SOSPC

Contrôler / Monitorer le démarrage de Windows finement, par Charly

controlermonitorer-le-demarrage-de-windows-finement-par-charly-sospc-name-1

J'ai eu de nombreuses hésitations à vous parler de ce logiciel car s'il est utile pour celui qui connait bien sa machine, il peut devenir un vrai désastre pour le néophyte, d'où mes nombreuses mises en garde ici. 

Je voudrais vous présenter tout de même ce soft que j'utilise depuis l'époque d'XP et qui je pense se doit de figurer dans votre trousse à outils Windows, j'ai nommé "AutoRuns" que vous trouverez ICI.

Vous le trouverez sur le site de Microsoft également. Il n'a pas besoin d'installation pour fonctionner, un double clic suffit pour le lancer (après l'avoir décompressé si besoin et en mode administrateur pour avoir toutes les options).

Edité à l'origine par SysInternals mais racheté par Microsoft il y a quelques années (2006), il est compatible toutes les versions Windows + 64bit et WS serveur 2003 (x64).

J'ai vraiment hésité à vous le présenter car il n'est pas vraiment fait pour le néophyte mais faut bien commencer un jour non ?

Le site SysInternals a vu le jour en 1996 (ça ne me rajeunit pas tout ça :-) et a été créé par Mark Russinovich, ils avaient des softs de haute techno et parfaitement stables, Microsoft ne s'est pas trompé, pour une fois…

Mark R. est encore le patron de cette division de Microsoft, souvenez-vous c'est lui avec son talent qui a découvert le rootkit de Sony fin 2006. La division Sysinternals de Microsoft est ICI : https://technet.microsoft.com/en-us/bb545027

Vous trouverez sur ce site où j'ai beaucoup pioché, de nombreux softs très utiles et fiables, développés en grande partie par Mark et son équipe et pérennisé ensuite par Microsoft.

***

controlermonitorer-le-demarrage-de-windows-finement-par-charly-sospc-name-11

A quoi sert-il ?

 

Pour ma part c'est un genre de "tuning" pour Windows.Vous connaissez tous le "msconfig" de Windows, qui permet de contrôler ce qui démarre avec l'OS. AutoRuns fait la même chose mais en beaucoup plus complet.

Quand vous allumez votre Pc de nombreux process se lancent (pas seulement les programmes) de tous les coins de l'OS comme les "nécessaires, les facultatifs" etc.

Avec Autoruns vous pouvez même "voir les malveillants", ce logiciel, malgré son interface réduite à sa plus plus simple expression, demeure un des plus puissants pour monitorer ce qui démarre sur votre OS. Avec Autoruns vous pourrez désactiver/supprimer ce qui se lance au démarrage de votre OS mais pas seulement vos programmes comme le ferait "msconfig" ou le gestionnaire des tâches mais également les drivers/tâches inutiles…

La plus grande prudence est de mise ici, vérifiez bien avant de désactiver quoi que ce soit sous peine de plantage complet !

Vous comprendrez aisément que je ne peux donner mes propres réglages car nous avons tous une machine différente et des besoins différents les uns des autres (prog/drivers/OS/config etc…).

Autoruns fait exactement ce que vous lui demandez. Avec lui, pour peu que vous preniez le temps de le connaitre, votre Pc sera optimisé aux petits oignons, avec l'aide d'Autoruns (en grande partie) je suis sur mon bureau en 13/15s. maxi (équipé de WS 8.1 optimisé+2 HDD optimisés+6Go Ram), c'est pourquoi je n'ai pas l'utilité d'un SSD pour le moment sur ce Laptop.

Je voudrais avertir ici le néophyte que ce logiciel est puissant et qu'une mauvaise manip de votre part pourrait rendre votre OS inutilisable ! Si vous avez un doute abstenez-vous de modifier, faîtes avant tout une recherche sur le Web sur le process qui vous pose problème.

