Guerre des nettoyeurs défragmenteurs registre Windows

Il existe plusieurs centaines, peut-être plusieurs milliers de programmes prétendant nettoyer la base de registre (nettoyer le Registre Windows) de toutes les clés que l'on croit, que l'on suppose, obsolètes ou inutiles, sans jamais en être certain. En sus, ces programmes prétendent compresser les fichiers constituant le registre Windows pour gagner la place laissée par les "trous" ainsi créés (ce qui n'a strictement rien à voir avec la défragmentation).

Mis à part quelques rares produits gratuits, tous les logiciels qui prétendent nettoyer le Registre Windows, et/ou découvrir des erreurs quelque part dans Windows, et/ou nettoyer Windows, et/ou défragmenter les disques durs, et/ou accélérer Windows, etc. … sont tous des produits commerciaux, relativement chers qui plus est (entre 40€ et 70€).

Fin 2012, il y a plus de 1,2 milliard d'ordinateurs connectés à l'Internet (2 milliards selon certaines sources). Plus de 92% sont sous Windows ⁽¹⁾.

Il y a donc là une manne à rançonner et des poches à dépouiller. Il faut donc créer un buzz autour de cette notion de nettoyage de la base de registre pour gagner de la vitesse et un buzz autour de la peur d'être contaminé par la base de registre !

Les Nettoyeurs du registre Windows sont des machines à faire des trous !

Comment font-ils ?

Chacun des éditeurs de ces escroqueries, et leurs relais de transmission, les sites affiliés de ces éditeurs, tentent d'attirer les internautes puis de leur faire acheter leur utilitaire inutile et dangereux.

La Guerre des nettoyeurs et compresseurs du registre Windows utilise, essentiellement, deux grandes méthodes pour toucher l'internaute :

1. Vous faire trouver l'escroquerie par hasard (sponsoring)

   On réfléchit d'abord, on clique après.

   Ne vous laissez jamais tenter par une offre mirobolante ou un service gratuit.

   Décochez les cases pré-cochée.

   Souvenez-vous que :
   

   • Chaque fois qu'un produit est gratuit, c'est vous qui êtes le produit
     

   • Chaque fois qu'un service est gratuit, c'est vous qui êtes le service.

   Les éditeurs de ces utilitaires inutiles vous font trouver la crapulerie à l'occasion d'une autre de vos activités, telle que le téléchargement et l'installation d'un autre logiciel, généralement gratuit. Le site (le webmaster) se fait " sponsoriser " par l'éditeur d'une crapulerie. Chaque fois qu'un internaute " installe " la crapulerie, en sus du logiciel recherché, le webmaster est remunéré (touche de l'argent) de la part de l'éditeur de l'esroquerie. Quelques exemples :

   
   Tentative de fourguer un logiciel prétenduement génial (Réparer les erreurs Windows), et dont aucun prix n'est affiché, durant la phase de téléchargement d'un autre logiciel. Ici, le Downloader de NextRadioTV, utilisé par 01net.com et telecharger.com, préconise l'usage d'une escroquerie de nettoyage de la base de registre! 17.07.2013
   
   
   Le célèbre et très bon utilitaire CCleaner, dans sa version gratuite, tente parfois d'installer des trucs indésirables en Opt-Out ! Ici, la case, pré-cochée, a été décochée.
   
   
   Lors de l'installation d'un logiciel, tentative de fourguer un autre logiciel (une barre d'outils), de modifier le moteur de recherche par défaut et de modifier la page d'accueil par défaut du navigateur (opérations malveillantes appelées " hijack "). L'auteur du logiciel touche de l'argent pour chaque barre d'outils qu'il réussi à installer.
   
   
   Lors de l'installation d'un logiciel, tentative de fourguer un autre logiciel (un adware). L'auteur du logiciel touche de l'argent pour chaque adware qu'il réussi à installer.
   

2. Vous faire trouver l'escroquerie dans un moteur de recherche

   Les internautes sont toujours intrigués par des noms de processus qui ne leur disent rien du tout, trouvés dans :
   1. La liste de démarrage de Windows
   2. Des valeurs de certaines clés du Registre Windows
   3. Des noms de fichiers
   4. La liste des processus actifs vus dans le gestionnaire des tâches de Windows

   Faire trouver aux internautes les noms de ces processus, à l'occasion d'une recherche sur le Web, est une bonne méthode pour les canaliser vers un site Internet, les convaincre de télécharger un utilitaire inutile puis les convaincre d'acheter cet utilitaire d'inutile. De très nombreux sites se sont spécialisés exclusivement dans ces " fiches informatives " sur tous les noms de processus existants. Ils prétendent répondre à vos interrogations comme :

   • Qu'est-ce que c'est ?
   • Est-ce que c'est dangereux ?
   • Est-ce que ça a besoin de se lancer au démarrage de Windows ou est-ce que ça peut être activé plus tard, à la demande ?
   • C'est quoi ce truc XYZ qui se lance au démarrage de Windows ? Est-ce dangereux ? Peut-on différer son lancement ?
   • C'est quoi cette clé BIDULE de la base de registre, qui fait référence à ce truc XYZ ? Est-ce dangereux ? Puis-je l'effacer ?
   • C'est quoi ce fichier MACHIN que j'ai trouvé dans le répertoire TRUC ? Est-ce un virus ? Puis-je l'effacer ?
   • C'est quoi ce processus actif que je peux voir dans le gestionnaire des tâches ? Est-ce un virus ? Puis-je ou dois-je le tuer ?
   • Etc. ...

