Les logiciels malveillants sont normalement programmés pour rester infectés sur le système aussi longtemps que possible afin de voler plus d'informations à partir de l'ordinateur via le keylogging, de continuer à propager et à infecter d'autres ordinateurs sur le réseau, ou de faire partie d'un botnet en attendant que leur maître leur ordonner de lancer une attaque DDoS. Afin de rester infecté, en plus d'être non détecté, il doit s'exécuter automatiquement au démarrage de Windows. L'une des façons de découvrir une infection dans Windows consiste à rechercher dans les emplacements de démarrage toute entrée suspecte.
La méthode la plus simple pour vérifier les éléments de démarrage consiste à utiliser l'outil de configuration système intégré (msconfig.exe) dans Windows, mais malheureusement les points vérifiés ne sont pas terminés, peuvent être facilement désactivés via un simple piratage du registre et MSConfig ne fonctionne pas vous dire quelles entrées sont dangereuses. HijackThis était un outil populaire pour analyser un ordinateur infecté par un logiciel malveillant qui inclut des entrées de démarrage dans le résultat de l'analyse, mais malheureusement, il a été remplacé par la plupart des autres outils du même type.
Voici 6 outils gratuits que vous pouvez utiliser pour analyser les éléments de démarrage, y compris les emplacements délicats qui ne sont pas répertoriés dans msconfig. 1. Emsisoft HiJackFree
HiJackFree est un outil gratuit d'analyse de système proposé par Emsisoft, le fabricant du populaire logiciel Anti-Malware pour les utilisateurs avancés afin de détecter les malwares et de les supprimer de l'ordinateur. Pour vérifier les entrées de démarrage, cliquez sur Autoruns dans la barre latérale gauche où il répertorie les éléments en cours de démarrage en fonction des différentes méthodes. Ce que nous avons vraiment aimé avec HiJackFree, c'est qu'il va essayer de déterminer automatiquement si les entrées sont sûres ou non et les étiqueter avec un code couleur pour une identification plus facile.
Si vous avez une connexion Internet activée, vous pouvez cliquer sur l'icône d'actualisation située en haut à droite qui indique «Actualiser les données en ligne automatiquement» lorsque le curseur de votre souris les survole. Cela vérifiera les éléments de démarrage avec les dernières données pour fournir une analyse plus précise et à jour. Vous pouvez désactiver temporairement le démarrage de l'élément en décochant la case, modifier, supprimer et même ajouter de nouvelles entrées de démarrage. L'onglet Services mérite également d'être vérifié car il s'agit d'une autre méthode de démarrage que le programme peut exécuter avant même que l'utilisateur ne soit connecté à Windows.
Outre l'analyse des zones de démarrage, HiJackFree peut également afficher des informations détaillées sur les processus en cours, les ports ouverts par processus, les modules complémentaires de l'Explorateur, LSP, les entrées de fichier HOSTS et ActiveX installé sur un système Windows. Si vous souhaitez obtenir un rapport de l'analyse HiJackFree, vous pouvez cliquer sur le bouton Analyse en ligne situé en haut à droite où un fichier journal sera généré et automatiquement téléchargé sur le site Web d'Emsisoft pour analyse. Une fois l'analyse terminée, la page Web de détails s'ouvrira à l'aide de votre navigateur Web par défaut.
Télécharger Emsisoft HiJackFree
2. Runscanner
Runscanner est un analyseur de démarrage gratuit et portable qui se décline en deux modes: débutant et expert. Fondamentalement, le mode débutant est censé simplement analyser et créer un journal et un fichier «exécuter» pour être examiné par un spécialiste des logiciels malveillants. Quant au mode Expert, c'est là que vous pouvez voir tous les éléments de démarrage et également les corriger si vous trouvez le suspect. Au lieu de simplement répertorier tous les éléments de démarrage, Runscanner facilite la tâche en répertoriant uniquement les entrées qui ne figurent pas dans leur liste blanche. Les éléments répertoriés n'indiquent pas nécessairement qu'ils sont dangereux, mais nécessitent simplement une attention supplémentaire pour vous assurer que vous savez d'où ils viennent.
Pour supprimer un élément de démarrage, double-cliquez sur l'entrée pour effectuer une vérification. Ensuite, allez dans l'onglet Fixateur d'élément où vous pouvez consulter les éléments que vous souhaitez supprimer. Pour confirmer la suppression des éléments, cliquez sur le bouton Réparer les éléments sélectionnés. Vous pouvez également double-cliquer sur une entrée dans l'onglet Fixateur d'élément pour supprimer l'élément de la liste. Tous les éléments de démarrage supprimés de Runscanner peuvent être restaurés à partir de l'onglet Extra stuff> Historique / sauvegardes.
Runscanner est également livré avec des fonctions supplémentaires pour rechercher sur les modules chargés, tuer le processus avec la possibilité de supprimer au prochain redémarrage et de télécharger les fichiers sur VirusTotal pour les analyser avec plus de 40 programmes antivirus différents.
Télécharger Runscanner
3. Autoruns
Autoruns est l'un des outils portables les plus populaires utilisés pour analyser les programmes de démarrage dans Windows créés par Sysinternals et est acquis par Microsoft. Cet outil est plus destiné aux utilisateurs avancés car il ne permet pas de reconnaître les éléments dangereux ou dangereux. Il utilise des codes de couleur pour certains éléments tels que le jaune pour les fichiers introuvables et le rouge pour les éléments qui ne contiennent pas d'informations sur les propriétés des fichiers.
