....COMMENT EMPÊCHER LEUR LANCEMENT AU DÉMARRAGE?Après avoir identifié un élément et vérifié son statut dans la
base de données, vous devez décider si vous voulez ou non l'empêcher d'être lancé lors du démarrage. Par exemple, s'il est en relation avec votre logiciel de protection antivirus, l'application ne fonctionnera pas correctement sans lui, ou bien s'il s'agit d'un programme que vous utilisez en permanence, vous préférerez le laisser activé. Sinon, vous pouvez probablement le désactiver et utiliser le raccourci dans le menu Démarrer ou sur le Bureau, et si nécessaire vous pouvez créer votre propre raccourci.
Si, après vérification dans la base de données, un élément se révèle être un virus, un espiogiciel ou en relation avec un nuisible, commencez par le faire contrôler par votre programme antivirus qui sera peut-être capable de le supprimer. Si vous avez des doutes, et si votre logiciel de sécurité ne détecte rien, étudiez le nom-de-fichier et surtout l'élément se trouvant dans le
Registre. Les noms-de-fichier peuvent être identiques à ceux de véritables fichiers système (mais dans un emplacement différent), très semblables, ou aléatoires. Les éléments dans la colonne
Nom dans le Registre sembleront souvent valides, et soyez particulièrement méfiant si un fichier système apparaît dans la colonne
Données. Enfin, si vous avez toujours des doutes, essayez un analyseur de fichier en ligne comme ceux de:
VirusTotal,
Kaspersky,
Bitdefender, ou
Trend Micro.
------------------Plusieurs méthodes peuvent être utilisées pour empêcher que des programmes soient lancés au démarrage du système. Vous trouverez ci-dessous une description de chacune d'entre elles, ainsi que la façon de les utiliser. Je vous conseille de les essayer l'une après l'autre, dans l'ordre indiqué. Pour chaque méthode, est donnée une liste des systèmes d'exploitation Windows sur lesquels elle s'applique.
1) Utiliser les options de configuration du programme lui-même - Windows 8/7/Vista/XPLa meilleure option est de vérifier si le programme vous offre une option pour désactiver la fonction qui vous intéresse - via un clic droit sur l'icône de la SysBarre ou peut-être un menu "options" dans le programme. Si cela n'existe pas, vous devrez essayer autre chose.
Par exemple, le programme de téléphonie/discussion bien connu Skype peut être désactivé via Outils --> Options --> Paramètres généraux --> dé-cochez "Lancer Skype au démarrage de Windows".
2) Dossier Démarrage de Windows - Windows 8/7/Vista/XPSi vous cliquez sur Démarrer --> Tous les Programmes --> Démarrage (Windows 7/Vista/XP) vous pouvez trouvez des programmes qui sont lancés depuis ce dossier via des raccourcis (alors qu'il n' a aucun équivalent direct pour Windows 8 les informations ci-dessous sont toujours d'actualité car les emplacements existent toujours). Si c'est le cas, vous avez deux options:
- Supprimer le raccourci du dossier Démarrage (en fonction du système d'exploitation):
- Windows 8/7/Vista
- C:\ProgramData\Microsoft\Windows\Menu Démarrer\Programmes\Démarrage (Note - ce dossier est caché par défaut)
- C:\Users\<nom>\AppData\Roaming\Microsoft\Windows\Menu Démarrer\Programmes\Démarrage
- XP
- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
- C:\Documents and Settings\<nom>\Menu Démarrer\Programmes\Démarrage
- Créer un dossier temporaire nommé "Démarrage-Programmes-désactivés" et y déplacer les raccourcis.
Si un programme ne fonctionne plus comme prévu, vous pourrez toujours remettre le raccourci dans le dossier Démarrage.
- Windows 8/7/Vista - C:\ProgramData\Microsoft\Windows\Menu Démarrer\Programmes
- XP/2K - C:\Documents and Settings\All Users\Menu Démarrer\Programmes
3) AutoRuns - Windows 8/7/Vista/XPComme signalé ci-dessus, nous conseillons actuellement d'utiliser AutoRuns pour contrôler les programmes qui sont lancés lorsque votre ordinateur démarre. Autoruns fera les modifications de Registre dont vous avez besoin, et il fournit un mécanisme de récupération.