   C'est même la guerre entre ces sites pour vous faire trouver ces fiches explicatives. Ils se battent pour être le premier, ou figurer au moins dans les premières réponses de Google. Toutes les méthodes de " séduction " des moteurs de recherche (le SEO (Search Engine Optimisation)) sont déployées. Chaque escroc diffuse les mêmes fiches " explicatives " (strictement le même contenu) sous 36 sites ayant, simplement, une apparence (un look) différent (techniques de modèles de pages (" templates ") et les feuilles de styles (CSS (Cascading Style Sheets, Feuilles de Style en Cascade)).

   Le contenu de ces " fiches explicatives " sur les processus n'a aucune espèce d'importance. Elles sont incompréhensibles et stéréotypées (fabriquées par un robot générateur automatique d'explications). L'information est tout juste saupoudrée d'un truc ou deux fleurant la vérité, voire étant vérifiable (" appartient au pilote machin ", " est un composant de la technologie bidule "...), lui donnant sa seule apparence de respectabilité.

   Ces fiches sont initialement générées en anglais. Elles sont ensuite traduites automatiquement (et horriblement) dans toutes les langues que connaît le robot traducteur automatique de Google. Avec la même fiche initiale, l'escroc ratisse large en fabriquant automatiquement :

   • 10 ou 20 sites en anglais, aux noms et aux styles différents
   • 10 ou 20 sites en français, aux noms et aux styles différents
   • 10 ou 20 sites en allemand, aux noms et aux styles différents
   • 10 ou 20 sites en espagnol, aux noms et aux styles différents
   • Etc.

   Le site s'appuie sur les contributions (gratuites - bénévoles) de certains de ses visiteurs, dans un forum mis à leur disposition. Ils enrichissent, à leur corps défendant et à leur insu, la base de données et, surtout, le Webmaster.

   Les commentaires trouvés sur ces " fiches explicative " vous conduisent toujours, pour le moins, à une suspicion à propos du processus sur lequel vous vous renseignez ou, pire, à une crainte, confuse, de quelque chose. Les commentaires sont généralement du genre, en substance : " On ne sait pas bien ce que c'est mais c'est probablement dangereux - il y a des cas ou cela s'est révélé dangereux - achetez vite fait et très cher notre truc anti-tout pour analyser votre ordinateur, nettoyer votre Registre Windows et votre Disque dur afin de sauver votre ordinateur, vos données, votre vie, celles de ceux qui vous sont proches, accélérer Windows et gagner en performances !" Rien que ça !

   Subtil glissement du démarrage de Windows au nettoyage du registre Windows

   C'est à ce moment là que ces sites vous font glisser, subtilement, et de manière incompréhensible, vers un nettoyeur du Registre Windows ! Celui-ci ne va strictement rien faire de ce que vous attendiez :

   1. Il ne va pas répondre à la question " Qu'est-ce que c'est ? ". Pour obtenir gratuitement cette information, utilisez une liste propre et crédible de fiches de processus :
      PacMan Startup List
      AnswersThatWork
      ProcessLibrary
      Greatis Application Database
      Kephyr File Database!
      Runscanner Database
      Malwarebytes Database
      Kaspersky Database
      Process Monitor (SysInternals - Temps réel)
      
      
   2. Il ne va pas répondre à la question " Est-ce un virus, oui ou non ? ". Pour obtenir gratuitement cette information, de la manière la plus fiable qu'il soit possible d'obtenir, en 1 minute, avec 45 antivirus simultanés, à jour et réglés en mode paranoïaque, utilisez un service gratuit en ligne comme VirusTotal.
   3. Il ne va pas vous permettre d'empêcher ce service, si vous le souhaitez, de se lancer au démarrage de Windows. Pour parvenir gratuitement à faire ce réglage, utilisez, tout simplement, la commande msconfig.exe de Windows, ou tout autre logiciel gratuit de gestion de la Liste de démarrage de Windows.

   Evidemment, tout cela peut s'obtenir gratuitement, donc ne présente aucun intérêt pour l'escroc. Il va donc vous faire utiliser, gratuitement, un logiciel qui va trouver, dans votre ordinateur, des centaines de " problèmes " présentés comme des erreurs dramatiques. Au moment où vous cliquerez sur un bonton du genre " Corriger les erreurs ", il faudra passer à la caisse !

   Prenons un exemple réel, concret, simple :

   Je regarde, avec la commande msconfig.exe, de Windows, quels sont les processus (les logiciels) qui se lancent automatiquement au démarrage de mon ordinateur. Bien entendu, je m'attends à y trouver mon antivirus et mon pare-feu. Mais qu'y a t'il d'autre dans ce que l'on appelle la " Liste de démarrage de Windows " ? Je trouve, en premier, un truc appelé " ravcpl64.exe ". Je ne sais pas ce que c'est.

   
   C'est quoi ce truc " ravcpl64 " qui se lance au démarrage de Windows ?
   