Je me bornerai donc à lister l'essentiel de ses options. Mais avant de poursuivre il est à noter qu'il existe une version pour les pros/admin (lignes de commandes) qui se nomme "autorunsc" et qui fait sensiblement la même chose ( plus de précisions à la fin de l'article).

***

controlermonitorer-le-demarrage-de-windows-finement-par-charly-sospc-name-11

Utilisons le mode graphique d'Autoruns, plus "commode" et qui intéressera le plus grand nombre d'entre-nous.

 

Compatible avec toutes les versions Windows, je ne l'ai néanmoins jamais testé sur W10, mais je suis persuadé qu'il fera des merveilles tant ce "service" (OS) est "pollué" de toute part.

AutoRuns vous indique quels programmes sont configurés pour s'exécuter pendant le lancement ou la connexion de l'OS ainsi que les entrées d'où ils sont lancés et dans quel ordre Windows les traite. Ces entrées incluent votre dossier de démarrage, "RunOnce, Run" et autres clés du Registre. Il a son propre format de fichier (.ARN) comme extension (autoruns data);

La version "graphique" qui nous intéresse ici fonctionne avec ce format, malheureusement autoruns est toujours en Anglais depuis toutes ces années, aussi je vais tenter de détailler au mieux ses menus et de faire un mini tuto car les lenteurs observées sur les machines Windows sont de fait, pour l’essentiel liées à la charge résidente (tout le monde n'a pas 16Go de Ram/SSD et un processeur à 30 cœurs, :-)

 Il vous aidera/obligera à connaitre finement votre Pc, réservé à l'origine aux Admins il peut néanmoins, si vous êtes prudent, vous être fort utile. N'hésitez pas à me "reprendre" si besoin ou à me compléter dans vos comments, merci.

Conseil pour les débutants : les seuls onglets où vous pouvez vous "aventurer" sont :

"Logon, winlogon, sheduledtasks et services"

***

controlermonitorer-le-demarrage-de-windows-finement-par-charly-sospc-name-11

A quoi ressemble t-il ?

 

controlermonitorer-le-demarrage-de-windows-finement-par-charly-sospc-name-5

Vous pouvez bien sur laisser les valeurs/réglages par défaut.

 

Le menu "file" en haut à gauche : (selon version/OS)

controlermonitorer-le-demarrage-de-windows-finement-par-charly-sospc-name-6

- Open : ouvre un fichier (format .ARN d'autoruns)

- Save : Sauvegarde des résultats au format .ARN
- Analyze Offline System : Analyse en mode hors-ligne
- Compare : Comparer deux fichiers .ARN

- Run as administrator : lancer en mode Admin (absent sur la capture/version)
- Refresh : Rafraîchir l'affichage
- Exit : Sortir/fermer

Sur le même principe, le menu "Entry" juste à côté :

- Delete : Effacer une entrée sélectionnée ( faites très attention ici )
- Copy : Copier une entrée sélectionnée
- Jump to Entry : Se positionne sur l'entrée dans le Registre
- Jump to Image : Se positionne à l'emplacement du fichier
- Check VirusTotal : Recherche la correspondance sur virustotal
- Process Explorer : Recherche si le processus est actif ( "process explorer" doit-être exécuté)
- Search Online : Recherche sur le Web
- Find : Effectuer une recherche sur les résultats

- Properties : Recherche l'emplacement du fichier

A côté nous avons les Options : (selon versions/OS).

- Hide Empty Locations : Masque l'affichage des emplacements "vides"
- Hide Microsoft Entries : Masque l'affichage des entrées Microsoft
- Hide Windows Entries : Masque l'affichage des entrées Windows
- Hide VirusTotal Clean Entries : Masque l'affichage des entrées saines de V.Total
- Scan Options : Active les options de vérifications, Scan only per-user locations, Verify code signatures, - Check VirusTotal,
attention VirusTotal n'est pas activé par défaut dans Autoruns, pour l'activer faites ceci :
Options > Scan Options et cocher "Check Virustotal.com" puis faîtes un "Rescan" pour actualiser la page.

