Forums Zebulon.fr: mini-tuto Autoruns - Forums Zebulon.fr

Salut all,

Dans la lutte anti-malware, nous sommes toujours à la recherche d'utilitaire simple et performant, il existe un programme sympa qui réunit ces 2 fonctions

autoruns de Sysinternals
http://www.sysintern...s/Autoruns.html

Excellent programme qui permet de mieux connaître son système, couplé avec Process Explorer, on peut en faire 2 outils très utile pour la lutte anti-malware, complémentaire par rapport à Hijackthis, il apporte d'autres valeurs de la base de registre essentielles en cas d'infection.
Une fois le zip téléchargé, décompressez-le dans un dossier, il est exécutable directement
cliquer sur autoruns.exe (il existe un autre programme dans l'archive :autorunsc.exe qui fonctionne ligne de commande)



Autoruns fonctionne par rubrique dans une interface graphique très conviviale, c'est très lisible et facile à utiliser .
Autoruns indique :
les clés de la base de registre
la description du programme
le Nom de l'éditeur (selon Windows)
et le chemin du programme dans le système


il permet aussi de faire un rapport complet des valeurs dans le registre, l'inconvénient de ce rapport, c'est qu'il est illisible pour un néophite, parce qu'il ne mentionne pas de rubrique comme Hijackthis (par exemple), ni les entrèes désactivées, donc, délicat à lire pour intervenir sur ce qui est bon ou nefaste pour la machine.
Voici un extrait du rapport :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit			
+ C:\WINDOWS\system32\userinit.exe	Application d'ouverture de session Userinit	(Verified) Microsoft Windows Publisher	c:\windows\system32\userinit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell			
+ Explorer.exe	Explorateur Windows	(Verified) Microsoft Windows Publisher	c:\windows\explorer.exe
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components			
+ Internet Explorer	Windows NT User Data Migration Tool	(Verified) Microsoft Windows Publisher	c:\windows\system32\shmgrate.exe
+ Internet Explorer 6	Utilitaire d'installation individualisée de Internet Explorer	(Verified) Microsoft Windows Publisher	c:\windows\system32\ie4uinit.exe
+ Mise à jour du Bureau Windows	Microsoft(C) Register Server	(Verified) Microsoft Windows Publisher	c:\windows\system32\regsvr32.exe
+ Personnalisation du navigateur	DLL de personnalisation de Microsoft Internet Explorer	(Verified) Microsoft Windows Publisher	c:\windows\system32\iedkcs32.dll
+ Themes Setup	Microsoft(C) Register Server	(Verified) Microsoft Windows Publisher	c:\windows\system32\regsvr32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler			
+ Démon de cache des catégories de composant	Bibliothèque de l'interface utilisateur du navigateur	(Verified) Microsoft Windows Publisher	c:\windows\system32\browseui.dll
+ Pré-chargeur Browseui	Bibliothèque de l'interface utilisateur du navigateur	(Verified) Microsoft Windows Publisher	c:\windows\system32\browseui.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad			
+ CDBurn	DLL commune du shell Windows	(Verified) Microsoft Windows Publisher	c:\windows\system32\shell32.dll
+ PostBootReminder	DLL commune du shell Windows	(Verified) Microsoft Windows Publisher	c:\windows\system32\shell32.dll
+ SysTray	Objet du service d'environnement Systray	(Verified) Microsoft Windows Publisher	c:\windows\system32\stobject.dll
+ WebCheck	Contrôleur de site Web	(Verified) Microsoft Windows Publisher	c:\windows\system32\webcheck.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks			
+ shell32.dll	DLL commune du shell Windows	(Verified) Microsoft Windows Publisher	c:\windows\system32\shell32.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved			
+ %DESC_PublishDropTarget%	Assistant Impression de photographies	(Verified) Microsoft Windows Publisher	c:\windows\system32\photowiz.dll
etc...

Les onglets
chaque onglet indique les differentes valeurs chargées dans le système par rubriques dans le registre :
L'intérêt des onglets, c'est de voir directement les valeurs sur un point précis


Everything -> indique une vue d'ensemble complète de toutes les rubriques, c'est par là qu'Autoruns s'ouvre et scanne votre registre

Logon -> indique ce qui se charge au démarrage de la session (juste après Winlogon) arrivée sur le bureau

Explorer -> indique toutes les dépendances qu'utilise le shell Explorer, elles sont nombreuses et classées en sous rubrique

Internet Explorer -> indique toutes les entrées utilisées par le navigateur

Sheduled Tasks -> indique les entrèes programmées en planification

Services -> indique les services démarrés sur le système

Drivers -> indique les pilotes installés et chargés au démarrage du système

Boot Execute -> indique ce que doit lancé Windows pendant la phase de démarrage ( verification du disque par exemple"chkdsk")

Image Hijacks -> indique les potentiels détournements de programme

AppInit -> indique les programmes qui se charge par l'intermédiaire de Userinit

KnownDll -> indique se que le système monte en mémoire au démarrage de la machine afin d’optimiser les temps d’accès, les .dll " DLLs connues " pour les applications 32 bits en vérifiant leur présence dans :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs

