AutoRuns SysInternals

Répondre
     
Avatar du membre
hackinginterdit
Site Admin
Messages : 232
Enregistré le : 03 sept. 2017, 19:16

AutoRuns SysInternals

Message par hackinginterdit » 28 mai 2018, 08:47

Lorsque Windows démarre, un grand nombre de processus sont lancé, les ordres de lancement proviennent d'une foule d'emplacements éparpillés dans Windows. Plusieurs outils permettent de regarder ce qui se lance au démarrage de Windows sous forme d'une simple liste afin de comprendre ce qui se lance et de désactiver facilement certains processus qui sont :
soit inutiles et prennent de la place et du temps
soit hostiles comme certains virus, adwares, spywares etc
SysInternals et Mark Russinovith, AutoRuns pour Windows présente la connaissance la plus approfondie qui soit des emplacements de Windows qui monitorent des lancements automatiques de processus.
Certains emplacements ne sont quasiment pas connus des internautes mais il est certain que les cybercriminels les connaissent et y cachent des démarrages automatiques difficiles à débusquer.
Vous pouvez télécharger Autoruns à partir de ce lien : Téléchargement

Voici un exemple de fenêtre Autoruns avec en haut les onglets des différents éléments systèmes que vous listez.

Image

Le menu Autoruns et sa barre d’outils

L’icône disquette permet d’enregistrer le rapport, cela permet de charger un état sur un autoruns d’un autre ordinateur, dans le cas où vous scanner un ordinateur tiers.
L’icône avec les doubles flèches vertes permet de ré-actualiser le contenu de la fenêtre Autoruns
L’icône jumelle permet d’effectuer une recherche
L’icône avec la feuille blanche et coche rouge permet d’ouvrir les propriétés d’un élément sélectionné
L’icône croix rouge supprime l’élément sélectionné
la dernière icône la flèche verte permet d’ouvrir l’élément dans l’éditeur du registre Windows.
Si vous souhaitez désactiver un élément, il vous suffit de le décocher.
L’icône avec la croix rouge permet de supprimer complètement l’entrée.

Image


Options Autoruns

Autoruns masque les entrées des programmes systèmes Windows, vous pouvez désactiver cette option mais les listes vont être vraiment très longues.
Vous pouvez aussi masquer les fichiers sains sur VirusTotal (voir ci-dessous comment l’activer) et les fichiers Microsoft.

Image

Vous pouvez activer, une analyse VirusTotal des éléments listés, cliquez sur le menu Options > Scan Options.
Cochez alors Check VirusTotal.com et acceptez les conditions d’utilisation.

Image

Image

Les onglets d’Autoruns

Everything : liste tous les éléments du système, l’intégralité du contenu des onglets Autoruns.
Logon : tous les points de chargement systèmes.
Explorer : tous les clefs du registre Windows relatives à Explorer.exe, on y trouve entre autre les clefs Shell et MenuContextHandlers (les éléments qui se mettent sur le menu du clic droit) et qui peuvent causer des crash/plantages explorer.exe.
Internet Explorer : toutes les clefs du registre Windows relatives à Internet Explorer dont les BHO et plugins
Scheduled Tasks : il s’agit des tâches planifiées de Windows.
Services : liste les services Windows.
Drivers : liste les drivers chargés.
Codecs : liste les codecs installés et les fichiers relatifs à ces derniers.
Boot Execute : Boot Execute est notamment utilisé pour stocker les informations pour effectuer certaines opérations durant le démarrage de Windows, notamment si vous demandez d’effectuer un checkdisk (chkdsk) d’une partition. Certains antivirus peuvent le modifier pour effectuer une analyse au démarrage.
Image Hijacks : liste les clefs Debug, les clefs qui permettent de remplacer le chargement du gestionnaire de tâches par un autre programme (Exemple Process Explorer) etc. Certains malwares/virus peuvent s’y loger. Ces clefs ne sont pas chargés dans l’onglet Logon.
Tutoriel Autoruns : désactiver des programmes qui se lancent au démarrage de Windows
AppInit : liste les clefs AppInit_DLLs, beaucoup de malwares/virus peuvent s’y loger.
KnownDLLs : permet à Windows de stocker des informations sur des versions de DLLs, en général, cet onglet n’est pas utile.
Winlogon: toutes les clefs du registre Windows relatives à Winlogon.exe
Winsock : toutes les clefs réseau relatives à la couche Winsock, si ce dernier est endommagé, les connexions réseaux ne fonctionneront plus. Beaucoup de malwares/virus peuvent s’y inscrivent afin de manipuler les requêtes réseaux. Se reporter à la page: Winsock : Reset du catalogue
Print Monitors / LSA PRoviders / Network PRoviders : ces onglets ne devraient pas vous être utiles et ne devrait pas être modifiés par des infections.
WMI : clefs relatives au WMI (Windows Management Instrumentation), des scripts malicieux VBS/WSH peuvent s’y loger
Sidebar Gadgets : tous les éléments relatifs aux gadgets de Windows
Office : toutes les cles relatives aux applications Microsoft Office.

Image
Avatar du membre
chrisnvidia
Messages : 49
Enregistré le : 16 sept. 2017, 18:48
Localisation : Orléans
Contact :

Re: AutoRuns SysInternals

Message par chrisnvidia » 28 mai 2018, 15:20

Hello André

Et ce qui est en jaune c'est quoi ?

Image

Il n'y a pas de rapport après le scan ?
Avatar du membre
hackinginterdit
Site Admin
Messages : 232
Enregistré le : 03 sept. 2017, 19:16

Re: AutoRuns SysInternals

Message par hackinginterdit » 29 mai 2018, 14:22

Coucou Chris

Ce sont des file not found "Fichier non trouvé" pas important à la limite tu peux les delete
Avatar du membre
chrisnvidia
Messages : 49
Enregistré le : 16 sept. 2017, 18:48
Localisation : Orléans
Contact :

Re: AutoRuns SysInternals

Message par chrisnvidia » 30 mai 2018, 10:04

Ok merci c'est fait :super:
Avatar du membre
hackinginterdit
Site Admin
Messages : 232
Enregistré le : 03 sept. 2017, 19:16

Re: AutoRuns SysInternals

Message par hackinginterdit » 30 mai 2018, 15:47

:hello:
Répondre

Réseau social