- Font : Personnalise la police de caractères

Vous remarquerez (capture ci-après) que si l'option "Check virus total" est activé dans les options qu'il m'a trouvé un Malware (en rouge) lié au bluetooth de mon Laptop (je vous rassure c'est juste pour "l'exercice". :-)

Faîtes un clic sur cette ligne rouge, votre navigateur s'ouvrira sur la description du problème, toutefois si cette option était décochée alors l'onglet "virus total" serait vide. Pourquoi 1/58 au fait ? Sur 58 moteurs de recherche de Virus, un seul pense que c'est un Malware (et il a raison ! :-).

En faisant ce genre de test sur des Pc vérolés de Spy/Malwares/PUP and co. en tout genre je constate qui trouve quoi et je me fais ma propre opinion sur les AV. J'ai eu des surprises en procédant de la sorte…

Ceci ne concerne évidemment pas les services complémentaires (Firewall etc.) proposés par les suites d'AV.

controlermonitorer-le-demarrage-de-windows-finement-par-charly-sospc-name-10

***

controlermonitorer-le-demarrage-de-windows-finement-par-charly-sospc-name-11

Continuons,

 

- En mode admin vous verrez également le Menu "User" qui permet de sélectionner l'utilisateur.

- Zone de saisie "Filter" (juste en dessous) Vous permet d'appliquer un filtre sur l'affichage des résultats (ne pas confondre avec la fonction habituelle de "recherche Windows")

Capture en "mode admin" (remarquer l'option "User")

controlermonitorer-le-demarrage-de-windows-finement-par-charly-sospc-name-9

Capture en mode "non admin"

controlermonitorer-le-demarrage-de-windows-finement-par-charly-sospc-name-7

Les onglets d'Autoruns. Vous allez être surpris par le nombre de process lançé sur votre Pc. Le "msconfig" de Windows ne vous en montre pas autant non ?

Chaque onglet indique les différentes valeurs chargées dans le système par rubriques dans le registre.

Selon les versions et l'OS : ( je met un Ф là ou vous devriez faire vraiment trèèès attention…)

Ф L'onglet Everything indique une vue d'ensemble complète de toutes les rubriques

Logon indique ce qui se charge au démarrage de la session (juste après Winlogon) Vous pouvez décocher ici ce qui semble ralentir le démarrage de votre Pc, attention tout de même aux fichiers système et/ou "Intel"

Explorer indique toutes les dépendances qu'utilise le shell Explorer, elles sont nombreuses et classées en sous rubrique, ce qui se charge quand vous faites un clic droit par ex. beaucoup de softs s'invitent dans le clic droit ce qui a pour conséquence de ralentir encore un peu plus l'OS, une nano seconde par ci, une par là…

Internet Explorer indique toutes les entrées utilisées par le navigateur, si vous n'utilisez pas IE faîtes vous plaisir :-)

Sheduled Tasks indique les entrées programmées en planification (si vous en avez) par ex. une défragmentation, un Auto-update du navigateur ou d'un prog, garder uniquement ce dont vous avez besoin

Services indique les services démarrés sur le système (idem services dans "outils d'administration Windows")

Faîtes vous plaisir en désactivant par ex. "les clouds, les updates checkers, bonjour, Apple" et autres parasites …Attention de ne pas toucher à votre AV/pare-feu, fiez-vous à la colonne "Publisher" pour avoir le nom de l'éditeur du programme.

