Entrées de démarrage « 2 », « 88 » ou GUID en double dans Windows 10/11 : cause Once Human/AppsFlyer et solutions complètes

Vous voyez « 2 », « 88 » ou un GUID dupliqué dans l’onglet Démarrage de Windows ? Pas de panique : ce symptôme vient généralement du jeu Once Human via le SDK AppsFlyer. Voici comment diagnostiquer, neutraliser ou supprimer proprement ces entrées.

Ce que les utilisateurs constatent

Dans Gestionnaire des tâches ► Démarrage, certaines machines affichent des éléments nommés laconiquement 2, 88 ou une chaîne GUID répétée du type :

a37efada-8eac-4b9b-8ddc-20cf291789ef a37efada-8eac-4b9b-8ddc-20cf291789ef

Le clic droit n’offre parfois ni Propriétés ni Ouvrir l’emplacement du fichier. De quoi soupçonner un malware… alors qu’il s’agit, dans la plupart des cas, d’un composant de télémétrie.

Origine confirmée

• Le lanceur de Once Human embarque le SDK AppsFlyer Native PC (C++), qui crée des entrées de démarrage (raccourcis ou clés Run) à chaque exécution pour collecter des statistiques d’usage.
• À ce jour, aucun indicateur sérieux ne classe ces éléments comme logiciels espions ; ils relèvent de la télémétrie standard (lancement du jeu, nombre d’installations, etc.).

À retenir : ces entrées sont gênantes par leur nommage opaque, pas par un comportement malveillant. Vous pouvez soit les ignorer, soit les désactiver proprement, soit les éliminer définitivement en retirant la source (le jeu/le lanceur).

Comprendre pourquoi le nom est bizarre (« 2 », « 88 », GUID ×2)

Le nom affiché dans l’onglet Démarrage provient souvent du nom du raccourci (.lnk) ou d’une description fournie par le programme. Un SDK peut générer des identifiants techniques (GUID) ou des marqueurs temporaires (2, 88) utilisés en interne. Un bug de templating peut aussi dupliquer une même chaîne, d’où le GUID répété. Cela n’affecte ni la stabilité, ni la sécurité du système, mais brouille la lisibilité.

Solutions rapides

Objectif	Méthode	Remarques
Désactiver provisoirement	Gestionnaire des tâches → onglet Démarrage → clic droit Désactiver	Suffit si vous gardez le jeu ; l’entrée peut réapparaître après mise à jour du lanceur.
Supprimer le raccourci	Inspecter : • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp • %AppData%\Microsoft\Windows\Start Menu\Programs\Startup	Supprimer tout fichier 2.lnk, 88.lnk ou GUID.lnk s’il existe.
Repérer précisément la source	Utiliser Autoruns (Sysinternals) ou msconfig → onglet Démarrage	Autoruns révèle le chemin exact (souvent dans le répertoire du jeu/du lanceur).
Suppression définitive	1) Désinstaller Once Human (et/ou son lanceur). 2) Purger le Registre : HKCU/HKLM\...\Run.	Créer un point de restauration et une sauvegarde du Registre avant modification.
Vérifier l’intégrité	Analyse complète via Microsoft Defender ou antivirus tiers à jour	Rassure sur l’absence de code malveillant.
Bloquer la télémétrie (sans désinstaller)	Bloquer via pare‑feu ou hosts les domaines utilisés par le SDK/jeu	Empêche la recréation des entrées et l’envoi de données.

Procédures détaillées pas‑à‑pas

Désactiver l’entrée dans l’onglet Démarrage

1. Appuyez sur Ctrl+Shift+Échap pour ouvrir le Gestionnaire des tâches.
2. Allez dans Démarrage (ou Applications de démarrage sur Windows 11).
3. Repérez « 2 », « 88 » ou la chaîne GUID répétée → clic droit > Désactiver.
4. Redémarrez Windows pour valider.

Supprimer le raccourci de démarrage (s’il existe)

1. Dans l’Explorateur, copiez‑collez : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp.
2. Puis ouvrez : %AppData%\Microsoft\Windows\Start Menu\Programs\Startup (peut être vide).
3. Supprimez tout fichier .lnk suspect (ex. 2.lnk, 88.lnk, <GUID>.lnk).

Astuce : utilisez les alias de shell pour y accéder rapidement :

shell:startup
shell:common startup

Identifier l’exécutable source avec Autoruns

Autoruns de Sysinternals recense tous les mécanismes de démarrage : Run, Startup, services, tâches planifiées, AppInit, etc.

