Autoruns est l'un des outils les plus pratiques pour repérer rapidement une infection éventuelle. Le logiciel analyse en effet toutes les zones qui engendrent un démarrage automatique de programmes, zones qui sont systématiquement la cible des "malwares".

Toutefois, pour repérer plus facilement les infections, il faut faire appel à certains réglages avancés de Autoruns. Nous allons ici les mettre en oeuvre pour traquer les infections.

- Lancez Autoruns (sous Vista, lancez-le en mode "adminsitrateur" grace au bouton droit)

- Attendez que le logiciel finisse son analyse des zones système (le sablier doit disparaître de l'onglet "Everything")

- Allez dans le menu Options et cochez l'option "Verify Code Signature"

- Retournez dans le menu Options et cochez l'option "Hide Signed Microsoft Entries"

- Si vous êtes sous Vista, et que vous avez lancé Autoruns depuis le profil de secours, allez dans le menu User et sélectionnez le profil utilisateur que vous pensez infecté

- Activez l'onglet Everything, allez dans le menu File et sélectionnez Refresh

- Le logiciel n'affiche maintenant que les lignes dignes d'intérêt dans le cadre de notre recherche de spywares.

- Les spywares peuvent se cacher dans n'importe quelle zone. En théorie, il faut donc se concentrer sur chacun des onglets. Mais certains doivent être étudiés en priorité: LOGON, EXPLORER, INTERNET EXPLORER, SERVICES, BOOT EXECUTE, APPINIT, WINLOGON et LSA Providers.

- Pour chaque onglet, étudiez attentivement toutes les lignes dont la case "Publisher" ne présente pas la mention [Verified].

- Dans l'onglet LOGON, considérez toute ligne dont "Image Path" lance une DLL (généralement la ligne commence alors par RUNDLL32) comme très douteuse!

- Lorsque vous avez repéré une ligne douteuse, décochez la case en début de ligne. Appuyez ensuite sur [F5] pour rafraichir la liste. Si la case est automatiquement recochée, vous êtes face à un applicatif qui vérifie systématiquement qu'on n'essaye pas de le désactiver et se réactive automatiquement! Le soupçon de spyware est alors largement confirmé.