   Allons-y. Cherchons... Je prends donc le nom de cette tâche et je le recherche dans un moteur de recherche (Google). Evidemment, avec l'habitude, je m'apperçois que ce sont toujours les mêmes sites qui apparaissent en premier. Certains apparaissent même 36 fois, sous divers noms de domaine (divers sites, tous étant une copie miroir d'un même contenu présenté différemment). Ils sont nombreux à vouloir me dire de quoi il s'agit et ce que je dois en faire. L'internaute devrait s'étonner de cette débauche de sites prêts à donner des renseignements, surtout que tous ces sites n'ont rien à voir avec la poignée de sites de confiance qui se consacrent, bénévollement, à la sécurité informatique et la vulgarisation.

   
   C'est quoi ce truc " ravcpl64.exe " qui se lance au démarrage de Windows ?
   

   Que dit le site fichier.net à propos de ravcpl64.exe ?
   Je commence par le premier de la liste : fichier.net.

   
   C'est quoi ce truc " ravcpl64 " qui se lance au démarrage de Windows ?
   

   La page commence par un énorme titre sans ambiguïté :

   Supprimer erreur RAVCpl64
   

   La seule information qui donne un semblant de respectabilité à cette fiche informative est : " Le processus Realtek HD Audio Manager ou HD Audio Control Panel ou Gestionnaire audio HD Realtek appartient au logiciel Realtek High Definition Audio Driver ou HD Audio Control Panel ou Realtek High Definition Audio de la compagnie Realtek Semiconductor (www.realtek.com.tw). ". Tout le reste et flou.

   Tout le texte semble manifestement provenir d'un générateur automatique de textes et de pages, tel que n'importe quel robot générateur peut en produire.

   Pour fichier.net, c'est très simple, c'est une erreur à supprimer et il faut télécharger et exécuter le logiciel SpeedUpMyPC ! D'ailleurs, ce site dit exactement la même chose pour la totalité des noms de processus qu'il a dans sa base de données. En substance : " C'est une erreur à supprimer et il faut télécharger et exécuter SpeedUpMyPC " !
   

   Un peu plus bas, dans la page, suit une description succinte montrant qu'ils ne savent pas réellement ce que c'est. Dans ce baratin se trouvent saupoudrées quelques petites phrases comme :
   

   • "RAVCpl64.exe est dans un sous-répertoire de "C:\Program Files""
     Oui, mais pas que là ! Donc réponse approximative d'un site qui ne sait pas de quoi il parle !
     
     
     
     C'est quoi ce truc " ravcpl64 " qui se lance au démarrage de Windows ?
     
   • "Les tailles de fichiers connues sous Windows 7/Vista/XP sont de..."
     Suit toute une série de longueurs de fichiers."
     C'est invérifiable et provient, sans doute, de contributions d'internautes (ce genre de site fonctionne pour beaucoup en autarcie, robotisés, et leurs " connaissances " croissent au bon vouloir de contributeurs (bénévoles, bien entendu) généralement pleins de bonne volonté mais peu ou pas informés).
     
     
     
     Fichier.net demande aux internautes de lui offrir de l'information qu'il va utiliser pour promouvoir son utilitaire inutile
     
     
     D'autre part, qu'est-ce que l'information " Longueur de fichiers " apporte ? Rien, absolument rien ! S'il s'agissait de hashcodesMD5, ou SHA-1 ou SHA-256 etc. ..., cela serait une signature certaine et permettrait de faire une recherche précise, sans ambiguité, dans les bases de données comme VirusTotal. Je ferais mieux de calculer un hashcode du fichier, avec SummerProperties ou HashTab et aller voir de quoi il retourne chez VirusTotal.
     Aie ! Il n'y a pas la taille du mien qui est de 10,2 Mo (10 775 584 octets). Voilà ce qu'apporte cette fiche non informative : le doute ! C'est douteux, ça ! Aurais-je un virus ?
     
   • "Ce n'est pas un composant système de Windows."
     C'est vrai ! Et alors ? Cela induit, encore une fois, une suspiscion chez l'utilisateur.
     Notez, d'ailleurs, qu'Assiste, comme tous les conseilleurs crédibles, vous répètent de ne jamais rien installer dans les répertoires de Windows. Ce qui précède en est une des raisons. Ici, c'est un pilote natif du constructeur de mon ordinateur qui est installé, d'usine, dans les répertoires de Windows !
     
   • "Le processus est caché."
     "Oh la la ! S'il se cache, c'est sûrement un virus ou un truc hostile", se dit l'utilisateur lambda.

     A ceci près que ce processus n'est pas du tout caché. Comment vérifier cette déclaration de fichier.net ? La quasi totalité des utilisateurs d'ordinateurs ne savent pas du tout ce qu'est un clic droit > propriétés d'un fichier ! Un utilisateur est là pour utiliser son ordinateur, pas pour entrer dans les arcanes du système de fichiers.

     
     
     
     Ce fichier n'est pas caché !
     
     
     

     La peur s'insinue lentement et sûrement dans l'esprit de l'internaute. Encore un effort et il va être mûr pour basculer vers l'unique fonction de ce site : fourguer un logiciel et le faire tourner en " détection " par l'utilisateur. Le programme va afficher une liste, longue comme un jour sans pain, de centaines de " problèmes ", puis dire à l'utilisateur affollé " Si, maintenant, vous voulez corriger les centaines de problèmes trouvés, il faut passer à la caisse " !