1. Lancez Autoruns en tant qu’administrateur.
2. Dans Logon, repérez l’entrée qui affiche le nom « 2 », « 88 » ou la chaîne GUID.
3. Observez la colonne Image Path : elle pointe généralement vers un sous‑dossier du jeu ou de son lanceur.
4. Décochez l’entrée pour la désactiver ou Delete pour la supprimer.

Bon réflexe : si Autoruns met en évidence une tâche planifiée ou un service lié, traitez‑les également (désactivation/suppression prudente).

Nettoyer les clés Run dans le Registre

Attention : modifier le Registre comporte des risques. Créez un point de restauration et exportez les clés avant toute suppression.

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• HKLM\Software\Microsoft\Windows\CurrentVersion\Run (et sur Windows 64 bits, également HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run)

Supprimez les valeurs dont le Nom ou la Donnée fait référence à Once Human, AppsFlyer ou à un exécutable du dossier du jeu, ou encore à un GUID suspect.

Alternative en PowerShell : rechercher et neutraliser automatiquement

Ouvrez PowerShell en tant qu’administrateur et exécutez les commandes suivantes :

# Lister les raccourcis Startup communs et utilisateur
$startupPaths = @(
  "$env:ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp",
  "$env:AppData\Microsoft\Windows\Start Menu\Programs\Startup"
)
"--- Fichiers .lnk dans Startup ---"
$startupPaths | ForEach-Object {
  if (Test-Path $_) { Get-ChildItem $_ -Filter *.lnk | Select-Object FullName, LastWriteTime }
}

# Lister les clés Run usuelles (HKCU/HKLM + WOW6432Node)

$runKeys = @(
"HKCU:\Software\Microsoft\Windows\CurrentVersion\Run",
"HKLM:\Software\Microsoft\Windows\CurrentVersion\Run",
"HKLM:\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run"
)
"--- Valeurs Run ---"
foreach ($rk in $runKeys) {
if (Test-Path $rk) {
Get-ItemProperty $rk | Select-Object PSPath, * | Format-List
}
}

# Rechercher des noms minimalistes (2|88) ou guid répété

$pattern = '(^2$)|(^88$)|([0-9a-fA-F-]{36})\s+\1'
"--- Suspicious Run entries ---"
foreach ($rk in $runKeys) {
if (Test-Path $rk) {
(Get-ItemProperty $rk).psobject.Properties |
Where-Object { $*.Name -match $pattern -or ($*.Value -match $pattern) } |
Select-Object Name, Value, @{n="RegistryPath";e={$rk}}
}
}

# Si nécessaire, désactiver via suppression prudente (décommentez pour agir)

# Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" -Name "2" -WhatIf

Le commutateur -WhatIf évite toute suppression involontaire. Retirez‑le seulement quand vous êtes sûr de l’entrée ciblée.

Vérifier les tâches planifiées et services

Certains SDK ré‑injectent l’entrée de démarrage via une tâche planifiée au démarrage de session.

# Lister les tâches planifiées qui contiennent "human" ou "appsflyer"
Get-ScheduledTask | Where-Object {$_.TaskName -match 'human|appsflyer'} |
  Select-Object TaskName, TaskPath, State, Actions

# Lister les services pertinents

Get-Service | Where-Object {$_.DisplayName -match 'human|appsflyer'} |
Select-Object DisplayName, Status, StartType 

Si vous trouvez une tâche/entrée claire et non essentielle, désactivez‑la plutôt que de la supprimer d’emblée : Gestion de l’ordinateur ► Planificateur de tâches → Désactiver.

Bloquer la télémétrie sans désinstaller

Deux approches :

1. Pare‑feu Windows : créez une règle sortante qui bloque l’exécutable du lanceur ou du module AppsFlyer.

# Exemples (adaptez le chemin exact)
New-NetFirewallRule -DisplayName "Block OnceHuman Launcher Out" -Direction Outbound -Program "C:\Games\OnceHuman\Launcher.exe" -Action Block
New-NetFirewallRule -DisplayName "Block AppsFlyer Helper Out" -Direction Outbound -Program "C:\Games\OnceHuman\afhelper.exe" -Action Block

2. Fichier hosts : rediriger vers 0.0.0.0 des noms utilisés par l’outil de télémétrie (exemples fictifs) :

# Éditer en admin: C:\Windows\System32\drivers\etc\hosts
0.0.0.0 telemetry.oncehuman.example
0.0.0.0 api.appsflyer.example

Note : les domaines exacts peuvent évoluer. Privilégiez le pare‑feu par programme pour une coupure robuste, y compris en cas de changement de serveur.

Vérifications de sécurité et d’intégrité

• Microsoft Defender : lancez un scan complet pour confirmer qu’il ne s’agit pas d’un malware déguisé.

