du registre Windows suivants :

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32

Autoruns et FRST

D’autres outils donnent une liste plus complète des points de chargement.
Vous trouverez des tutoriels sur le site.

• Autoruns : permet de lister et surveiller beaucoup de points de chargement. De plus, les programmes peuvent être soumis à une analyse VirusTotal.
• FRST : est un programme qui analyse l’ordinateur et certains autoruns pour générer un rapport

Ces deux programmes FRST & Autoruns s’utilisent pour vérifier de temps à autres si votre ordinateur a été infecté.
On peut les voir comme des compléments à l’analyse de votre antivirus.
Les pages suivantes vous expliquent comment surveiller votre ordinateur face aux logiciels malveillants.

• Comment vérifier si ordinateur a été hacké ou piraté ?
• Désinfection manuelle de Windows (Trojan, Adware etc)