Ф Drivers/codecs indique les pilotes installés et chargés au démarrage du système (attention ici) Faîtes une recherche en ligne à l'aide d'un clic droit (ceci devrait être valable pour tout les onglets)

Print monitor Eléments des imprimantes lançés au démarrage

Boot Execute indique ce que doit lancer Windows pendant la phase de démarrage (verification du HDD par exemple ou un CHKDSK)

Image Hijacks indique les potentiels détournements de programme. Je vous conseille plutôt ce logiciel ICI : https://sourceforge.net/projects/hjt/ (malheureusement pour le néophyte il est tout aussi illisible)

Ф AppInit indique les programmes qui se chargent par l'intermédiaire du "Userinit"

Ф LSA providers éléments de l'Autorité de Sécurité local de Windows 

Ф Network providers regroupe les éléments du partage réseaux lançé au démarrage

Ф KnownDll indique ce que le système monte en mémoire au démarrage de la machine afin d’optimiser les temps d’accès en vérifiant leur présence dans le registre. Cet onglet regroupe les bibliothèques de liens dynamiques d'applications.

Winlogon indique les différentes dll qui gèrent l'ouverture et la fermeture d'une session, l'onglet regroupe les éléments relié à Winlogon au démarrage du système (par exemple KeyLemon dont je vous avais parlé )

Ф Winsock indique tous les sockets Windows présents dans le système, qui permettent de gérer l'ouverture ou la fermeture de connexion réseau en fonction des protocoles réseaux, il regroupe les éléments des protocoles de connexion réseaux Internet (TCP/IP, IPv6 etc…)

Voilà pour les principaux, vous devriez avoir une page vierge dans certains onglets sauf peut-être "Print Monitor" ("monitor language").

***

controlermonitorer-le-demarrage-de-windows-finement-par-charly-sospc-name-11

Comment s'y retrouver ?

 

Dans l'onglet Options et ensuite scan options, cocher verify code signature si ce n'est déjà fait.
Afin de vérifier rapidement la présence de fichiers néfastes, je vous recommande d'activer la fonction (même si Microsoft est loin de les connaitre tous).

Hide Windows/Microsoft : "masque" ce qui est chargé par microsoft…Allez-y à taton (rester avec les valeurs/réglages par défaut sinon) Contentez-vous au début des onglets "logon, IE, Sheduled Tasks, services, sidebar gadjet, Winlogon".

Si par exemple vous avez tout décoché dans ces onglets, des problèmes surviendront et concerneront notamment les portables (WiFi/clavier/touchpad…) qui seront affectés.

Si vous avez des erreurs (DLL manquants) suite à une mauvaise manip, vous pouvez télécharger les DLL manquants/endommagés ICI : https://fr.dll-files.com/

Les options du clic droit : (selon les versions/OS).

Delete supprime le fichier et la valeur dans la base de registre (à n'utiliser que lorsqu'on est certain que le programme est néfaste pour son système).
Copy créer une copie du programme.
Jump To ouvre regedit à l'adresse de la ligne.
Google (selon versions) ouvre votre navigateur sur le mot "de l'application" recherchée" dans le moteur de recherches, pratique pour vérifier un programme.

Check virustotal : teste en ligne avec virustotal .
Process Explorer ouvre le logiciel Process Explorer (s'il est présent sur votre système/machine).
Propertiesouvre la fenêtre de propriété du fichier.

Vous remarquerez aussi que dans certains onglets, certaines lignes sont de couleurs :

controlermonitorer-le-demarrage-de-windows-finement-par-charly-sospc-name-2

Rose : Ils n'ont pas été "vérifiés" (par ex. certains prog.) cela ne veut pas dire qu'ils sont "mauvais" mais juste non "vérifiés", jetez un oeil sur leur description (Publisher) pour savoir à quoi ils correspondent/appartiennent. Dans les menus "codecs/drivers", vous verrez ici si vous connaissez bien votre machine…

Vert : Non "vérifié" ou qu'il est absent de votre système ou "mal désinstallé" ou encore désactiver, par exemple le driver/pilote appartenant à un programme absent aujourd'hui de votre machine (le pilote est lui, resté sur votre Pc et chargé au démarrage).