Start-MpScan -ScanType FullScan

• Vérification de signatures : dans l’Explorateur, Propriétés > Signatures numériques pour l’exécutable source (si connu). Une signature éditeur valide est rassurante.
• Intégrité système (facultatif) :

sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth

Impacts : performance, confidentialité, stabilité

• Performance : quasi nulle. Au pire, un démarrage d’utilisateur marginalement plus verbeux.
• Confidentialité : télémétrie d’usage (lancement, configuration). Rien n’indique un profilage étendu. Vous pouvez néanmoins refuser par principe et bloquer la communication sortante.
• Stabilité : la suppression brutale d’entrées peut faire échouer des fonctions secondaires (mises à jour silencieuses). Préférez la désactivation ou le blocage réseau si vous conservez le jeu.

Méthode « propre » : supprimer définitivement

1. Désinstallez le jeu et/ou son lanceur via Applications & fonctionnalités.
2. Redémarrez Windows.
3. Nettoyez le Registre (Run usuels et éventuellement tâches/Services résiduels) ; supprimez les raccourcis dans Startup.
4. Contrôlez avec Autoruns que plus rien ne pointe vers l’ancien dossier.
5. Option : supprimez le dossier restant du jeu (après sauvegarde de vos données de sauvegarde).

Pourquoi l’entrée revient après suppression ?

Plusieurs scénarios :

• Le lanceur la réécrit à chaque démarrage.
• Une mise à jour du jeu réapplique la configuration par défaut.
• Une tâche planifiée de maintenance ré‑enregistre la clé Run.

Solutions : bloquer l’exécutable via le pare‑feu, désactiver la tâche planifiée correspondante, ou désinstaller le jeu.

Checklist de diagnostic rapide

• Entrée suspecte détectée dans Démarrage ? → Désactiver
• Raccourcis Startup ? → Supprimer
• Clés Run HKCU/HKLM ? → Purger après sauvegarde
• Tâches planifiées/Services associés ? → Désactiver
• Jeu/lanceur encore installé ? → Désinstaller pour régler définitivement
• Confidentialité ? → Bloquer sortant (pare‑feu) ou hosts
• Serenité ? → Scan Defender complet

Bonnes pratiques avant/après intervention

• Créez un point de restauration système.
• Exportez les clés modifiées (Fichier > Exporter dans l’Éditeur du Registre).
• Ne téléchargez jeux et lanceurs que de sources officielles (plateformes reconnues ou site éditeur).
• Maintenez Windows et Defender à jour pour profiter des signatures de réputation.

Mécanismes de démarrage Windows : où chercher ?

Au‑delà de Startup et Run, d’autres emplacements peuvent créer/relancer une entrée :

Mécanisme	Emplacement	Utilité
Run / RunOnce	HKCU / HKLM ...\CurrentVersion\Run[Once]	Lance des programmes à l’ouverture de session.
Dossier Startup	shell:startup / shell:common startup	Raccourcis exécutés après connexion.
Planificateur de tâches	Bibliothèque du Planificateur	Déclenchements sur ouverture de session/démarrage/événements.
Services Windows	services.msc	Processus en arrière‑plan au démarrage.
AppInit/IFEO	Clés avancées du Registre	Injection/override d’exécutables (rare pour un jeu).

Exemple : script PowerShell de nettoyage guidé

Ce script illustre une approche « safe‑by‑default » : inventaire, sauvegarde, puis suppression ciblée.

# 1) INVENTAIRE
$report = [System.Collections.Generic.List[object]]::new()

$startup = @(
"$env:ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp",
"$env:AppData\Microsoft\Windows\Start Menu\Programs\Startup"
)
foreach ($p in $startup) {
if (Test-Path $p) {
Get-ChildItem $p -Filter *.lnk | ForEach-Object {
$report.Add([pscustomobject]@{Type="StartupLnk";Path=$*.FullName;LastWrite=$*.LastWriteTime})
}
}
}

$rk = @(
"HKCU:\Software\Microsoft\Windows\CurrentVersion\Run",
"HKLM:\Software\Microsoft\Windows\CurrentVersion\Run",
"HKLM:\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run"
)
foreach ($k in $rk) {
if (Test-Path $k) {
(Get-ItemProperty $k).psobject.Properties |
Where-Object { $*.Name -ne "PSPath" -and $*.Name -ne "PSParentPath" -and $*.Name -ne "PSChildName" -and $*.Name -ne "PSDrive" -and $*.Name -ne "PSProvider" } |
ForEach-Object {
$report.Add([pscustomobject]@{Type="RunValue";Key=$k;Name=$*.Name;Data=$_.Value})
}
}
}

