Autoruns de Sysinternals

Poster ici les programmes utiles que vous avez découverts
Malekal_morte
Messages : 116200
Inscription : 10 sept. 2005 13:57

Autoruns de Sysinternals

par Malekal_morte »

Autoruns est un programme de Sysinternals (racheté par Microsoft).
Autoruns est un outils de diagnostique qui permet de lister et analyser certains points clefs du système pouvant contenir des malwares/virus.
Il est destiné à des utilisateurs avertis qui veulent garder un oeil sur le système.

Voir aussi : Page officiel de Téléchargement d'Autoruns : Télécharger Autoruns

Autoruns liste :
  • Les points de chargements systèmes comme par exemple :
    • HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • C:\Documents and Settings\*\Start Menu\Programs\Startup
    • C:\Documents and Settings\*\Start Menu\Programs\Startup
    • RunOnce etc..
  • Les entrées du registre Windows relatives à Explorer et Handles (fichiers/répertoires ouverts)
  • Les entrées du registre Windows relatives à Internet Explorer (BHO, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions)
  • Les tâches planifiées
  • Les Services Windows
  • Les Drivers/pilotes
  • Image File Execution Options entrées (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options)
  • AppInit entrées (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows)
  • KnownDlls entrées (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs)
  • Points de chargements Winlogon (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify) (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|UserInit) (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|System) etc.
  • Winsocks entrées (LSP) (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\*\Catalog_Entries)
  • LSA Proviers (HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders) (HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages) etc.
  • Chargements imprimantes
Autoruns est capable de générer un rapport (Menu File / Export).
Il est aussi possible d'enregistrer les informations (File / Save) et de comparer plus tard (Menu File / Compare) afin d'analyser les modifications sur le système.

L'onglet Everything liste toutes les entrées confondues.
Il est alors possible d'effectuer une recherche sur un élément pour le trouver à partir de l'icone jumelle.
Autoruns est capable de supprimer (clic droit / delete) ou désactiver une entrée en décochant.
Image

Voici une capture de l'onglet Logons qui liste quelques des points de chargements des programmes.
Image

En double-cliquant sur une ligne, Autoruns ouvre directement regedit sur l'entrée.
Image

L'onglet Explorer liste les Handles et Hook.
Image
A noter, qu'il est possible de filtrer les entrées Microsoft via le menu Options / Hide Signed Microsoft Entries afin d'obtenir une meilleur lisibilité.
Vous devez taper sur la touche F5 pour rafraichir la liste.
Image

Entrées du registre relatives Winlogon :
Image

Entrées du registre relatives à Internet Explorer :
Image

Entrées Image File Execution Options entrées, ceci permet de lancer un autre programme au lancement d'un processus en particulier.
Dans la capture ci-dessous, on voit que pour chaque lancement d'explorer.exe, le programme C:\Program Files\Microsoft Common\wuauclt.exe sera démarré.
C'est un malware, voir : http://forum.malekal.com/exe-php-heur-t ... xe#p100479
Ce malware sera donc lancé au démarrage de Windows puisque Explorer est démarré aussi.

Image



Le logiciel en vidéo :



ou encore cette vidéo avec les erreurs rundll - entrée ou module manquante

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
gueguet

SysInternals Autoruns

par gueguet »

Bonjour !

Aujourd'hui , je vais vous montrer la puissance d'un logiciel de SysInternals : Autoruns. Il permet entre autre de supprimer des clés de démarrage sans passer par msconfig .

PS : Je m'excuse pour la petite coupure vers la 3ème minute de vidéo , mon petit frère a eu la bonne idée d'arracher les fils du micro-casque... Et soyez indulgents , c'est ma première "vraie" vidéo , j'essayerais bien sur de m'améliorer que ce soit pendant la vidéo ou après , c'est à dire au montage^^.

SkyTech

Re: SysInternals Autoruns

par SkyTech »

Salut,

Pas mal PDT_008
sioban

Re: SysInternals Autoruns

par sioban »

Moi aussi ^^
Malekal_morte
Messages : 116200
Inscription : 10 sept. 2005 13:57

Re: Autoruns de Sysinternals

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20152
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Autoruns de Sysinternals

par Parisien_entraide »

Malekal_morte a écrit :Ajout d'un tutoriel Autoruns : Tutoriel Autoruns
Voir aussi : Autoruns, ce bon vieil utilitaire qui dépote encore
A noter la sortie récente de la version 13.52

Et pour tout avoir sous la main, voir les outils sysinternals, Nirsoft, ....
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Malekal_morte
Messages : 116200
Inscription : 10 sept. 2005 13:57

Re: Autoruns de Sysinternals

par Malekal_morte »

L'intégration VirusTotal, ça tabasse pour garder un oeil sur son système pour "monsieur tout le monde" : Virus : surveiller son système.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Programmes utiles »