Utilisez Autoruns pour nettoyer manuellement un PC infecté

Jul 23, 2025
Confidentialité et sécurité
CONTENU NON CACHÉ

Il existe de nombreux programmes anti-malware qui nettoieront votre système des vilains, mais que se passe-t-il si vous ne pouvez pas utiliser un tel programme? Autoruns, de SysInternals (récemment acquis par Microsoft), est indispensable pour supprimer manuellement les logiciels malveillants.

Il existe plusieurs raisons pour lesquelles vous devrez peut-être supprimer manuellement les virus et les logiciels espions:

  • Peut-être que vous ne pouvez pas supporter l'exécution de programmes anti-malware gourmands en ressources et invasifs sur votre PC
  • Vous devrez peut-être nettoyer l'ordinateur de votre mère (ou quelqu'un d'autre qui ne comprend pas qu'un gros panneau clignotant sur un site Web indiquant "Votre ordinateur est infecté par un virus - cliquez ICI pour le supprimer" n'est pas un message qui peut nécessairement être de confiance)
  • Le malware est si agressif qu'il résiste à toutes les tentatives de le supprimer automatiquement, ou ne vous permet même pas d'installer un logiciel anti-malware
  • Une partie de votre credo geek est la conviction que les utilitaires anti-spyware sont pour les wimps

Autoruns est un ajout inestimable à la boîte à outils logicielle de tout geek. Il vous permet de suivre et de contrôler tous les programmes (et composants de programme) qui démarrent automatiquement avec Windows (ou avec Internet Explorer). Pratiquement tous les logiciels malveillants sont conçus pour démarrer automatiquement, il y a donc de très fortes chances qu'ils puissent être détectés et supprimés à l'aide d'Autoruns.

Nous avons expliqué comment utiliser Autoruns dans une version antérieure article , que vous devriez lire si vous devez d'abord vous familiariser avec le programme.

Autoruns est un utilitaire autonome qui n'a pas besoin d'être installé sur votre ordinateur. Il peut être simplement téléchargé, décompressé et exécuté (lien ci-dessous). Cela fait est idéal pour ajouter à votre collection d'utilitaires portables sur votre lecteur flash.

Lorsque vous démarrez Autoruns pour la première fois sur un ordinateur, le contrat de licence vous est présenté:

Après avoir accepté les conditions, la fenêtre principale Autoruns s'ouvre, vous montrant la liste complète de tous les logiciels qui seront exécutés au démarrage de votre ordinateur, lorsque vous vous connectez ou lorsque vous ouvrez Internet Explorer:

Pour désactiver temporairement le lancement d’un programme, décochez la case à côté de son entrée. Remarque: cela fait ne pas terminer le programme s'il est en cours d'exécution à ce moment - cela l'empêche simplement de démarrer prochain temps. Pour empêcher définitivement le lancement d'un programme, supprimez complètement l'entrée (utilisez le Effacer ou faites un clic droit et choisissez Effacer du menu contextuel)). Remarque: cela fait ne pas supprimer le programme de votre ordinateur - pour le supprimer complètement, vous devez désinstaller le programme (ou sinon le supprimer de votre disque dur).

Logiciels suspects

Cela peut prendre un peu d'expérience (lire «essais et erreurs») pour devenir capable d'identifier ce qui est un malware et ce qui ne l'est pas. La plupart des entrées présentées dans Autoruns sont des programmes légitimes, même si leurs noms ne vous sont pas familiers. Voici quelques conseils pour vous aider à différencier le malware du logiciel légitime:

  • Si une entrée est signée numériquement par un éditeur de logiciel (c'est-à-dire qu'il y a une entrée dans le Éditeur colonne) ou a une "Description", alors il y a de fortes chances que ce soit légitime
  • Si vous reconnaissez le nom du logiciel, c'est généralement normal. Sachez que parfois, des logiciels malveillants «usurperont» l’identité d’un logiciel légitime, mais en adoptant un nom identique ou similaire à un logiciel que vous connaissez bien (par exemple, «AcrobatLauncher» ou «PhotoshopBrowser»). Sachez également que de nombreux programmes malveillants adoptent des noms génériques ou inoffensifs, tels que «Diskfix» ou «SearchHelper» (tous deux mentionnés ci-dessous).
  • Les entrées de logiciels malveillants apparaissent généralement sur le Se connecter onglet d'Autoruns (mais pas toujours!)
  • Si vous ouvrez le dossier contenant le fichier EXE ou DLL (plus d'informations ci-dessous), examinez la date de «dernière modification», les dates sont souvent celles des derniers jours (en supposant que votre infection est assez récente)
  • Les logiciels malveillants se trouvent souvent dans le dossier C: \ Windows ou C: \ Windows \ System32
  • Les logiciels malveillants n'ont souvent qu'une icône générique (à gauche du nom de l'entrée)

En cas de doute, cliquez avec le bouton droit sur l'entrée et sélectionnez Recherche en ligne…

La liste ci-dessous montre deux entrées suspectes: Diskfix et SearchHelper

Ces entrées, mises en évidence ci-dessus, sont assez typiques des infections de logiciels malveillants:

