Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Mini-tuto Autoruns


Invité tesgaz

Messages recommandés

Salut all,

 

Dans la lutte anti-malware, nous sommes toujours à la recherche d'utilitaire simple et performant, il existe un programme sympa qui réunit ces 2 fonctions

 

autoruns de Sysinternals

http://www.sysinternals.com/Utilities/Autoruns.html

 

Excellent programme qui permet de mieux connaître son système, couplé avec Process Explorer, on peut en faire 2 outils très utile pour la lutte anti-malware, complémentaire par rapport à Hijackthis, il apporte d'autres valeurs de la base de registre essentielles en cas d'infection.

Une fois le zip téléchargé, décompressez-le dans un dossier, il est exécutable directement

cliquer sur autoruns.exe (il existe un autre programme dans l'archive :autorunsc.exe qui fonctionne ligne de commande)

 

auto1.png

 

Autoruns fonctionne par rubrique dans une interface graphique très conviviale, c'est très lisible et facile à utiliser .

Autoruns indique :

les clés de la base de registre

la description du programme

le Nom de l'éditeur (selon Windows)

et le chemin du programme dans le système

 

 

il permet aussi de faire un rapport complet des valeurs dans le registre, l'inconvénient de ce rapport, c'est qu'il est illisible pour un néophite, parce qu'il ne mentionne pas de rubrique comme Hijackthis (par exemple), ni les entrèes désactivées, donc, délicat à lire pour intervenir sur ce qui est bon ou nefaste pour la machine.

Voici un extrait du rapport :

 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit			
+ C:\WINDOWS\system32\userinit.exe	Application d'ouverture de session Userinit	(Verified) Microsoft Windows Publisher	c:\windows\system32\userinit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell			
+ Explorer.exe	Explorateur Windows	(Verified) Microsoft Windows Publisher	c:\windows\explorer.exe
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components			
+ Internet Explorer	Windows NT User Data Migration Tool	(Verified) Microsoft Windows Publisher	c:\windows\system32\shmgrate.exe
+ Internet Explorer 6	Utilitaire d'installation individualisée de Internet Explorer	(Verified) Microsoft Windows Publisher	c:\windows\system32\ie4uinit.exe
+ Mise à jour du Bureau Windows	Microsoft(C) Register Server	(Verified) Microsoft Windows Publisher	c:\windows\system32\regsvr32.exe
+ Personnalisation du navigateur	DLL de personnalisation de Microsoft Internet Explorer	(Verified) Microsoft Windows Publisher	c:\windows\system32\iedkcs32.dll
+ Themes Setup	Microsoft(C) Register Server	(Verified) Microsoft Windows Publisher	c:\windows\system32\regsvr32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler			
+ Démon de cache des catégories de composant	Bibliothèque de l'interface utilisateur du navigateur	(Verified) Microsoft Windows Publisher	c:\windows\system32\browseui.dll
+ Pré-chargeur Browseui	Bibliothèque de l'interface utilisateur du navigateur	(Verified) Microsoft Windows Publisher	c:\windows\system32\browseui.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad			
+ CDBurn	DLL commune du shell Windows	(Verified) Microsoft Windows Publisher	c:\windows\system32\shell32.dll
+ PostBootReminder	DLL commune du shell Windows	(Verified) Microsoft Windows Publisher	c:\windows\system32\shell32.dll
+ SysTray	Objet du service d'environnement Systray	(Verified) Microsoft Windows Publisher	c:\windows\system32\stobject.dll
+ WebCheck	Contrôleur de site Web	(Verified) Microsoft Windows Publisher	c:\windows\system32\webcheck.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks			
+ shell32.dll	DLL commune du shell Windows	(Verified) Microsoft Windows Publisher	c:\windows\system32\shell32.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved			
+ %DESC_PublishDropTarget%	Assistant Impression de photographies	(Verified) Microsoft Windows Publisher	c:\windows\system32\photowiz.dll
etc...

 

 

Les onglets

chaque onglet indique les differentes valeurs chargées dans le système par rubriques dans le registre :

L'intérêt des onglets, c'est de voir directement les valeurs sur un point précis

onglet.png

 

Everything -> indique une vue d'ensemble complète de toutes les rubriques, c'est par là qu'Autoruns s'ouvre et scanne votre registre

 

Logon -> indique ce qui se charge au démarrage de la session (juste après Winlogon) arrivée sur le bureau

 

Explorer -> indique toutes les dépendances qu'utilise le shell Explorer, elles sont nombreuses et classées en sous rubrique

 

Internet Explorer -> indique toutes les entrées utilisées par le navigateur

 

Sheduled Tasks -> indique les entrèes programmées en planification

 

Services -> indique les services démarrés sur le système

 

Drivers -> indique les pilotes installés et chargés au démarrage du système

 

Boot Execute -> indique ce que doit lancé Windows pendant la phase de démarrage ( verification du disque par exemple"chkdsk")

 

Image Hijacks -> indique les potentiels détournements de programme

 

AppInit -> indique les programmes qui se charge par l'intermédiaire de Userinit

 