   • "RAVCpl64.exe est capable d'enregistrer les entrées."
     Alors là, c'est le comble, se dit l'utilisateur lambda qui a entendu parler des keyloggers ! Au secours !
     Quant à vérifier si RAVCpl64.exe a réellement la capacité " d'enregistrer les entrées " (qu'est-ce que cela signifie, au fait ? On ne parle peut-être pas du tout de keyloggers.), bon courrage ! Essayez de le vérifier avec une analyse en sandbox, comme Anubis.
     
   • "Si vous voulez complètement désinstaller le programme, allez au Panneau de configuration ? Logiciel ? Realtek High Definition Audio Driver ou Realtek High Definition Audio."
     

     Oui, la manipulation n'est pas fausse. Pour désinstaller un programme, il faut bien aller au Panneau de configuration > Logiciel et sélectionner le programme en question pour le désinstaller. Que dire d'autre d'une telle vérité inattaquable. Le site a tout de même pris la précaution d'écrire : "Si vous voulez complètement désinstaller le programme...", rendant l'utilisateur juridiquement responsable de ses choix. Ce ne sera pas la faute du site si quelque chose ne va pas. Or, là, quelque chose ne vas pas aller du tout ! L'utilisateur lambda vient de prendre peur et on lui suggère une méthode pour supprimer un truc qui fait peur. Que croyez-vous qu'il va faire ? Il va le supprimer ! Dans la quasi-totalité des cas, l'utilisateur ne sait absolument pas à quoi correspond le logiciel sur lequel il est en train de faire une recherche (et, si on lui dit que le processus appartiend à un pilote " Machin ", il ne sait pas du tout si son ordinateur comporte un composant matériel " Machin "). C'est un truc dangereux, un point, c'est tout ! Là, s'il fait cela, il perdra la totalité des capacités audio de son ordinateur ! Mais il ne sait toujours pas ce qu'est RAVCpl64.exe, sauf que cela semble appartenir à un ensemble de programmes soupçonneux, à détruire.

     Mais il y a un détail à ne pas perdre de vue : RAVCpl64.exe est un nom d'un processus qui appartient à un programme. Si l'utilisateur cherche RAVCpl64.exe dans la liste des programmes installés, il ne le trouvera jamais ! On en arrive donc, invariablement, à l'unique objectif du site : conduire l'utilisateur à l'utilisation de l'outil miracle que le site cherche à lui fourguer.

   • "Recommandé : Détecter les erreurs liées à RAVCpl64.exe"
     Et voilà ! Eh oui... évidemment. Il fallait en arriver là : c'est un lien vers SpeedUpMyPC, le logiciel que tente de fourguer le site ! Téléchargez donc et exécutez SpeedUpMyPC !
     
   • "Si RAVCpl64.exe se trouve sur le répertoire C:\Windows alors la note de sécurité attribuée est 19% de dangerosité".
     Donc, si RAVCpl64.exe n'est pas à l'emplacement attendu, il y a un doute (c'est logique) et une chance, évaluée à 19% (d'où sort ce taux ?), que ce soit un parasite.

   Mais quel est le rapport entre le fatras précédent et un logiciel que ce site sort de son chapeau ?

   Quel est le rapport entre tout ce fatras pas du tout informatif et les outils proposés par le site fichier.net sur une page où le mot gratuit est bien visible, plusieurs fois, et la zone "Logiciels payants" visiblement vide ?
   
   
   Le site fichier.net semble donner des renseignements sur les fichiers trouvés dans un ordinateur sous Windows et offrir des outils gratuits pour se débarrasser de ce qui est dangereux ou ralentit l'ordinateur.
   
   C'est tout simple : on trouve trois liens pour :
   
   1. Un antivirus gratuit.
      Ce lien va s'avérer conduire vers une page ou aucun antivirus gratuit ne pourra être trouvé (on ne trouvera que trois antivirus commerciaux, à acheter, sans même une période d'essai).
      
   2. SpeedUpMyPC.
      

      Un " service " en ligne qui va effectuer, gratuitement évidemment, une analyse en ligne du PC. Le simple fait d'exécuter cette analyse en ligne laisse extrêmement soupçonneux : quelles informations montent vers le serveur ? Il est hautement déconseillé d'y toucher.

      Ce " service " gratuit, en ligne, va sortir une foule de centaines de petites remarques inutiles, typiquement des clés obsolettes ou prétendûments orphelines dans le Registre Windows (lire Nettoyage et défragmentation du Registre Windows), tout cela qualifié, ligne à ligne, de problème ou de risque. Maintenant, si vous voulez corriger ces erreurs, évidemment, il faut passer à la caisse et acheter la version complète du logiciel. Pour bien vous décider, une remise spéciale vous est accordée, rien que pour vous, si vous achetez tout de suite ! Un truc du genre 49,99€ 39,99€ ! C'est, bien entendu, un attrappe nigaud; une pseudo remise sur un prix gonflé, qui apparaît pour tout le monde, 365 jours par an, pour un logiciel au prix remisé exhorbitant, qui ne vaut rien, zéro (plusieurs gratuiciels font la même chose, en beaucoup mieux !).