Pour l'utiliser afin d'empêcher l'exécution d'un programme du démarrage, faites ce qui suit:
- Naviguez jusqu'au dossier dans lequel il est situé
- Pour Windows 8.1: touche/bouton Logo et saisissez "Ce PC"
- Pour Windows 8: touche/bouton Logo et saisissez "Ordinateur"
- Pour Windows 7/Vista/XP: Démarrer --> Poste de travail
- Faites un double clic sur Autoruns.exe pour le lancer
- Sélectionnez l'onglet Logon
- Repérez l'élément du démarrage que vous voulez désactiver, et cliquez sur la case qui le précède afin de la "dé-cocher" pour le désactiver
- Si à l'intérieur d'un programme il existe une option pour désactiver le lancement de certains composants au démarrage (voir ici) et si vous n'utilisez pas cette méthode pour les désactiver, vous verrez peut-être qu'ils sont ré-ajoutés sous forme de nouveaux éléments dans Autoruns lors de l'exécution suivante du programme
Note:Certains éléments peuvent être rétablis même s'il ont été désactivés par Autoruns - soit au redémarrage suivant, soit la fois suivante où ils sont exécutés. Dans ce cas, il est préférable de les ré-activer et de les laisser ainsi.
4) Gestionnaire de tâches - Windows 8Pour l'utiliser afin de gérer les programmes du démarrage, faites ce qui suit:
- Enfoncez les touches Ctrl+Maj+Echap
- Si l'onglet Démarrage n'est pas visible, cliquez sur Plus de détails et sélectionnez-le
- Sélectionnez l'onglet Démarrage
- Sélectionnez l'élément désiré puis Désactivez-le
Note:- Certains éléments peuvent être rétablis même s'il ont été désactivés par le Gestionnaire des tâches - soit au redémarrage suivant, soit la fois suivante où ils sont exécutés. Dans ce cas, il est préférable de les ré-activer et de les laisser ainsi
- Si vous désactivez un élément dans le Gestionnaire des tâches, puis exécutez Autoruns, cet élément apparaîtra toujours comme activé - mais en réalité il ne s'exécute pas
5) Utilitaire de configuration système (MSConfig) - Windows 7/Vista/XPNotez que Microsoft ne recommande pas l'utilisation de MSConfig pour contrôler quels programmes sont lancés quand votre ordinateur démarre:
- Pour Windows 7 :- "L'outil Configuration du système est destiné à rechercher et isoler les problèmes, mais il ne s'agit pas d'un programme de gestion de démarrage"
- Pour Vista :- "L'utilitaire de configuration système trouve et isole les problèmes. Toutefois, il n'est pas un programme de gestion démarrage."
- Pour XP :- "L'utilitaire de configuration système vous aide à diagnostiquer les problèmes de configuration de Windows XP. Il ne gère pas les programmes qui tournent quand Windows démarre."
Pour l'utiliser afin de gérer les programmes du démarrage, faites ce qui suit:
- Cliquez sur Démarrer --> Exécuter
- Dans la zone Ouvrir : tapez msconfig puis cliquez sur OK ou appuyez sur Entrée
- Sélectionnez l'onglet Démarrage
- Repérez l'élément du démarrage que vous voulez désactiver, et dé-cochez la case située en début de ligne.
- Cliquez sur OK et la Fig.1 ci-dessous s'affichera. Si vous décidez de ne pas faire redémarrer le PC, les modifications seront prises en compte lors du redémarrage suivant.
- Lors du redémarrage, vous verrez la Fig.2 ci-dessous. Si vous ne cochez pas la case située devant "Ne plus afficher ce message ...", la fenêtre apparaîtra à chaque redémarrage et un élément MSConfig sera ajouté à la liste des programmes du démarrage.
