Autoruns est un outils de diagnostique qui permet de lister et analyser certains points clefs du système pouvant contenir des malwares/virus.
Il est destiné à des utilisateurs avertis qui veulent garder un oeil sur le système.
Voir aussi : Page officiel de Téléchargement d'Autoruns : Télécharger Autoruns
Autoruns liste :
- Les points de chargements systèmes comme par exemple :
- HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- C:\Documents and Settings\*\Start Menu\Programs\Startup
- C:\Documents and Settings\*\Start Menu\Programs\Startup
- RunOnce etc..
- Les entrées du registre Windows relatives à Explorer et Handles (fichiers/répertoires ouverts)
- Les entrées du registre Windows relatives à Internet Explorer (BHO, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions)
- Les tâches planifiées
- Les Services Windows
- Les Drivers/pilotes
- Image File Execution Options entrées (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options)
- AppInit entrées (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows)
- KnownDlls entrées (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs)
- Points de chargements Winlogon (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify) (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|UserInit) (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|System) etc.
- Winsocks entrées (LSP) (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\*\Catalog_Entries)
- LSA Proviers (HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders) (HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages) etc.
- Chargements imprimantes
Il est aussi possible d'enregistrer les informations (File / Save) et de comparer plus tard (Menu File / Compare) afin d'analyser les modifications sur le système.
L'onglet Everything liste toutes les entrées confondues.
Il est alors possible d'effectuer une recherche sur un élément pour le trouver à partir de l'icone jumelle.
Autoruns est capable de supprimer (clic droit / delete) ou désactiver une entrée en décochant.
Voici une capture de l'onglet Logons qui liste quelques des points de chargements des programmes.
En double-cliquant sur une ligne, Autoruns ouvre directement regedit sur l'entrée.
L'onglet Explorer liste les Handles et Hook.
A noter, qu'il est possible de filtrer les entrées Microsoft via le menu Options / Hide Signed Microsoft Entries afin d'obtenir une meilleur lisibilité.
Vous devez taper sur la touche F5 pour rafraichir la liste.
Entrées du registre relatives Winlogon :
Entrées du registre relatives à Internet Explorer :
Entrées Image File Execution Options entrées, ceci permet de lancer un autre programme au lancement d'un processus en particulier.
Dans la capture ci-dessous, on voit que pour chaque lancement d'explorer.exe, le programme C:\Program Files\Microsoft Common\wuauclt.exe sera démarré.
C'est un malware, voir : http://forum.malekal.com/exe-php-heur-t ... xe#p100479
Ce malware sera donc lancé au démarrage de Windows puisque Explorer est démarré aussi.
Le logiciel en vidéo :
ou encore cette vidéo avec les erreurs rundll - entrée ou module manquante