Bleu/Mauve : Chemin de registre dans laquelle ils sont situés (ne pas modifier).

Enfin, si certains onglets restent vides pas d'inquiétude à avoir, c'est simplement normal en ce qui concerne votre configuration.

Autoruns permet de désactiver des valeurs dans la base de registre en créant un répertoire spécial pour chaque rubrique dans les clés de registre concernées. L'intérêt de cette manip, c'est de désactiver un programme suspect qui ne sera pas lancé au prochain redémarrage de votre Pc, ensuite après vérification, si le programme est vraiment néfaste, la touche "delete" supprimera le fichier ainsi que sa valeur dans le registre.

Vous pouvez l'utiliser après une infection pour vérifier s'il reste des traces du "malveillant", une check-list du registre qui vous permettra d'optimiser votre OS.

Mais "msconfig" peut désactiver des programmes au démarrage ? Me direz-vous.

Bien sûr, mais par exemple il n'est pas aisé de désactiver certains drivers au lancement de Windows, d'optimiser le système finement etc. avec Autoruns oui. Il est un peu à msconfig ce que CCEnhancer est à Ccleaner. :-)

Toutefois prudence, encore une fois si vous n'êtes pas sûr de vous, faites une recherche sur le web sur le driver/dll/prog concerné avant de le désactiver/supprimer.

Je vous invite donc à y aller à taton, et quand vous connaîtrez bien votre machine et ce dont elle a besoin (ou pas) pour fonctionner vous pourrez de la sorte l'optimiser au mieux, gage de stabilité, sécurité, réactivité. Autoruns me sert à scruter un Pc récemment infecté et/ou optimiser les/mon système…Il n'est pas le seul que j'utilise mais il contribue grandement à me faciliter la vie. A ce propos, si certains d'entrent vous ont des/une idée de complémentarité (et il y en a) à Autoruns, faîtes en profiter les lecteurs d'SoSpc.

Vous l'aurez compris, je vous invite à travers Autoruns à connaitre précisément votre machine et non à cliquer sur ok/suivant sur un logiciel dont vous ne savez pas vraiment ce qu'il fait mais plutôt de la "dominer" et non l'inverse, de comprendre ce dont elle a besoin pour être réactive/sécurisée.

Ceci demandera un peu de temps évidemment, mais la "récompense" sera une machine fiable et débarrassée du superflu. En outre j'en suis convaincu, ce sera grandement profitable à votre compréhension générale du fonctionnement d'un Pc, je suis pour "l'éducation" (dans tous les sens du terme) qui vise à appréhender plutôt que d'essuyer les plâtres d'un logiciel quel qu'il soit. Si votre machine devient "parfaite" (j’exagère là non ? :-) vous ne le devrez qu'à vous !

controlermonitorer-le-demarrage-de-windows-finement-par-charly-sospc-name-3

Je ne saurais que trop vous recommander de faire un point de restauration, une sauvegarde, voire une image système afin de prévenir toutes mauvaises manipulations du logiciel, ce qui peut vite arriver avec l'utilisation de ce genre d'outil.

***

Cette dernière partie intéressera avant tout les Admins et les utilisateurs curieux / avertis, la syntaxe est la suivante (source Microsoft).

 

Ouvrez le terminal,

Utilisation/Usage : autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[-z ] | [user]]] (selon versions)

-a Afficher toutes les entrées.

-b Exécuter le démarrage.

-c Imprimer le résultat sous la forme d'un fichier .csv.

-d DLL Appinit.

-e Modules complémentaires d'Explorer.

-h Détournements d'images.

-i Modules complémentaires d'Internet Explorer.

-l Démarrages d'ouvertures de sessions (valeur par défaut).

-m Masquer les entrées signées par Microsoft.

-n Fournisseurs de protocoles Winsock.

-p Pilotes de moniteur d'imprimante.

-r Fournisseurs LSA.