Winlogon -> indique les différentes dll qui gèrent l'ouverture et la fermeture d'une session

Winsock -> indique tous les sockets Windows présent dans le système, qui permettent de gérer l'ouverture ou la fermeture de connexion réseau en fonction des protocoles réseau


Maintenant que nous connaissons, les diverses rubriques, nous allons voir comment s'en servir facilement

Modifier les options :

Verify code signature
permet de verifier les programmes non signés (inconvénient, c'est que Windows ne les reconnait pas tous)



Hide: Afin de vérifier rapidement la présence de fichiers néfastes, je vous recommande d'activer les 2 fonctions : Verify code Signature et Hide signed Microsoft Entries


Ce qui nous donne comme résultat :

comme vous pouvez le constater, c'est plus rapide pour vérifier les programmes nefastes (dommage que le rapport ne donne pas ce type de résultat)

les options clic droit :


Delete -> supprimes le fichier et la valeur dans la base de registre (à n'utiliser que lorsqu'on est certain que le programme est néfaste)
Copy -> creer une copie du programme
Jump To -> ouvre regedit à l'adresse de la ligne surlignée
Google -> ouvre votre navigateur sur le mot "de l'application" recherchée" dans google, très pratique pour vérifier le programme quand on a un doute
Process Explorer -> ouvre le logiciel Process Explorer s'il est présent sur votre système, (indique en beaucoup mieux que le gestionnaire des taches)
Properties -> ouvre la fenetre de propriété du fichier


Désactiver des valeurs :
Autoruns permet de désactiver des valeurs dans la base de registre en créant un répertoire spécial pour chaque rubrique dans les clés de registre concernées.
L'intérêt de cette manipulation, c'est de désactiver un programme suspect qui ne sera pas lancé au prochain redémarrage de la machine, ensuite après vérification, si le programme est vraiment néfaste, la touche "delete" supprimera le fichier ainsi que sa valeur dans le registre





Je l'utilise principalement à titre de vérification sur un pc nettoyé après le passage des outils traditionnels, ca permet de faire un checklist facile et rapide de la base de registre et souvent de trouver une infection non vue par d'autres programmes


Mais c'est également un programme parfait pour optimiser son système, puisqu'il nous permet de désactiver directement des drivers, des programmes ou autres dll au lancement de windows dont on aurait pas forcément l'utilité (à consommer avec modération)



Voila, j'ai essayé de faire le tour du logiciel de manière simple, cet outil est vraiment super, dommage que le rapport qu'il génère soit aussi mal finalisé, car il permettrait d'offrir un excellent outil de travail pour les helpers, à tester sans modération



Si vous avez des commentaires, n'hésitez pas

Merci pour ce petit tutti ! Et le tuto.

Très utile !

Merci Tesgaz

Slt,

Merci Tesgaz pour tes tutos toujours trés utiles

Bonjour a tous.
Oui vraiment super, bien fait et utile.
merci a toi.

Bonjour à tous,

Autoruns de Sysinternals est un bon utilitaire qui trouve sa place chez-moi, dommage qu'une version francisé n'ai pas été faite car elle aurait permis sa plus large diffusion. Merci Tesgaz pour le tuto.

A+

Ce message a été modifié par coolman - 17 janvier 2006 - 03:52 .

bonjour
si j'ai bien compris c'est un super ms config:
si je ne veut plus de certaines fonctions ex mon mobile fait office de modem si je veux ;donc il a installer les drivers pour cela ils sont coches dans autoruns si je ne m'en sert pas pas je dechoche ou au mieux delette
merci encore pour ce tuto
à+

pitcat, le mercredi 01 février 2006 à 16h11, dit :

Bonjour, je viens de lancer autoruns en réglant les options comme indiquées dans ce tuto et je trouve ca (évidemment pas reconnu par microsoft)dans le répertoire HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components = la petite case est cocfhée et il y a juste un 0 à coté.

Je trouve aussi ca dans la rubrique HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components: :
n/aMicrosoft .NET IE SECURITY REGISTRATION (Not verified) Microsoft Corporation c:\windows\system32\mscories.dll


et j'ai enfin ca dans HKLM\System\CurrentControlSet\Services : MEMSWEEP2 File not found: C:\WINDOWS\system32\SophosMEMSWEEP.SYS


Qu'est ce que c'est ?

Merci

Bonjour toma 75
Si tu veux tu peux poser la question directement à l'auteur sur Speedweb

Bonjour à tous,

Pour ce qui est de SophosMEMSWEEP.SYS, il s'agit d'un reste de Sophos Anti rootkit.
Quand à mscories.dll, cela proviendrait du .net framework.

Pour le pourquoi de comment, je laisse tesgaz te l'expliquer sur son forum

Birkoff

Ce message a été modifié par S.Birkoff - 18 octobre 2006 - 02:51 .