  • Ils n'ont ni descriptions ni éditeurs
  • Ils ont des noms génériques
  • Les fichiers se trouvent dans C: \ Windows \ System32
  • Ils ont des icônes génériques
  • Les noms de fichiers sont des chaînes aléatoires de caractères
  • Si vous regardez dans le dossier C: \ Windows \ System32 et recherchez les fichiers, vous verrez qu'il s'agit de certains des fichiers les plus récemment modifiés du dossier (voir ci-dessous)

Double-cliquez sur les éléments pour accéder à leurs clés de registre correspondantes:

Suppression du malware

Une fois que vous avez identifié les entrées que vous jugez suspectes, vous devez maintenant décider de ce que vous voulez en faire. Vos choix incluent:

  • Désactivez temporairement l'entrée Autorun
  • Supprimer définitivement l'entrée Autorun
  • Localisez le processus en cours d'exécution (à l'aide du Gestionnaire des tâches ou similaire) et terminez-le
  • Supprimez le fichier EXE ou DLL de votre disque (ou au moins déplacez-le vers un dossier où il ne sera pas automatiquement démarré)

ou tout ce qui précède, selon votre degré de certitude que le programme est un malware.

Pour voir si vos modifications ont réussi, vous devrez redémarrer votre ordinateur et vérifier tout ou partie des éléments suivants:

  • Autoruns - pour voir si l'entrée est revenue
  • Gestionnaire de tâches (ou similaire) - pour voir si le programme a été redémarré après le redémarrage
  • Vérifiez le comportement qui vous a amené à croire que votre PC a été infecté en premier lieu. Si cela ne se produit plus, il est probable que votre PC soit maintenant propre

Conclusion

Cette solution n'est pas pour tout le monde et est très probablement destinée aux utilisateurs avancés. Habituellement, l'utilisation d'une application antivirus de qualité fait l'affaire, mais sinon Autoruns est un outil précieux dans votre kit Anti-Malware.

Gardez à l'esprit que certains logiciels malveillants sont plus difficiles à supprimer que d'autres. Parfois, vous avez besoin de plusieurs itérations des étapes ci-dessus, chaque itération vous obligeant à regarder plus attentivement chaque entrée Autorun. Parfois, au moment où vous supprimez l'entrée Autorun, le logiciel malveillant en cours d'exécution remplace l'entrée. Lorsque cela se produit, nous devons devenir plus agressifs dans notre assassinat du malware, y compris en mettant fin à des programmes (même des programmes légitimes comme Explorer.exe) qui sont infectés par des DLL de logiciels malveillants.

Nous publierons prochainement un article sur la façon d'identifier, de localiser et de terminer les processus qui représentent des programmes légitimes mais exécutent des DLL infectées, afin que ces DLL puissent être supprimées du système.

Télécharger Autoruns de SysInternals

Confidentialité et sécurité - Most Popular Articles

Comment empêcher les entreprises d'écouter les enregistrements de votre assistant vocal

Confidentialité et sécurité Aug 9, 2025

CONTENU NON CACHÉ r.classen / Shutterstock.com Cela fait des semaines que ça fait l'actualité: les employés et les sous-traitants d'Amazon,..

Comment ajouter un autre identifiant face à face sur iPhone

Confidentialité et sécurité Oct 22, 2025

Si vous souhaitez ajouter une deuxième personne à la reconnaissance de l'identifiant de visage de votre iPhone, iOS 12 vous permet désormais de le faire. Voici comment. ..

Comment réparer «Déverrouiller l'iPhone pour utiliser des accessoires»

Confidentialité et sécurité Jul 23, 2025

À partir d'iOS 12, vous devrez toujours déverrouiller votre iPhone ou iPad pour connecter un accessoire USB. Cela est dû au «Mode restreint USB», qui protège votre iPhone ou i..

Comment regarder la Coupe du Monde de la FIFA 2018 en ligne (sans câble)

Confidentialité et sécurité Jun 18, 2025

Le plus grand événement sportif au monde est la Coupe du Monde de la FIFA en Russie, et si vous voulez regarder les matchs sans câble, vous avez des options, en fonction de votre..

Comment protéger par mot de passe un dossier sous Linux / Unix sans chiffrement?

Confidentialité et sécurité Nov 25, 2024

Si vous n'avez pas besoin ou ne voulez pas crypter des fichiers sur votre ordinateur mais que vous souhaitez arrêter de fouiner occasionnellement, quelle est la meilleure méthode ..

4 Alternatives à Google Drive pour Linux

Confidentialité et sécurité Dec 4, 2024

CONTENU NON CACHÉ Nous avons couvert utilisation de Google Drive sous Linux avec un logiciel tiers , mais pourquoi se donner la peine de sauter à travers ces cerc..

Les meilleurs conseils et astuces pour tirer le meilleur parti d'Internet Explorer 9

Confidentialité et sécurité Jun 16, 2025

CONTENU NON CACHÉ Si vous utilisez Internet Explorer 9, nous vous proposons de nombreux trucs et astuces pour améliorer votre expérience de navigation sur le Web, de la personn..

Informatique sécurisée: Windows Live OneCare

Confidentialité et sécurité Aug 29, 2025

CONTENU NON CACHÉ Lorsque Windows Live OneCare est sorti pour la première fois et en était à ses débuts, beaucoup pensaient qu'il laissait beaucoup à désirer, mais il a parcouru un l..

Catégories