Cette page explique comment le retrouver facilement en deux ou trois cliques de souris.
Ce dossier permet de lancer un programme au démarrage de la session, très utilisé par les malwares et notamment les RATs (Remote Access Tools) ou lesrançongiciels pour ouvrir les instructions de paiements. Sur les rapports FRST, ils sont notés ainsi :
Sur Windows XP, Vista et Seven, ce dossier était accessible depuis le "Menu Démarrer" / "Tous les Programmes" et "Démarrage" :Startup: C:\Users\Dominique\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-01] ()
Il existe deux Startups, celui de l'utilisateur et celui de All Users ( qui agit sur toutes les sessions )
- Utilisateur courant - le chemin est : %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
- All User - le chemin est : %PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\Startup
Il existe aussi des raccourcis à travers des variables que vous pouvez ouvrir de la même manière que les chemins complets précédemment donnés, ainsi, on retrouve :
- Utilisateur courant - le chemin est : shell:startup
- All User - le chemin est : shell:common startup
Le programme Autoruns permet de lister tout ça et bien d'autres points de chargements de programmes au démarrage de Windows.
A lire aussi : Comment mettre un programme au démarrage de Windows