Où ils se cachent

1 comme HKLM\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit. Une fois que vous vous êtes connectés interactivement à un système, le processus Winlogon exécute le programme figurant dans cette sous-clé (userinit.exe, par défaut). Userinit.exe exécute les scripts logon, restaure les correspondances des lettres de lecteurs et des imprimantes et affiche les paramètres Group Policy configurés. Msconfig ne présente pas cette image.
La liste des emplacements où les applications peuvent se configurer elles-mêmes est étonnante et la documentation Microsoft ne fournit nulle part la liste entière. Autoruns a évolué et continue à évoluer au fil du temps pour inclure de plus en plus ces emplacements, au fur et à mesure que le coauteur d’Autoruns, Bryce Cogswell et moi-même apprenons leur existence. Ainsi, un employé Microsoft nous a récemment parlé de la sous-clé HKEY_LOCAL_MACHINE\Software \Microsoft\Windows\Active Setup\Installed Components, un emplacement non documenté publiquement par Microsoft ni listé par Msconfig, mais parfaitement connu d’un ver qui y dissimule son activation automatique. Pour voir tous les emplacements dont Autoruns connaît l’existence, sélectionnez toutes les rubriques du menu View qui commencent par Show puis sélectionnez View, Include Empty Locations.