$report | Format-Table -AutoSize

# 2) SAUVEGARDE

$backupDir = "$env:PUBLIC\Desktop\StartupCleanupBackup_$(Get-Date -Format yyyyMMddHHmmss)"
New-Item -ItemType Directory -Force -Path $backupDir | Out-Null
foreach ($p in $startup) {
if (Test-Path $p) { Copy-Item "$p*.lnk" -Destination $backupDir -ErrorAction SilentlyContinue }
}
foreach ($k in $rk) {
if (Test-Path $k) { reg export ($k -replace "HKLM:","HKLM") ($backupDir+"_"+($k -replace "[:\]","_")+".reg") | Out-Null }
}

# 3) SUPPRESSION GUIDEE (modifier les critères selon vos trouvailles)

$namesToRemove = @('2','88')
$regexGuidDup = '([0-9a-fA-F-]{36})\s+\1'

foreach ($p in $startup) {
if (Test-Path $p) {
Get-ChildItem $p -Filter *.lnk | Where-Object {
$namesToRemove -contains $*.BaseName -or ($*.BaseName -match $regexGuidDup)
} | Remove-Item -Force -WhatIf
}
}
foreach ($k in $rk) {
if (Test-Path $k) {
(Get-ItemProperty $k).psobject.Properties |
Where-Object {
$namesToRemove -contains $*.Name -or ($*.Name -match $regexGuidDup) -or ($*.Value -match 'Once.?Human|AppsFlyer')
} | ForEach-Object {
Remove-ItemProperty -Path $k -Name $*.Name -Force -WhatIf
}
}
}

Write-Host "Vérifiez la sortie. Retirez -WhatIf pour appliquer." 

FAQ

Est‑ce un virus ?
Dans les cas documentés, non : ces entrées sont liées à la télémétrie d’un jeu (Once Human) via le SDK AppsFlyer. Un scan complet Defender reste recommandé pour écarter toute coïncidence.

Pourquoi l’entrée réapparaît‑elle ?
Le lanceur ou une tâche planifiée la recrée. Désactivez la source (tâche/service), bloquez le binaire au pare‑feu, ou désinstallez le jeu.

Puis‑je jouer sans autoriser cette entrée ?
La plupart du temps, oui. Désactivez simplement l’entrée dans Démarrage ou bloquez la télémétrie au pare‑feu. Les mises à jour automatiques peuvent toutefois être affectées.

Je ne trouve aucun raccourci, seulement un GUID dans le Gestionnaire des tâches !
Utilisez Autoruns pour voir le chemin binaire. L’entrée peut provenir d’une clé Run ou d’une tâche planifiée plutôt que d’un fichier .lnk.

Renommer l’entrée suffit‑il ?
Non. L’entrée sera souvent régénérée par le lanceur, qui reprendra son nom par défaut.

Modèle de décision (selon vos priorités)

Priorité	Action conseillée	Effet
Continuer à jouer, peu d’effort	Désactiver l’entrée dans Démarrage	Démarrage plus propre, faible impact
Confidentialité renforcée	Bloquer l’exécutable au pare‑feu	Coupe la télémétrie sans toucher au Registre
Éradication définitive	Désinstaller le jeu/le lanceur + purge Run	Aucune recréation à l’avenir
Rassurance sécurité	Scan Defender complet	Écarte l’hypothèse malware

Étapes de restauration si vous avez supprimé « trop »

1. Double‑cliquez sur les fichiers .reg exportés pour réimporter vos clés Run.
2. Restaurez les .lnk sauvegardés dans Startup.
3. Si nécessaire, utilisez la Restauration du système vers le point créé avant vos modifications.

Conclusion

Des entrées de démarrage au nom abscons (« 2 », « 88 », GUID dupliqué) ne sont pas automatiquement le signe d’une attaque. Dans ce scénario, elles proviennent du lanceur de Once Human qui s’appuie sur le SDK AppsFlyer. À vous de choisir le compromis : ignorer, désactiver, bloquer la télémétrie, ou supprimer définitivement en retirant la source. L’essentiel est de contrôler ce qui se lance au démarrage et de documenter vos changements (sauvegardes, points de restauration). Avec les méthodes ci‑dessus, vous reprenez la main sans casser votre environnement Windows.

---

Récapitulatif express

• Symptômes : entrées « 2 », « 88 » ou GUID×2 dans Démarrage.
• Cause : télémétrie du lanceur Once Human via SDK AppsFlyer.
• Action rapide : désactiver dans le Gestionnaire des tâches.
• Action durable : désinstaller le jeu/lanceur, purger Run, bloquer au pare‑feu.
• Vérif : scan Defender, Autoruns pour la traçabilité, sauvegardes Registre.