- Lorsque vous avez désactivé un élément dans MSConfig, vous allez faire redémarrer le PC en mode "Démarrage sélectif". Vous pouvez le voir dans l'onglet "Général", et c'est tout à fait normal si vous avez désactivé un élément. Attention: Si par la suite vous décidez de choisir "Démarrage normal", tous les éléments désactivés seront ré-activés.(Fig.3 ci-dessous).
Notes:- Certains éléments désactivés peuvent disparaître de MSConfig quand vous faites redémarrer Windows
- S'il existe à l'intérieur d'un programme une option pour désactiver le lancement de certains composants au démarrage (voir ici) et si vous n'utilisez pas cette méthode pour les désactiver, vous verrez peut-être qu'ils sont ré-ajoutés sous forme de nouveaux éléments dans MSConfig lors de l'exécution suivante du programme
- Certains éléments peuvent être rétablis même s'il ont été désactivés par le Gestionnaire des tâches - soit au redémarrage suivant, soit la fois suivante où ils sont exécutés. Dans ce cas, il est préférable de les ré-activer et de les laisser ainsi
6) Windows Defender - Windows Vista/XPMicrosoft conseillait d'utiliser Windows Defender (ou le Registre) sur les systèmes sous Vista ou XP pour contrôler quels programmes sont lancés quand votre ordinateur démarre et il peut encore être utilisé sur ces systèmes.
Pour l'utiliser afin d'empêcher l'exécution d'un programme du démarrage, faites ce qui suit:
- Cliquez sur Démarrer --> Tous les programmes --> Windows Defender
- Cliquez sur Outils --> Explorateur de logiciels
- Cliquez dans la colonne Nom sur le nom de l'application que vous voulez désactiver puis cliquez sur Désactivation
- Note: vous devez aussi cliquer sur Afficher pour tous les utilisateurs (si présent) avant de pouvoir sélectionner Désactivation
- S'il existe à l'intérieur d'un programme une option pour désactiver le lancement de certains composants au démarrage (voir ici) et si vous n'utilisez pas cette méthode pour les désactiver, vous verrez peut-être qu'ils sont ré-ajoutés sous forme de nouveaux éléments dans Windows Defender lors de l'exécution suivante du programme
- Certains éléments peuvent être rétablis même s'il ont été désactivés par Windows Defender - soit au redémarrage suivant, soit la fois suivante où ils sont exécutés. Dans ce cas, il est préférable de les ré-activer et de les laisser ainsi
7) Utiliser un programme tiers pour contrôler les programmes du démarrage - Windows 8/7/Vista/XPIl existe plusieurs programmes commerciaux, payants et gratuits, facilement disponibles, pour gérer les programmes du démarrage - certains d'entre eux étant couplés à d'autres utilitaires d'optimisation. Chacun d'eux peut identifier les programmes lancés au démarrage et vous permettre de les contrôler à divers degrés.
8) L'Éditeur du Registre - Windows 8/7/Vista/XPVous pouvez à la fois désactiver et arrêter définitivement le lancement de programmes au démarrage en modifiant les éléments correspondants dans le Registre Système au moyen de l'Éditeur du Registre. Cette option n'est pas pour les âmes sensibles et elle ne devrait être utilisée que par ceux qui se sentent à l'aise avec la modification du Registre Système et qui comprennent toutes les conséquences des changements qu'ils font. Si vous supprimez par accident quelque chose dans le Registre Système, il peut se retrouver corrompu à un point tel que Windows ne démarrera plus du tout, donc
prenez garde!
Pour des informations sur le Registre Windows et la modification de son contenu, lisez ce
guide (en anglais).