KnownDll -> indique se que le système monte en mémoire au démarrage de la machine afin d’optimiser les temps d’accès, les .dll " DLLs connues " pour les applications 32 bits en vérifiant leur présence dans :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs

 

Winlogon -> indique les différentes dll qui gèrent l'ouverture et la fermeture d'une session

 

Winsock -> indique tous les sockets Windows présent dans le système, qui permettent de gérer l'ouverture ou la fermeture de connexion réseau en fonction des protocoles réseau

 

 

Maintenant que nous connaissons, les diverses rubriques, nous allons voir comment s'en servir facilement

 

Modifier les options :

 

Verify code signature

permet de verifier les programmes non signés (inconvénient, c'est que Windows ne les reconnait pas tous)

verifier.png

 

 

Hide: Afin de vérifier rapidement la présence de fichiers néfastes, je vous recommande d'activer les 2 fonctions : Verify code Signature et Hide signed Microsoft Entries

 

 

Ce qui nous donne comme résultat :

hide.png

comme vous pouvez le constater, c'est plus rapide pour vérifier les programmes nefastes (dommage que le rapport ne donne pas ce type de résultat)

 

les options clic droit :

clic-droit.png

 

Delete -> supprimes le fichier et la valeur dans la base de registre (à n'utiliser que lorsqu'on est certain que le programme est néfaste)

Copy -> creer une copie du programme

Jump To -> ouvre regedit à l'adresse de la ligne surlignée

Google -> ouvre votre navigateur sur le mot "de l'application" recherchée" dans google, très pratique pour vérifier le programme quand on a un doute

Process Explorer -> ouvre le logiciel Process Explorer s'il est présent sur votre système, (indique en beaucoup mieux que le gestionnaire des taches)

Properties -> ouvre la fenetre de propriété du fichier

 

 

Désactiver des valeurs :

Autoruns permet de désactiver des valeurs dans la base de registre en créant un répertoire spécial pour chaque rubrique dans les clés de registre concernées.

L'intérêt de cette manipulation, c'est de désactiver un programme suspect qui ne sera pas lancé au prochain redémarrage de la machine, ensuite après vérification, si le programme est vraiment néfaste, la touche "delete" supprimera le fichier ainsi que sa valeur dans le registre

desactiver.png

 

 

 

Je l'utilise principalement à titre de vérification sur un pc nettoyé après le passage des outils traditionnels, ca permet de faire un checklist facile et rapide de la base de registre et souvent de trouver une infection non vue par d'autres programmes

 

 

Mais c'est également un programme parfait pour optimiser son système, puisqu'il nous permet de désactiver directement des drivers, des programmes ou autres dll au lancement de windows dont on aurait pas forcément l'utilité (à consommer avec modération)

 

 

 

Voila, j'ai essayé de faire le tour du logiciel de manière simple, cet outil est vraiment super, dommage que le rapport qu'il génère soit aussi mal finalisé, car il permettrait d'offrir un excellent outil de travail pour les helpers, à tester sans modération

 

 

 

Si vous avez des commentaires, n'hésitez pas :P

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

 

Autoruns de Sysinternals est un bon utilitaire qui trouve sa place chez-moi, dommage qu'une version francisé n'ai pas été faite car elle aurait permis sa plus large diffusion. Merci Tesgaz pour le tuto.

 

A+

Modifié par coolman
Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

bonjour

si j'ai bien compris c'est un super ms config:

si je ne veut plus de certaines fonctions ex mon mobile fait office de modem si je veux ;donc il a installer les drivers pour cela ils sont coches dans autoruns si je ne m'en sert pas pas je dechoche ou au mieux delette

merci encore pour ce tuto

à+

Lien vers le commentaire
Partager sur d’autres sites

  • 8 mois après...

bonjour

si j'ai bien compris c'est un super ms config:

si je ne veut plus de certaines fonctions ex mon mobile fait office de modem si je veux ;donc il a installer les drivers pour cela ils sont coches dans autoruns si je ne m'en sert pas pas je dechoche ou au mieux delette

merci encore pour ce tuto

à+

 

 

 

Bonjour, je viens de lancer autoruns en réglant les options comme indiquées dans ce tuto et je trouve ca (évidemment pas reconnu par microsoft)dans le répertoire HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components = la petite case est cocfhée et il y a juste un 0 à coté.

 

Je trouve aussi ca dans la rubrique HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components: :

n/aMicrosoft .NET IE SECURITY REGISTRATION (Not verified) Microsoft Corporation c:\windows\system32\mscories.dll

 

 

et j'ai enfin ca dans HKLM\System\CurrentControlSet\Services : MEMSWEEP2 File not found: C:\WINDOWS\system32\SophosMEMSWEEP.SYS

 

 

Qu'est ce que c'est ? :P

 

Merci

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

 

Pour ce qui est de SophosMEMSWEEP.SYS, il s'agit d'un reste de Sophos Anti rootkit.

Quand à mscories.dll, cela proviendrait du .net framework.

 

Pour le pourquoi de comment, je laisse tesgaz te l'expliquer sur son forum :P

 

Birkoff

Modifié par S.Birkoff
Lien vers le commentaire
Partager sur d’autres sites

  • Tonton a modifié le titre en Mini-tuto Autoruns

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...