Vous pouvez désactiver temporairement l'entrée de démarrage en décochant la case. Lorsque vous constatez que les modifications apportées sont sûres, vous pouvez supprimer définitivement l'entrée à l'aide du menu contextuel du clic droit. Par défaut, il masque également les entrées Windows pour vous empêcher de désactiver à tort une entrée de démarrage importante qui empêchera Windows de démarrer car la restauration des modifications en modifiant le registre sans démarrer sous Windows peut être un véritable défi.
Télécharger Autoruns
4. Online Solutions Autorun Manager
Online Solutions Autorun Manager, abréviation de OSAM est un autre analyseur de démarrage qui a la possibilité d'analyser les entrées de démarrage à l'aide de leur scanner de malwares en ligne. Le scanner de logiciels malveillants en ligne d'OSAM prend les hachages des processus et les compare à leur base de données. Après l'analyse, un niveau de risque est ajouté à l'analyse afin que vous puissiez ignorer ceux qui sont sûrs et ne faire attention qu'aux inconnus. Il existe également des éléments étiquetés «Up-to-you» qui peuvent être supprimés ou laissés intacts car cela ne pose aucun risque pour la sécurité.
Le codage couleur est également utilisé dans Online Solutions Autorun Manager, où bleu signifie fichier introuvable et jaune pour les fichiers sans informations de propriété. Si vous décochez la case, l'élément ne démarrera pas. Pour des raisons inconnues, nous n'avons pas pu supprimer définitivement les éléments de démarrage car l'option «Supprimer du stockage» du menu contextuel du clic droit est toujours grisée. OSAM est disponible en version d'installation et en version portable.
Télécharger Online Solutions Autorun Manager
5. Coureurs silencieux
Silent Runners est en fait un VBScript qui génère simplement un fichier journal contenant des éléments de démarrage sur le système. Il n'y a pas d'interface utilisateur graphique ni d'options et l'exécution du fichier lui-même produira le fichier journal dans le même répertoire que le script. Les éléments de démarrage qui appartiennent à Windows ne sont pas inclus dans la liste et vous devez prendre note des lignes contenant <> car le point de lancement est couramment utilisé par les logiciels malveillants.
De toute évidence, Silent Runners n'est pas destiné à être utilisé par les utilisateurs de base ou à supprimer les entrées de démarrage douteuses. Ce VBScript s'avère utile lorsque vous n'êtes pas autorisé à exécuter des fichiers exécutables.
Télécharger Silent Runners
6. FreeFixer
FreeFixer est un outil de suppression général qui analyse non seulement un certain nombre d'emplacements de démarrage, mais également plusieurs autres zones du système où des logiciels malveillants pourraient se cacher. Plus de 40 emplacements différents sont analysés au total, y compris les objets d'aide au navigateur, les barres d'outils et extensions Mozilla Firefox / Internet Explorer, les raccourcis de démarrage automatique, les démarrages de registre, les tâches planifiées, les processus cachés, le fichier HOSTS, les stratégies système, les pilotes, les services, les paramètres TCP / IP., UserInits, raccourcis, fichiers récemment créés ou modifiés, modules Svchost.exe / Explorer.exe et bien d'autres.
Bien que le programme utilise la liste blanche pour réduire le nombre d'entrées pleinement légitimes apparaissant dans la liste des résultats, il indique clairement que vous avez toujours besoin d'une connaissance approfondie pour comprendre ce que vous souhaitez conserver et ce qui pourrait être malveillant et doit être supprimé. Comme la numérisation est plus complète, le temps nécessaire pour terminer l'opération peut prendre 10 minutes ou plus, donc un peu de patience est nécessaire. Téléchargez simplement le programme d'installation ou la version portable, lancez-le et appuyez sur Démarrer l'analyse.
S'il y a encore des entrées que vous ne comprenez pas lors de l'examen des résultats, le lien «plus d'informations» vous amènera à la bibliothèque en ligne sur le site Web de FreeFixer où des informations plus détaillées peuvent, espérons-le, donner une meilleure idée de ce qu'est l'élément. Cochez ce que vous souhaitez supprimer, puis cliquez sur Corriger. Il existe des paramètres supplémentaires pour planifier une analyse en arrière-plan et télécharger des fichiers vers FreeFixer lorsque vous cliquez sur «plus d'informations», un fichier nuker et System File Checker peuvent être trouvés dans la fenêtre Outils. Windows 2000 à 8.1 est pris en charge.
Télécharger FreeFixer
Note de l'éditeur : Bien que ces 6 outils que nous avons introduits puissent répertorier et supprimer les entrées de démarrage créées par des programmes tiers, ce n'est toujours pas infaillible car il existe des types de logiciels malveillants plus avancés tels que les rootkit qui nécessitent un programme anti-rootkit pour détecter sa présence. . De plus, nous avons vu un enregistreur de frappe vraiment intelligent qui n'ajoute l'entrée de démarrage que juste avant la fin du programme lorsque Windows s'arrête, puis supprime automatiquement l'entrée de démarrage après son lancement au démarrage de Windows. Cette méthode contourne efficacement la détection sur l'un des 5 outils que nous avons mentionnés ci-dessus.