   3. Security Task Manager.
      Il s'agit d'un logiciel commercial. En cliquant sur ce lien, on est dirigé vers un autre site : apmebf.com. Après une rapide analyse, il s'agit d'un site qui n'a pas d'existance matérielle (qui n'existe pas - avec ou sans www), mais qui dirige vers le site d'un important acteur, légitime, de la vente de logiciels par " affiliation ", Commission Junction, dont le site est cj.com). C'est donc le site apmebf.com qui est l'affilié, celui qui va toucher une commission sur la vente du logiciel Security Task Manager.
      

      Code de l'unique page du site apmebf.com

                  <html>
      <head>
      <title>Commission Junction</title>
      <meta http-equiv="refresh" content="0; URL=http://www.cj.com/privacy.html">
      </head>
      <body bgcolor="#ffffff">
      You are currently being redirected to an information page about
      qksrv.net. If your browser does not support redirects, please 
      <a href="http://www.cj.com/privacy.html">click here</a> to access
      the page directly.
      </body>
      </html>

      Que penser de cela ?

      On recherche, avec un Whois, qui est le propriétaire de apmebf.com et qui est l'administrateur de ce site. Surprise :

      apmebf.com est la propriété de ValueClick et est administré par son propriétaire. Si on tente http://apmebf.com ou http://www.apmebf.com, on est bloqué par les outils classiques de protection des navigateurs et de la navigation, comme Ghostery ou Do Not Track Me. Pourquoi ? Parce que ValueClick est une plateforme de marketing pratiquant le tracking des internautes. Value Click est également le propriétaire de Commission Junction, une plateforme de paiement, légitime et importante dans le monde des logiciels, mais pratiquant également le tracking (un tracking nécessaire et légitime, en affiliation, pour savoir quel Webmaster doit être rémunéré et toucher un % sur les ventes générées). En suivant le lien, on tombe sur... une page de vente des versions commerciales d'AVG, sans aucun accès à la version gratuite d'AVG.

      Conclusion : celui qui est rémunéré (le webmaster rémunéré) étant ValueClick, qui est le propriétaire du pseudo domaine apmebf.com (juste une redirection au niveau des DNS servant à camoufler le lien direct entre fichier.net et ValueClick), on peut en déduire que le site fichier.net est fabriqué par ValueClick. C'est juste un trou noir servant à capturer tous les internautes du monde à la recherche d'un petit peu de sécurité et d'informations (et nous le sommes tous, à un moment ou à un autre). Le contenu du site n'a aucune importance et n'apporte aucune information ni aucune sécurité du traitement de l'information, pourvu que l'ingénierie sociale déployée dans la rédaction des pseudos fiches d'informations sur les noms des processus, capture l'internaute de passage.

      Tous les internautes du monde vont, à un moment ou a un autre, acheter un véritable antivirus et un grand nombre d'internautes du monde va, à un moment ou à un autre, se faire arnaquer avec l'achat d'un faux ou douteux logiciel de sécurité ou d'un faux ou douteux logiciel d'optimisation de Windows et du PC. ValueClick et Commission Junction le savent, eux qui gèrent les affiliations de tous les Webmasters du monde pour un très grand nombre d'éditeurs de logiciels de sécurité. Avec ce faux site informatif, qui ne sert qu'à référencer, de manière masquée, apmebf.com, ValueClick et Commission Junction profitent d'une situation, détournent, en quelque sorte, les ventes de véritables logiciels de sécurité promus par les sites de véritables Webmasters, et trompent les internautes. C'est un parasitage du Web.

   Quid alors de mon exemple : ravcpl64.exe ? :

   Il est probablement inutile de faire des recherches sur les autres sites d'informations sur les objets qui se lancent au démarrage de Windows. Nous allons trouver le même vide abyssale d'information et le même principe de promotion d'un ou de plusieurs logiciels commerciaux. LiUtilities, Uniblue, etc. ...

   La solution au problème de la liste de démarrage - La PacMan

   La solution existe, fiable, gratuite, pour avoir une information pertinente sur un objet qui se lance au démarrage de Windows :

   PacMan Startup List ! En français !

   Ici, en quelques secondes, je sais qu'il existe un fichier nommé ravcpl64.exe qui est détecté par Dr.Web comme Trojan.DownLoader9.10954, et que l'on trouve dans %AppData% (normalement C:\Users\Nom Utilisateur\AppData\Roaming), mais qu'il ne faut pas le confondre avec un ravcpl64.exe légitime, composant du pilote Realtek HD Audio Manager 64-bit, et se trouvant, normalement, dans %ProgramFiles%\Realtek\Audio\HDA (%ProgramFiles% étant, généralement, C:\Program Files).

   Pour être réellement fixé sur un processus qui se lance automatiquement au démarrage de Windows, ce n'est pas le site fichier.net (ou tout autre site de même nature) qui va être de la moindre utilité. Allez sur un service multiantivirus en ligne et lancez l'analyse du fichier. C'est gratuit, sans ambiguïté, et mis à jour plusieurs fois par jour.

Contre-mesures

On ne touche jamais au Registre Windows

Il existe des milliers d'outils de nettoyage du Registre Windows. N'en utilisez jamais aucun (y compris CCleaner, le plus prudent d'entre eux).

