Vous n'êtes pas connecté.
Pages: 1
Pour être activés à chaque démarrage de la machine, les virus et troyens doivent inscrire une routine.
On peut en trouver une trace dans la base de registre, dans la rubrique RUN.
Y'a-t-il d'autres endroits ?
Hors ligne
Bonjour cyberdetective et bienvenue sur les forums VirusTraQ,
Il existe plusieurs moyens d'exécuter un programme au démarrage de l'ordinateur (dans ton cas un programme malveillant).
Lorsque l'on souhaite enlever ce type de programme du démarrage, la première chose à faire est de regarder dans Démarrer > Programmes > Démarrage afin de vérifier sa présence ou non.
Si il n'est pas caché là dedans, on peut regarder dans la base de registre.
Il existe plusieurs clés pour exécuter un programme au démarrage, en voici la liste (si quelqu'un en voit d'autres) :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Il est également possible que le programme décide de s'exécuter à un endroit plus discret...
Il faut donc vérifier dans le fichier win.ini
Si il existe les lignes suivantes :
[windows]
load = nom_du_prog.exe
run = nom_du_prog.exe
Encore plus vicieux :
Dans le fichier system.ini:
[boot]
Shell = Explorer.exe nom_du_prog.exe
La encore plus vicieux !!
Toujours dans le fichier system.ini
[386Enh]
device = nom_du_prog.exe
(Permet d'exécuter le programme au démarrage en tant que pilote virtuel de périphérique...)
Je pense qu'il existe encore d'autres moyens encore plus sournois, mais c'est essentiellement par ces méthodes que les virus s'exécutent au démarrage.
J'espère avoir répondu à ta question...
Hors ligne
Bonjour,
Si cela interesse quelqu'un il existe un script qui permet de lister les fichiers lancés au démarrage d'un ordinateur par un moyen détourné qui n'est autre que silentrunners http://www.silentrunners.org/
Il suffit d'enregistrer ce fichier sur le disque dur et le lancer, ce script générera un fichier texte ou il y sera listé tout les fichiers lancés au demarrage de manière "silencieuse" utilisé en complément d'hijacthis il est censé permettre la détection de tous fichiers ou services lancés.
à priori les cles de registre concernées sont
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Active Setup\Installed Components\
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
HKLM\Software\Classes\PROTOCOLS\Filter\
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\
HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\
Ceci dit cela concerne aussi certaines composantes d'internet explorer qui seraient succeptibles d'autoriser le lancement d'une application (malicieuse).
Hors ligne
Pages: 1