-s Services Autostart et pilotes non désactivés

-t Tâches planifiées.

-v Vérifier les signatures numériques.

-w Entrées Winlogon.

- User Vider les autoruns du compte utilisateur spécifié

Un exemple :

La commande autorunsc -a w -h -s -x > winlogon.xls :

l'option -a avec le paramètres "w" affichera les entrées de "Winlogon"

l'option -h va réaliser les empreintes (MD5/SHA1/PESHA1/SHA256/IMPHASH) de l'emplacement des fichiers

l'option -s va vérifier les signatures digitales (affichera "Vérified" ou "Not Verified")

l'option -x affichera les résultats structurés au format XML

le ">" va rediriger l'affichage dans le fichier "winlogon.xls"

À l'ouverture du document Office avec Microsoft Excel, un menu va s'afficher, sélectionner "En tant que liste XML" (le message peut-être légèrement différent suivant la version et l'OS) Un tableau de vos données sera alors automatiquement généré.

Voilà, j'espere que tout cela vous sera profitable ainsi qu'à votre machine, c'est à mon tour de prendre un peu de congé maintenant :-) les vacances étaient trop courtes…

Bonnes optimisations et belle journée.

Charly

Charly

https://micropart.weebly.com/

Les autres articles de Charly

autres articles

SOSPC c'est plus de 2000 articles,

Rejoignez la Communauté à partir de 2 € par mois !

Plus d'infos sur les avantages en cliquant ICI.

Christophe, Administrateur

S’abonner à cette discussion
Notifier de
10 Commentaires
le plus récent
le plus ancien le plus populaire
Inline Feedbacks
View all comments
daniel

Bien ce tuto Charlie , mais comme d'autres je n'y toucherais pas car moi et l'Anglais nous ne sommes pas passé par la même porte !! Avant il y avait un site comme "Sparadox" qui traduisait les logiciels en Français , mais je ne sais pas si un autre a repris le flambeau !!

Dany

Salut Charly,
Merci pour ta réponse !! Tu as raisons le site existe toujours, mais quand je regrettais des traductions de "Sparadox" , je voulais souligner que c'est surtout parce que toutes les traductions qui sont sur ce site n'ont pas été actualisées pour les nouvelles versions de Windows…Elles vont de Win 9X à Win 2000 et XP !! Cordialement DANY :bye: :good:

AZAMOS

Réussir à expliquer les fonctionnalités d'Autoruns sans tomber dans le cours soporifique et trop technique est un beau challenge, que tu as réussi haut la main. :good:

Merci Charly pour ce tuto très instructif. :yes:

Mujos

Merci Charly,

pour toutes ces précisions ! Mais j’ose pas m'aventurer là-dedans pour l'instant, vu que mon pc ( sous Windows 10 ) fonctionne ( selon moi! ) parfaitement, alors autant de ne pas y toucher !

Didier

Bonsoir Charly
Je remarque que Virustotal est incontournable.….on le retrouve avec cet outil assez particulier qu'est AutoRuns
je viens de le télécharger.…c'est évident d'y aller avec des pincettes.…!!
je vais suivre a la lettre tes explications pour essayer d'apprivoiser la bete!!
en tout cas , super tuto

cdlt
Didier

Obtenez Office 2021 et Windows 11 à petits prix, cliquez ICI.

Les Bons Plans Accessoires informatiques du moment, cliquez ICI.

ChronoCode, un live fantastique se déroulant dans l'univers informatique, cliquez ICI.

[Vidéo] testez la rapidité de vos navigateurs, cliquez ICI.

[Vidéo] Quels sont les 2 meilleurs Antivirus en 2024 ? Cliquez ICI pour le savoir.

Réparer Windows 10 sans perdre vos données, cliquez ICI.

Relay Live #35, on a répondu à vos questions en direct, cliquez ICI.

10
0
Seuls les abonnés peuvent déposer un commentaire.x