Mark Russinovich parle des traces laissées par les désinstalleur "normaux"

Il est exact que les désinstallations de logiciels ne se font jamais de manière complète, et laissent des traces dans le Registre Windows. On s'intéressera, sur ce sujet, à une réflexion de Mark Russinovich (le fondateur de SysInternals, toujours à la tête de cette division de Microsoft depuis que SysInternals a été racheté par Microsoft). En 2005, Mark Russinovich réfléchi sur le fait que les installeurs installent, mais se fichent de la désinstallation (les développeurs paramètrent les installeurs pour installer leurs développements, mais ne pensent pas que l'utilisateur puisse désinstaller leur bébé). Il évoque aussi le glissement des inscriptions d'installations, de la BdR (Base de Registre) vers .NET en XML. Et Mark Russinovich de parler des traces laissées par les désinstalleurs dans le Registre Windows :

• Une installation d'une application est souvent faite pour tous les utilisateurs (tous les comptes) d'une machine.

• Les désinstallations, au contraire, ont la permission de désinstaller les inscriptions dans ce que voit un utilisateur sous sa ruche HKCU (son profil personnel dans l'une des hiérarchies du Registre Windows). Les autres profils, des autres utilisateurs (des autres comptes) ne lui sont pas accessibles, sauf à donner au désinstalleur ce droit, ce qui créerait une faille de sécurité. Donc il y a, invariablement, des inscriptions non désinscrites.

C'est ainsi que vont les choses (et le parallèle est fait par Mark Russinovich, avec le même problème dans UNIX / Linux).

La réflexion de Mark Russinovich (le fondateur de SysInternals) sur les installeurs et les traces laissées à la désinstallation.
Il est exact qu'avant Windows XP, la taille du Registre Windows était limitée ⁽¹⁾.
La limitation de la taille du Registre est supprimée depuis Windows XP ⁽²⁾.

1. Gain de place dans le Registre Windows - Les machines à faire des trous :

   Lorsqu'un outil de nettoyage du Registre Windows trouve une clé ou une valeur, qu'il croit, souvent à tort, inutile ou obsolète, il va détruire cette clé ou cette valeur. Cette opération consiste à " blanchir la zone ", pas du tout à la récupérer. Au total, après un nettoyage musclé du Registre Windows, vous aurez fait quelques dizaines de " trous dans le Registre " (ces " trous dans le Registre " n'ont rien à voir avec la notion de " fragmentation ") pour un total de 30 à 300 octets blanchis (pas gagnés, simplement vidés mais toujours présents dans les fichiers de la base de registre, avec, simplement, une autre valeur, une valeur nulle, à la place de la valeur d'origine). La taille des ruches du Registre Windows (des fichiers qui constituent le Registre Windows) ne bouge pas d'un poil, pas d'un octet ! C'est totalement inutile !

   Vous n'aurez strictement rien gagné en taille ! Pas un octet ! Que dalle ! Nada ! Walou ! Macache !

   En outre, et pour être encore plus clair, aucun outil de nettoyage du registre Windows n'effectue de compression du registre, ce qui est une opération abracadabrantesque beaucoup trop dangereuse pour que ces outils s'y frottent (on peut citer, toutefois, NTRegOpt, gratuit - le seul à trouver grâce à nos yeux).

   Vous voulez un exemple d'une erreur que feront tous les nettoyeurs destructeurs du Registre Windows : vous avez installé des applications sur un support externe (sur un disque dur amovible, etc. ...). Au moment de lancer votre nettoyeur machine à broyer le Registre Windows, le support externe n'est pas connecté. Votre nettoyeur machine à broyer le Registre Windows va considérer que toutes les clés de ces applications traînent pour rien dans le registre et qu'elles sont obsolettes et inutiles. Elles sont toutes détruites et plus aucune des applications installées sur votre support externe ne fonctionne !

2. Gain de vitesse de Windows ou performances de l'ordinateur :

   Compte tenu de l'organisation interne du Registre Windows (anciennement appelé Base de Registre), le fait de le " nettoyer " de clés prétendument obsolètes ou orphelines, puis, éventuellement, de le réorganiser (dit, parfois, " compresser "), n'a strictement aucune incidence sur la vitesse de Windows ou les performances de l'ordinateur. La structure interne des différentes ruches du Registre Windows, et la méthode d'accès aux clés, sont telles que, quels que soient les " trous " et clés inutiles qu'il y a dedans, il n'y aura jamais un pouillème de milliardième de milliseconde de gagné. Par contre, le plantage de certaines applications, voire le plantage total et définitif de la machine, sont au bout de ces escroqueries financières (puisque tous ces outils sont commerciaux - Lire " Guerre des nettoyeurs et compresseurs du Registre Windows ") et de cette imbécilité technique.

   Vous n'aurez strictement rien gagné en vitesse ! Pas une yoctoseconde (10^-24) !

   Si votre préoccupation est de gagner en vitesse et performance de Windows, merci de considérer les procédures :
   Améliorer (accélérer) la vitesse et les performances de Windows
   Améliorer (accélérer) la vitesse et les performances de la connexion Internet
   

3. Défragmentation

   La défragmentation n'a strictement rien à voir avec le nettoyage et la compression des ruches du Registre Windows. Cela pourrait relever du système de gestion de fichiers (FAT, NTFS) et de la défragmentation standard des fichiers, mais l'une des limitations de la défragmentation est qu'elle n'aura jamais accès aux fichiers qui sont ouverts, dès le démarrage de Windows, en mode d'accès exclusif (y compris lors d'un démarrage en mode sans échec). Jamais aucun logiciel standard de défragmentation, gratuit ou commercial, ne pourra défragmenter les ruches du Registre Windows, ni le fichier pagefile.sys (fichier dit, par erreur, mémoire virtuelle de Windows), ni le fichier hiberfil.sys (fichier dans lequel est recopiée toute la mémoire vive de l'ordinateur lorsque l'on utilise l'arrêt de l'ordinateur dit " Mise en veille prolongée ", également appelé " hibernation ").

   Seul le programme gratuit PageDefrag (de Mark Russinovich et SysInternals / Microsoft) peut faire quelque chose, mais uniquement pour les systèmes Windows client XP 32 bits et Windows serveur 2003 32 bits. PageDefragne fonctionne pas sur les systèmes Windows 64 bits ni même sur les versions 32 bits de Windows Vista, 7, 8 et suivantes.

   S'il est possible de sortir le disque dur du système concerné et de le monter en disque secondaire (ou en disque externe), sur un autre système, il sera possible de défragmenter les ruches du Registre Windows, pagefile.sys et hiberfil.sys. On peut utiliser, par exemple, Defraggler qui, lui, est gratuit.

   Là, et seulement là :

   • En ce qui concerne la défragmentation des ruches du Registre Windows, vous gagnerez royalement un micro-pouillème de nanoseconde, à condition de défragmenter toute la partition système.

   • En ce qui concerne la défragmentation de pagefile.sys, sa défragmentation peut apporter un gain de vitesse.

   Défragmenter un carte SSD

   Ne tentez jamais de défragmenter une carte SSD.

   Les SSD, basées sur de la mémoire flash, ont un nombre fixe d'écritures qu'elles peuvent supporter avant d'atteindre un point où le taux d'erreurs dépasse les capacités de détection et correction d'erreurs du contrôleur ECC (Error Checking and Correcting - ou parfois, par erreur, Error Correction Code) de la carte SSD. Cela conduit, à terme, à une totale défaillance du dispositif. Pour prolonger l'efficacité du dispositif SSD, ne jamais tenter de le défragmenter (sans compter que la technologie elle-même est balbutiante).

   Il est d'ailleurs recommandé de ne pas utiliser une carte SSD à plus de 60% de sa capacité de manière à permettre à la logique de gestion de la carte SSD d'utiliser, à tour de rôle, toutes les puces de la carte, afin de répartir leur usure.

   Les SSD ont des temps moyen d'accès aux données proche de zéro (il n'y a aucun déplacement mécanique). Une défragmentation sur une carte SSD aura un impact zéro en terme de performances, mais entraînera un risque de destruction totale de la carte SSD.

   Lire ce document, en anglais, page 7. La défragmentation est inutile (il n'y a pas de déplacement mécanique de têtes de lecture, comme sur un Disque dur) et est une perte de temps sur les SSD.
   http://ocz.com/enterprise/download/guides/talos2_installation_guide.pdf

   Notez que les outils de défragmentation disposent de réglages permettant de désactiver la fonction de défragmentation pour certains volumes (cases à décocher).

4. Que penser des outils de nettoyage du registre Windows ?

   La totalité des outils commerciaux (payants), prétendant nettoyer le Registre Windows, ne font rien de plus que ce que font les outils gratuits, dont CCleaner. Surtout, ils mentent de manière éhontée lorsqu'ils prétendent accélérer Windows ! C'est totalement faux ! C'est une tromperie qui peut nous conduire à classer tous ces logiciels dans les arnaques : Faux logiciels et PUP (La Crapthèque). Mais il y a tellement d'argent à se faire sur le dos des internautes que les auteurs de ces logiciels et leurs relais de transmission (les sites et webmasters servant de prescripteurs rémunérés par le principe de l'affiliation ou le principe du sponsoring), se livrent à une véritable Guerre des nettoyeurs et compresseurs du registre Windows dans laquelle une savante ingénierie sociale tente de faire croire qu'il est dangereux de ne pas nettoyer son registre (on évoque même des attaques par le base de registre !) et qu'il est stupide de ne pas accélérer Windows en ne nettoyant pas le registre Windows.

   Assiste.com (ASAP), BleepingComputers (Grinler - MS MVP), Libellules (Falkra), Microsoft, tous les MS MVP, et qui sais-je encore, découragent, si ce n'est interdisent de toucher au Registre Windows.

5. Le principe fondamental du Registre Windows (Base de Registre) est :

   Ne touchez jamais à votre Registre Windows !
   Oubliez le Registre Windows et il vous oubliera !

Témoignage

De Magnence le 22.11.2013 sur nos forums

Bonjour,

Comme vous le dites et redites sur votre site, il ne faut jamais toucher (du moins sans vraiment maitriser son sujet) à la base de registre ! J'en ai fait la douloureuse et longue expérience ces derniers mois.

Après avoir acquis un bon portable HP en début de cette année 2013 on m'a recommandé (quelqu'un d'assez pointu dans le domaine) d'installer CCleaner.

Ayant Norton Internet Security, je me suis retrouvé après une mise à jour avec Norton Utilities, et une possibilité « magique » d'optimisation en un clic (nettoyage divers, optimisation, et nettoyage du Registre Windows...), Norton Utilities programmé chaque jour, complété de CCleaner en manuel, je trouvais ça bien... :wink:

Puis, les problèmes et bugs divers ont commencé à s'accumuler les uns à la suite des autres, de façon bizarrement aléatoire, selon les jours. Une fois c'était Word qui se bloquait au démarrage et rien à faire... puis pas de reconnaissance des CD vierges pour la gravure, sans aucune anomalie visible (une fois le cd inséré, il ne se passait rien, il était invisible) et tout normal : périphériques, pilotes, etc. ...). Deux jours après ça fonctionnait, puis le lendemain ça replantait... Ensuite c'était une appli autre qui là aussi bloquait au démarrage... J'ai actualisé l'OS Windows 8 - nickel, mais 3 jours après même problème de reconnaissance des cd vierges (pas de problème pour les DVD ou la lecture de cd etc. ...).

J'ai finit par appeler le SAV : prise en charge OK et remplacement du lecteur optique - réinstallation complète de l'OS - ça marche tout nickel une semaine puis ça recommence ! Je n'y croyais pas ! J'avais épuisé toutes les solutions et passé des heures et des soirées sur des tas de forums, à tenter des tas de trucs les + divers...

Je me dis, je vais faire avec ces merdouilles, car en dehors de ça il tourne bien ce PC.

Mise à jour vers 8.1 - toujours les mêmes soucis, peu de temps après, qui reviennent... puis le réglage luminosité qui ne fonctionnent plus au clavier :shock: et l'indexation qui part en vrille et me consomme en pointe 100% des ressources... :roll: (journal d'évènements me donnait un truc du genre "activation Wsearch - erreur bibliothèque - réactivation search" etc..) manifestement ça s'aggrave.. je bricole partout à mon modeste niveau ; je comprends rien, pas de logique...

Je m'aperçois que l'appli "photos" native W8 ne fonctionne plus. Elle s'ouvre bien et au bout de 5 sec, et ferme ! :rolleyes4: a chaque fois... Je ne m'en sers pas des masses mais tout cela me stress.... Contact avec Microsoft qui me fait tenter une demi-douzaine de solutions, sans succès : actualisation de l'OS recommandé, pour la 3ème fois... :roll:

Puis soudainement, un soir, j'allais encore actualiser W8 ; un éclair de lucidité sans doute... je pense à ces bases de registres que je "nettoie" sans même y penser chaque jour, persuadé de très bien faire avec 2 outils différents pour être bien efficace... je file dans le Norton Utilities, je coche toutes les sauvegardes, réinstallation.. et miracle.. :Mouaaarrrrffffffff: .. tout est rentré dans l'ordre de suite et l'est resté ! (l'indexation, l'appli photo, la reconnaissance des CD vierges, les bugs divers..). Et ma machine tourne en perf, au moins aussi bien qu'avant, en fait bien mieux ! Depuis, je fais divers « nettoyages » mais plus de la Base de Registre surtout !

C'est quelques jours après que je suis tombé par hasard sur votre site. Dommage que j'y suis pas arrivé plus tôt, j'aurai évité des heures d'énervements et de prises de têtes... BRAVO pour ce que vous y dites :yes: - ce n'est hélas pas fréquent !

Magnence

Témoignage d'Assiste.com

Assiste.com le 26.06.2015 sur nos forums

Glary Utilities

En faisant un test de Glary Utilities pour mettre à jour l'article du site sur cette boîte à outils de maintenance d'un PC, j'ai lancé le module de nettoyage du Registre Windows, histoire de voir ce qu'il trouve dans ma machine.

J'avais lancé, juste avant, le module de nettoyage du Registre Windows de CCleaner, pour avoir une base de comparaison, sans nettoyer, bien sûr. CCleaner venait de me trouver, environ, ce qu'il croit être 130 erreurs.

On ne touche jamais au Registre Windows !
Nettoyage et défragmentation du Registre Windows

Mais, avec Glary Utilities, j'ai fait une fausse manip. Au lieu de quitter la visualisation de son analyse (qui ne montre rien, juste des nombres d'erreurs supposées ! Près de 700 erreurs annoncées mais on ne sait bien entendu pas de quoi il parle, on ne connaît pas les erreurs, si tant est qu'elles existent !), je clique sur le mauvais bouton et je lance le nettoyage ! Oooops !

Depuis, la plupart des raccourcis ne fonctionnent plus ! Et quels autres problèmes je vais découvrir !

Ce truc va tourner au crapware, scareware, PUP, etc. ... Il mérite un bel habit de sapin.

Pierre (aka Terdef)

Edit :

Huit jours pleins plus tard, encore d'autres erreurs, de même nature, consécutives au nettoyage du Registre Windows par Glary Utilities. Il semble bien que nombre, si ce n'est toutes les associations de fichiers aient disparues. Et d'autres choses car, là, je cherche simplement à lancer un programme, sans passer par une association de fichier.

Glary Utilities - Des fonctions système plantées après nettoyage du Registre Windows

Annonce