Pour l'utiliser afin de gérer les programmes du démarrage, faites ce qui suit:
- Pour Windows 8: touche/bouton Logo et saisissez "regedit.exe"
- Pour Windows 7/Vista/XP: Démarrer --> Exécuter, dans la zone Ouvrir tapez regedit puis cliquez sur OK ou appuyez sur Entrée
Le plus souvent, les clés qui vous intéressent sont les suivantes:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices (principalement utilisé sur les anciens systèmes d'exploitation et par des malveillants)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce (principalement utilisé sur les anciens systèmes d'exploitation et par des malveillants)
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
Pour les utilisateurs de Windows 64-bit, certains éléments peuvent aussi se trouver sous les clés:
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Wow6432Node\\Microsoft\Windows\CurrentVersion\RunOnce
Parfois, les clés ci-dessous seront aussi utilisées - principalement par les nuisibles:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
Vous verrez aussi des éléments sous:
HKEY_USERS\S-1-5-21-[spécifique utilisateur]\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-21-[spécifique utilisateur]\Software\Microsoft\Windows\CurrentVersion\RunOnce
où [spécifique utilisateur] est une série de chiffres alphanumériques propre à chaque utilisateur. Ces éléments sont normalement les mêmes que ceux des clés HKCU équivalentes, mais des malveillants peuvent aussi les utiliser.
Dans tous les cas:
HKLM représente HKEY_LOCAL_MACHINE
HKCU représente HKEY_CURRENT_USER
Si vous voulez en savoir plus sur ces clés de Registre, et sur la façon dont elles interviennent lors d'un démarrage du système, je peux vous suggérer les articles ci-dessous:
Pour
Windows 7/Vista/XP les éléments désactivés sont conservés comme ceci:
- Pour les éléments qui étaient dans le dossier Démarrer --> Programmes --> Démarrage: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder
- Pour les éléments chargés depuis le Registre: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
- Dans les deux cas, vous trouverez une sous-clé pour chaque élément désactivé.
Pour
Windows 8 nous ne connaissons pas actuellement l'équivalent.
9) Autres points de chargementAvant les systèmes d'exploitation basés sur Windows NT (Windows 8/7/Vista/XP), les fichiers WIN.INI et SYSTEM.INI se trouvant dans C:\Windows pouvaient être utilisés pour charger des programmes, mais maintenant ils ont des points d'entrée équivalents dans le Registre - dont quatre sont souvent utilisés par les malveillants.
Si vous regardez l'image-écran de
Autoruns ci-dessus, vous verrez qu'il y a deux éléments valides qui sont toujours présents:
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit = C:\Windows\system32\userinit.exe
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell = explorer.exe
De plus, les éléments suivants sont des points d'entrée légitimes, mais en général utilisés uniquement par des malveillants:
- HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, load
- HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, run
Exemples de malveillants utilisant ces points d'entrée::
- Trojan.DownLoader10.59211 - modifie la véritable donnée de la valeur "Userinit" de HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, pour ajouter le fichier "nvsvcv.exe" qui se trouve dans %Temp%
- Trojan.StartPage.44997 - modifie la véritable donnée de la valeur "Shell" de HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, pour ajouter le fichier "eksplorasi.exe" qui se trouve dans %Windir%
- RDN/Ransom!ec - modifie la véritable donnée de la valeur "Shell" de HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, pour ajouter le fichier "htcudrivers.exe" qui se trouve dans %AppData% - et ajoute aussi un élément "Shell" illégal à HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, pointant vers le même fichier
- RDN/Generic.bfr!fi - modifie la véritable donnée de la valeur "load" de HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, pour exécuter le fichier "mwbatt.exe" qui se trouve dans %AppData%\powerm - et ajoute aussi un élément "load" illégal à HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, pointant vers le même fichier
- BackDoor-CQ.svr - modifie la véritable donnée de la valeur "run" de HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, pour exécuter le fichier "winprot.exe" qui se trouve dans %Windir%\system
Note:Si vous utilisez
HijackThis™ les sections
F0-F3 contiennent les éléments relatifs aux fichiers WIN.INI et SYSTEM.INI et aux éléments équivalents dans le Registre - voir
ici pour plus d'informations. Un exemple d'élément nuisible:
F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
Ceci est associé au trojan DLSW-B, qui a dans le Registre l'élément suivant:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell = Explorer.exe init32m.exe
Version anglaise: Copyright © Paul Collins, 2001 - 2017 | Pacman's Portal | All rights reservedVersion française: Copyright © nickW, 2010 - 2017 | Tous droits réservés....