Autoruns de Sysinternals

Poster ici les programmes utiles que vous avez découverts
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87605
Inscription : 10 sept. 2005 13:57
Contact :

Autoruns de Sysinternals

Message par Malekal_morte » 16 août 2008 15:24

Autoruns est un programme de Sysinternals (racheté par Microsoft).
Autoruns est un outils de diagnostique qui permet de lister et analyser certains points clefs du système pouvant contenir des malwares/virus.
Il est destiné à des utilisateurs avertis qui veulent garder un oeil sur le système.

Voir aussi : Page officiel de Téléchargement d'Autoruns : Télécharger Autoruns

Autoruns liste :
  • Les points de chargements systèmes comme par exemple :
    • HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • C:\Documents and Settings\*\Start Menu\Programs\Startup
    • C:\Documents and Settings\*\Start Menu\Programs\Startup
    • RunOnce etc..
  • Les entrées du registre Windows relatives à Explorer et Handles (fichiers/répertoires ouverts)
  • Les entrées du registre Windows relatives à Internet Explorer (BHO, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions)
  • Les tâches planifiées
  • Les Services Windows
  • Les Drivers/pilotes
  • Image File Execution Options entrées (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options)
  • AppInit entrées (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows)
  • KnownDlls entrées (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs)
  • Points de chargements Winlogon (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify) (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|UserInit) (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|System) etc.
  • Winsocks entrées (LSP) (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\*\Catalog_Entries)
  • LSA Proviers (HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders) (HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages) etc.
  • Chargements imprimantes
Autoruns est capable de générer un rapport (Menu File / Export).
Il est aussi possible d'enregistrer les informations (File / Save) et de comparer plus tard (Menu File / Compare) afin d'analyser les modifications sur le système.

L'onglet Everything liste toutes les entrées confondues.
Il est alors possible d'effectuer une recherche sur un élément pour le trouver à partir de l'icone jumelle.
Autoruns est capable de supprimer (clic droit / delete) ou désactiver une entrée en décochant.
Image

Voici une capture de l'onglet Logons qui liste quelques des points de chargements des programmes.
Image

En double-cliquant sur une ligne, Autoruns ouvre directement regedit sur l'entrée.
Image

L'onglet Explorer liste les Handles et Hook.
Image
A noter, qu'il est possible de filtrer les entrées Microsoft via le menu Options / Hide Signed Microsoft Entries afin d'obtenir une meilleur lisibilité.
Vous devez taper sur la touche F5 pour rafraichir la liste.
Image

Entrées du registre relatives Winlogon :
Image

Entrées du registre relatives à Internet Explorer :
Image

Entrées Image File Execution Options entrées, ceci permet de lancer un autre programme au lancement d'un processus en particulier.
Dans la capture ci-dessous, on voit que pour chaque lancement d'explorer.exe, le programme C:\Program Files\Microsoft Common\wuauclt.exe sera démarré.
C'est un malware, voir : exe-php-heur-t13084.html?hilit=wuauclt.exe#p100479
Ce malware sera donc lancé au démarrage de Windows puisque Explorer est démarré aussi.

Image



Le logiciel en vidéo :



ou encore cette vidéo avec les erreurs rundll - entrée ou module manquante

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
gueguet
newbie
newbie
Messages : 43
Inscription : 23 avr. 2010 09:11

SysInternals Autoruns

Message par gueguet » 02 sept. 2011 17:29

Bonjour !

Aujourd'hui , je vais vous montrer la puissance d'un logiciel de SysInternals : Autoruns. Il permet entre autre de supprimer des clés de démarrage sans passer par msconfig .

PS : Je m'excuse pour la petite coupure vers la 3ème minute de vidéo , mon petit frère a eu la bonne idée d'arracher les fils du micro-casque... Et soyez indulgents , c'est ma première "vraie" vidéo , j'essayerais bien sur de m'améliorer que ce soit pendant la vidéo ou après , c'est à dire au montage^^.

Je vous ai aidé ? Merci de visiter mon site : http://ghost-gamers.com

Avatar de l’utilisateur
SkyTech
Geek à longue barbe
Geek à longue barbe
Messages : 35607
Inscription : 03 août 2008 14:52
Localisation : Picardie (80)

Re: SysInternals Autoruns

Message par SkyTech » 02 sept. 2011 22:15

Salut,

Pas mal PDT_008

sioban
Intermédiaire Expert
Intermédiaire Expert
Messages : 255
Inscription : 19 janv. 2009 23:28

Re: SysInternals Autoruns

Message par sioban » 14 oct. 2011 11:01

Moi aussi ^^

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87605
Inscription : 10 sept. 2005 13:57
Contact :

Re: Autoruns de Sysinternals

Message par Malekal_morte » 02 juil. 2016 20:50

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Parisien_entraide
Informaticien
Informaticien
Messages : 376
Inscription : 02 juin 2012 20:48

Re: Autoruns de Sysinternals

Message par Parisien_entraide » 02 juil. 2016 21:10

Malekal_morte a écrit :Ajout d'un tutoriel Autoruns : Tutoriel Autoruns
Voir aussi : Autoruns, ce bon vieil utilitaire qui dépote encore
A noter la sortie récente de la version 13.52

Et pour tout avoir sous la main, voir les outils sysinternals, Nirsoft, ....

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87605
Inscription : 10 sept. 2005 13:57
Contact :

Re: Autoruns de Sysinternals

Message par Malekal_morte » 03 juil. 2016 18:55

L'intégration VirusTotal, ça tabasse pour garder un oeil sur son système pour "monsieur tout le monde" : Virus : surveiller son système.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Programmes utiles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité