gM
Retour / Back
Lutte AntiHijacking / AntiHijacking Fight
-nettoyage / -Cleaning

Lutte AntiMalware -prévention / AntiMalware Fight -Prevention
Lutte AntiMalware -nettoyage / AntiMalware Fight -Cleaning
Lutte AntiMalware par HijackThis
ProcessLibrary, Pacman's StartupList, TonyK's BHOlist (ProcessLibrary Pacman's StartupList TonyK's BHOList),   SpyWareBlaster   SecUser -Recherche   SpyWareData   hijackthis.de
  • Introduction à HijackThis, par merijn
  • Avant HJT -0 1 2-préambule
  • -3-HJT -par vous mêmes (DIY)
  • -4-HJT -préparation log
  • Tutorial d'interprétation des rapports HJT
  • Tutorial HJT -Vue d'ensemble
  • Earmarks of Infection
  • Spywares remarquables
  • Boot Camp SWI / Camp d'Entraînement PCA / Zeb'Campus
  • Outils de Pros
  • Réponse aux demandes d'analyse
  • -5-HJT -soumission log sur les forums
  • Sites / Forums / Recherche antispyware
  • Bases (Registre / Mode commande / Services / Processus)
  • Conclusion
  • Cette page Web est relative à l'utilisation du programme HijackThis et ce qui gravite autour (avant et après).
    HijackThis est une sorte de centre de contrôle, écrit par Merijn Bellekom pour rassembler tous les éléments susceptibles de contenir des malwares, dans une seule liste permettant d'examiner le système et les en déloger à l'aide d'autres utilitaires qui gravitent autour de HJT ! Ces éléments affichés proviennent des processus en mémoire, des fichiers de configuration du système, de la base de registre, de l'explorateur, etc.
    HijackThis est un merveilleux programme dans sa fonction de liste mais n'interprète rien : tous les éléments présents dans le système sont listés, bons ou néfastes !
    HJT a également une fonction d'éradication... et là, il est bien plus dangereux et nécessite des connaissances avancées car il a la puissance de modification de l'éditeur de la base de Registre (RegEdit) : une coche et la clé/valeur sera supprimée ! A défaut des connaissances nécessaires, le listing sera posté sur les forums spécialisés pour y être soumis à l'analyse de ses conseillers !

    Cette page apporte 3 niveaux d'enseignement : utilisateur, utisateur avancé (vert) et conseiller (rouge).
    Lutte AntiSpyware -nettoyage / AntiSpyware Fight -Cleaning



     
    -= Bases (Registre / Mode commande / Services / Processus) =-

    C'est à la suite de difficultés à nettoyer un système infecté, par la simple utilisation de HijackThis, que j'ai senti le besoin de ces lignes.
    Les paragraphes qui suivent sont destinées aux internautes qui analysent les rapports HijackThis sur les forums et nettoient le système des internautes infectés, afin de leur apporter quelques bases qui les mettront plus en confiance pour palier les limites des méthodes traditionnelles face aux avancées des pirates... être capable de rechercher dans la base de registres et la modifier, pouvoir trouver les fichiers infectieux et les supprimer (modifications HJT non prises en compte, valeurs cachées, valeurs non surveillées, etc. fichiers impossibles à supprimer, etc.)
    Quelques lignes (pas encyclopédiques) sur la Base de registres, le mode commande, les services, les processus apporteront une base pour mieux connaître et maîtriser le système.

    Voici le plan...

    -= Base de registres
    Généralités sur la base de registres
    Premières recherches dans la base de registres
    -1- déroulement manuel de l'arborescence
    -2- fonction Rechercher
    Exportation d'une clé de la Base de registres
    Rétablissement d'une clé de la Base de registres
    Structure d'un fichier .REG
    Création, Modification, Suppression d'une clé, valeur, donnée de la BdR
    -1- manuellement
    -2- fichier .REG
    Autres recherches dans la Base de registres
    -1- RegSrch de Bill James
    -2- RegSearch de Bobbi Flekman
    -3- RegSeeker de Thibaud Djian
    -4- RegQuery, standard Windows
    -5- RegKey, standard Windows
    -6- Go to reg key de flrman1
    -7- Open RegEdit de EasyDesk Software
    -8- Outils divers
    Fichiers .INF et .VBS
    Fichiers de restauration de parties de la Base de registres
    Clés de registre névralgiques
    Exemple illustré de nettoyage de la Base de registres
    -= Mode commande
    Généralités sur le mode de commande
    Premières recherches de fichiers
    -1- déroulement manuel de l'arborescence
    -2- fonction Rechercher
    Suppression de fichiers
    Structure d'un fichier batch
    Autres recherches de fichiers
    Autres suppressions de fichiers
    Fichiers antidotes de nettoyage disque
    Répertoires névralgiques
    Exemple de nettoyage de fichiers infectés

    -=
    Services
    Généralités Services
    Arrêt, désactivation, suppression Service
    - console Services
    - HijackThis
    - SC, mode commande, fichier batch

    -= Processus
    Généralités Processus
    Arrêt Processus
    - Gestionnaire de taches
    - Kill.exe
    - Process Explorer


    Voici le post de Zebulon à l'origine de ces lignes :
     
    Il est bien loin le temps où HijackThis était capable d'enlever merveilleusement tous les malwares !

    Cà a d'abord été la nécessité de finasser pour supprimer les fichiers à la main...
    Egalement, stopper les processus qui génaient... travailler en mode sans échec pour ne pas être perturbé... employer des outils spécialisés pour les O10, les O15, les O20, etc.
    Maintenant, voici que les malwares sont invisibles dans le rapport HijackThis !!! voici que les malwares sont là également en mode sans échec !

    -> "WinIK.sys, malware en mode sans échec"

    -> "le cheval de troie swizzor.co qui revient" (54 posts, 739 lectures)

    -> "WinIK, Impossible de le detruire" (65 posts, 1138 lectures)

    Je trouve qu'on en est ramené au temps de l'avant HijackThis lorsque le nettoyage était un art et qu'on essayait un peu tout et n'importe quoi !

    Dans les discussions ci-dessus, je nageais et j'employais les techniques de base qui ne sont pas connues de tous et c'est ce dont je voudrais parler dans cette discussion.



     Bases : Registre
    Je voudrais aborder ici le sujet de la base de registres : recherches, création de fichiers .REG, etc.
    Le programme HijackThis effectue ses modifications dans la base de registres exclusivement (sauf lignes O2 et O3) ; il faut compléter son action par des outils annexe en matière de suppression des fichiers sur disque, désactivation des Services, arrêt des processus.

    Tesgaz a d'excellents articles où tout est expliqué !
    (je me souviens lui avoir écrit que je comptais sur lui pour un article -sur un forum- et justement, il avait çà en tête !)
    -> http://www.zebulon.fr/articles/base-de-registre-1.php
    -> http://speedweb1.free.fr/frames2.php?page=outils2
    Quelques pages de mes sites Web :
    -> Base de Registres (clés correspondant à différentes catégories)
    -> RegInfo (un outil pour afficher des informations sur le système)
    -> RegFile (un outil pour afficher des informations clés du système)
    -> Liens Registry (des liens vers des pages merveilleuses)



     Généralités sur la base de registres
    Dans ce premier paragraphe, nous allons rester simple et nous intéresser à l'association des fichiers .EXE
    Il arrive que des malwares (le premier d'entre eux ayant été swen) nous déglinguent cette association...

    La méthode normale qui consiste à aller dans les Options des dossiers / onglet Types de fichiers n'est d'aucune utilité ici car cette extension système n'y est pas modifiable ; il faut passer par la base de registres, çà tombe bien ! ;-)

    Démarrer / Exécuter / taper RegEdit et cliquer sur OK
    Windows XP mémorise le dernier accès à la BdR... allons en haut à gauche sur Poste de travail et regroupons les branches de manière à voir :
    (Dans leur laïus, les connaisseurs ont leurs raccourcis)
    Poste de travail
      HKEY_CLASSES_ROOT
    HKEY_CURRENT_USER
    HKEY_LOCAL_MACHINE
    HKEY_USERS
    HKEY_CURRENT_CONFIG
      HKCR
    HKCU
    HKLM
    HKU
    HKCC
    Simplifions un peu :
    La base de registres est un fichier constitué au login (et modifiée dynamiquement lors du branchement d'une unité PnP par exemple) ; elle est constituée en mémoire et correspond à plusieurs fichiers du disque.
    - HKCR correspond à HKLM\Software\Classes
    - HKCU est un sous-ensemble de HKU (pour l'utilisateur qui s'est loggué)
    - HKCC correspond à HKLM\CONFIG
    et donc, finalement, la BdR se réduit, grossièrement, à :
    - HKLM description du matériel et des softs
    - HKU description des utilisateurs et, en particulier .DEFAULT pour la phase avant login
    Mais les branches isolées HKCR, HKCU dans l'affichage, ont leur utilité, ne serait-ce que pour la clarté !

    RegEdit (Registry Editor) présente un affichage avec :
    - un volet sur la gauche qui contient l'arborescence des "Clés" et leurs sous-clés (un peu comme les dossiers et les sous-dossiers de l'Explorateur Windows)
    - une grande partie sur la droite contient les "Valeurs" (colonne Nom) auxquelles sont associés un type et une "Donnée".
    (on retrouvera ces termes dans la fonction Recherche)

    Vous lirez beaucoup d'avertissements sur la base de registres :
    - cette BdR a ceci de particulier que vous n'y trouverez pas de fonction "Enregistrer" et encore moins de possibilité d'annulation des modifications apportées
    - sauvegarder systématiquement... il faut savoir qu'il est impossible de sauvegarder l'ensemble de la BdR sous W2K et XP
    - sauvegarder les branches que vous vous apprêtez à modifier ; c'est un peu lassant à la longue... le système de restauration d'XP permet de revenir éventuellement en arrière
    - ne cliquez pas partout et restez concentré
    - si vous ne touchez à rien, vous n'abimerez rien ! LOL

    Au fait, Vilma Registry Editor est un outil qui remplace bien RegEdit (vsft.com   Zeb   Zeb -patch Fr) !



     Premières recherches dans la base de registres
    -1- déroulement manuel de l'arborescence
    Allons en haut du volet de gauche sur Poste de travail et regroupons les branches de manière à voir :
    Poste de travail
    + HKCR
    + HKCU
    + HKLM
    + HKU
    + HKCC
    --- cliquer sur le "+" devant HKCR, les sous-clés s'affichent, il s'agit entre autres, de "*" puis des extensions
    --- rechercher .EXE et sélectionner cette sous-clé, les valeurs s'affichent et notamment "(par défaut)" et sa donnée de type chaîne de caractères "exefile"
    --- sélectionner à nouveau .EXE
    --- mettre le doigt sur la lettre "E" du clavier et appuyer 2 fois sur la touche Page Suivante pour y trouver la clé "exefile"
    --- positionner le curseur (la zone en inversion vidéo) sur exefile
    --- appuyer sur la droite "Flèche droite" qui ouvre l'arborescence
    --- descendre sur Shell avec la Flèche bas
    --- Flèche droite pour ouvrir l'arborescence et descendre sur Open
    --- Flèche droite et descendre sur Command
    --- regarder sur la barre d'état (en bas de l'écran) qui contient l'adresse "Poste de travail\HKCR\exefile\Shell\Open\command"
    --- clic droit sur Command et observer le menu contextuel et en particulier les options "Copier le nom de la clé" et "Exporter" ; cliquer sur une partie vide de l'écran pour enlever le menu contextuel
    --- la sous-clé ...\Command contient la valeur (par défaut) et sa donnée ""%1" %*" ; c'est elle qui est parfois, altérée par les malwares qui peuvent ainsi prendre la main sur l'exécution des fichiers .exe.
    --- double-cliquer sur "(par défaut)" permet de mieux voir la donnée, de la copier, de la modifier, etc. ; cliquer sur Annuler pour quitter la boîte de dialogue Edition de la valeur.
    (si vous avez effectué ce qui est écrit ci-dessus, vous n'avez rien altéré)

    -2- Fonction Rechercher
    Allons en haut du volet de gauche sur Poste de travail et regroupons les branches de manière à voir :
    Poste de travail
    + HKCR
    + HKCU
    + HKLM
    + HKU
    + HKCC
    --- Ctrl-F ouvre la fonction Rechercher (ou menu Edition / Rechercher)
    --- remarquer les cases à cocher Clés, Valeurs et Données qui permettent d'effectuer la recherche dans certaines parties seulement
    --- dans la zone Rechercher : taper exefile et [Entrée]
    --- le curseur s'arrête sur la valeur "(par défaut)" de la clé (regarder dans la barre d'état) HKEY_CLASSES_ROOT\.exe
    --- [F3] pour poursuivre la recherche
    --- le curseur se positionne sur la clé HKEY_CLASSES_ROOT\exefile
    --- avec les flèches droite et bas, descendre sur la clé HKEY_CLASSES_ROOT\exefile\shell\open\command pour voir la valeur "(par défaut)" et sa donnée "%1" %*
    (si vous avez effectué ce qui est écrit ci-dessus, vous n'avez rien altéré)



     Exportation d'une clé de la BdR
    La première chose à faire lorsqu'on prend des risques avec une clé/valeur/donnée de la BdR, est de sauvegarder les parties à toucher de manière à pouvoir rétablir les choses si çà s'avérait une bien mauvaise idée de les avoir altérées !

    La sauvegarde d'une clé et de son contenu s'obtient par la fonction "Exportation"

    --- Positionnons le curseur sur la clé HKEY_CLASSES_ROOT\exefile ainsi qu'expliqué dans le paragraphe précédent
    --- clic droit sur Command de la clé HKEY_CLASSES_ROOT\exefile\shell\open\command pour faire apparaître le menu contextuel / Exporter
    ----- Enregistrer dans : Bureau
    ----- Nom de fichier : Exefile
    ----- Type de fichier : Fichiers d'enregistrement (*.reg)
    ----- cliquer sur Enregistrer
    Le fichier Exefile.reg est sur le bureau.

    Il y a cette même fonction dans le menu Fichier / Exporter
    Il n'est pas possible de sauvegarder la totalité de la base de registre en Exportant à partir de "Poste de travail" (taille importante, parties inaccessibles, etc.).



     Rétablissement d'une clé de la BdR
    Considérons le fichier exefile.reg que nous avons créé au paragraphe précédent.
    Ce fichier Exefile est exactement sous la forme correspondant au rétablissement des informations de Command dans la base de registres.
    Un double-clic activerait la fonction "Fusionner"... boîte dialogue affichant un message "Voulez-vous vraiment ajouter les informations contenues dans Exefile au registre ?" ; la validation serait suivie d'un message de confirmation.
    Le double-clic correspond, en standard, à la fusion.
    Clic-droit / Modifier ou Editer correspond à l'édition (pour visualiser ou modifier).
    Par le passé, pour éviter le clic trop facile de certains de mes utilisateurs, j'avais l'habitude d'inverser les options de manière à obtenir l'Edition par défaut c'est à dire en gras.



     Structure d'un fichier .REG
    Considérons le fichier exefile.reg que nous avons créé au paragraphe "Exportation d'une clé de la BdR".
    un fichier .REG est un fichier de modification de la base de registres.

    clic droit sur le fichier Exefile.reg / Modifier
    le contenu du fichier s'ouvre dans le bloc-notes
      Windows Registry Editor Version 5.00

    [HKEY_CLASSES_ROOT\exefile\shell\open\command]
    @="\"%1\" %*"

    Nous remarquons :
    - l'entête "Windows Registry Editor Version 5.00" qui indique le format des données
    (l'entête est REGEDIT4 pour le format de la v.4, aussi accepté par les versions plus récentes).
    - une ligne vierge avant la clé
    - les crochets [] qui encadrent une "clé"
    - le nom de la valeur qui précède le signe "=" (ici @ correpond à "(par défaut)")
    - la donnée qui suit le signe "="
    - la ligne vierge en fin de fichier.
    Certains logiciels affichent de manière erronée, un chemin du genre \\... il s'agit d'un bug et la bonne notation doit être rétablie pour restaurer cette clé.



     Création, modification, suppression d'une clé, valeur, donnée dans la BdR
    -1- (manuellement)
    Positionnons le curseur sur la clé HKEY_CLASSES_ROOT\exefile (voir paragraphe "Premières recherches -2- Fonction Rechercher" ci-dessus)
    clic droit / Nouveau ; les options proposées visibles ici permettent de créer une Clé ou des valeurs de divers types
    clic droit / Renommer permet de modifier le nom de la sous-clé (de même que la touche [F2])
    clic droit / Supprimer permet de supprimer la clé (de même que la touche "Suppr")

    Cliquons sur une partie vide du panneau de droite / clic droit / Nouveau / etc.

    Positionnons le curseur sur la valeur "(par défaut)" / clic droit / etc. pour modifier la donnée ou supprimer la valeur
    Positionnons le curseur sur la valeur "(par défaut)" / double clic / etc.

    -2- fichier .REG)
    Considérons un fichier OpenAs.REG qui traîne sur mon disque dur. C'est un fichier que j'utilisais avec Windows 98 pour ajouter systématiquement dans le menu contextuel de chaque fichier pour obtenir l'option Ouvrir avec et m'éviter de mettre le doigt sur Ctrl ! LOL ! C'est inutile avec XP !
      REGEDIT4

    [HKEY_CLASSES_ROOT\*\shell\openas\command]
    @="C:\WINDOWS\rundll32.exe shell32.dll,OpenAs_RunDLL %1"

    J'y vois :
    - l'entête REGEDIT4 qui est celle du format des fichiers .Reg de Win98 mais qui fonctionne sans problème avec W2K et XP
    - @= qui correspond à la valeur (par défaut)... Vous n'imaginiez tout de même pas que les Américains allaient lire comme vous "(par défaut)" !!! Vous n'imaginiez pas non plus qu'il y avait une base de registres différente pour chaque langue !!! Il y a la valeur "@" qui est dans la BdR et qui est interprétée différemment selon la langue !

    Ce fichier (avec ses 2 lignes utiles) :
    - crée, si nécessaire, les sous clés "openas" et "command"
    - crée la valeur "(par défaut)" et lui attache la valeur indiquée

    Règles :
    - pour créer une sous-clé, ajouter une ligne indiquant l'arborescence complète : il y aura création de chacune des sous-clés nécessaires (si les sous-clés existent, il n'y aura rien de spécial à leur sujet)
    - on ne modifie (on ne renomme) pas une sous-clé (on crée la nouvelle et on supprime l'ancienne)
    - pour supprimer une sous-clé, on insère le signe "-" comme ceci :
    [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
    (suppression de la sous-clé Domains, de ses sous-clés et de ses valeurs sans toucher aux sous-clés mères)
    Le fichier
      REGEDIT4

    [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

    supprime la sous clé Domains, ses sous-clés et ses valeurs et recrée la sous-clé c'est dire que cet enchaînement vide les contenu de ses valeurs !

    Pour toucher à une valeur et/ou une donnée, on doit bien sûr, indiquer la clé d'abord
    - pour créer une valeur, ajouter une ligne valeur, son type et sa donnée
    - on ne renomme pas une valeur (on supprime l'ancienne et on crée la nouvelle)
    - pour modifier une donnée attachée à une valeur, on indique la nouvelle donnée
    - pour supprimer une valeur, on insère le signe "-" comme ceci :
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
    "SearchAssistant"=-
    Le nom de la valeur, les signes "=-" (égal moins)
    - la suppression de toutes les valeurs d'une sous-clé a été vue plus haut.

    Le fichier
      Windows Registry Editor Version 5.00

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

    supprime les 5 clés mises en place par WinIK et leurs sous-clés (la liste avait indiqué tout un tas de sous-clés qu'il était inutile d'insérer dans le fichier REG http://forum.zebulon.fr/index.php?act=ST&f...=0#entry543056) !



     Autres recherches dans la BdR
    Plus haut dans ce chapitre, nous avons vu 2 modes de recherches :
    - déroulement de la hiérarchie, manuellement - ceci sert si vous connaissez le chemin de l'élément recherché mais pas top si vous voulez effectuer plusieurs recherches
    - fonction Recherche de RegEdit - ceci est pratique si vous connaissez un mot clé mais pas idéal si le critère de recherche est trop court (résultats inadéquats), si vous recherchez dans de nombreuses clés ou si vous faites faire cette recherche sur un forum !

    D'autres outils sont souhaitables, surtout sur un forum, de manière à obtenir le résultat complet en peu de manipulations de la part d'un novice :
    - fichier texte contenant toutes les branches correspondant à un critère de recherche
    - fichier texte contenant toutes les sous-clés attachées au critère de recherche

    -1- RegSrch de Bill James
    Recherche à partir d'un mot-clé, de toutes les clés/valeurs dans lesquelles il est présent. Un fichier VBS de 3.254 octets ! Simple et net !!!
    Je veux savoir où se cache ce WinIK qui empoisonne le système et est invisible par HijackThis (http://forum.zebulon.fr/index.php?showtopic=71434) :
      Télécharge RegSrch.zip (Registry Search de Bill James) -> http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
    Dézippe le sur le bureau et double-clique sur regsrch.vbs
    (si tu as une protection, enlève la s'il te plaît)
    Dans la boîte de dialogue qui s'ouvre, entre :
    winIK
    Clique sur 'OK'
    Tu recevras un message disant que la recherche est terminée, clique sur 'OK'
    Enregistre le contenu de la fenêtre Wordpad sur le disque pour le mettre dans ton prochain post.
    et voici le résultat :
      REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "winik" 28/07/2005 20:28:06

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]
    "Service"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]
    "DeviceDesc"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]
    "ActiveService"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]
    "DisplayName"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum]
    "0"="Root\\LEGACY_WINIK\\0000"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
    "Service"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
    "DeviceDesc"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]
    "DisplayName"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
    "Service"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
    "DeviceDesc"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]
    "ActiveService"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]
    "DisplayName"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]
    "0"="Root\\LEGACY_WINIK\\0000"

    [HKEY_USERS\S-1-5-21-3634374741-3681855003-3820325642-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
    "h"="C:\\WINDOWS\\system32\\drivers\\winik.sys"

    [HKEY_USERS\S-1-5-21-3634374741-3681855003-3820325642-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]
    "a"="C:\\WINDOWS\\system32\\drivers\\winik.sys"

    ... facile de créer un fichier .reg pour nettoyer tout çà !

    -2- RegSearch de Bobbi Flekman
    Recherche à partir de un à cinq mot-clés, de toutes les clés/valeurs dans lesquelles ils sont présents.
    Je n'ai que quelques pistes disparates : un nom de malware swizzor, des noms de fichier StaF.exe, Sta9.exe, Sta12.exe (des noms plus longs auraient été recherchés différemment)... Je veux trouver tout ce qui pourrait traîner dans la BdR et démolir tout çà (http://forum.zebulon.fr/index.php?showtopic=71474) :
      Télécharge RegSearch.exe (Registry Search de mon ami Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip
    - dézippe dans un répertoire dédié tel que C:\Program Files
    - double clique sur RegSearch.exe
    - copie colle swizzor dans la première ligne de la zone de recherche
    - copie colle STAF.exe dans la deuxième ligne de la zone de recherche
    - copie colle STA9.exe dans la troisième ligne de la zone de recherche
    - copie colle STA12.exe dans la quatrième ligne de la zone de recherche
    - clique sur OK
    - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées
    - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
    - copie-colle le contenu de la fenêtre dans un post, ici
    - ferme le bloc-notes
    - ferme RegSearch par Cancel
    ... résultat, pas de çà chez moi mais chez punkie93250, je ne sais pas encore !
      REGEDIT4

    ; Registry Search by Bobbi Flekman
    ; Version: 1.0.1.4

    ; Results at 29/07/2005 21:19:17 for strings:
    ; 'swizzor'
    ; 'staf.exe'
    ; 'sta9.exe'
    ; 'sta12.exe'
    ; Strings excluded from search:
    ; (None)
    ; Search in:
    ; Registry Keys Registry Values Registry Data
    ; HKEY_LOCAL_MACHINE HKEY_USERS


    ; End Of The Log...
    Je veux savoir ce qui n'a pas été supprimé lors de la désinstallation de Norton AntiVirus... si tant est que ces éradications sont ardues ! Hop, un coup de Registry Search avec Symantec et Norton comme clés de recherche !
    etc.

    -3- RegSeeker de Thibaud Djian
    Un moyen facile de trouver une information dans la base de registres est d'utiliser RegSeeker de Thibaud Djian -> http://www.hoverdesk.net/freeware.htm
    Cliquer sur Rechercher... / entrer l'élément dans la zone / cliquer sur "Chercher"
    Facile aussi de supprimer ou autres.

    -4- RegQuery, standard Windows
    RegQuery utilise la commande REG et l'opérateur QUERY de la console Windows.
    Recherche de tout ce qui est attaché à une clé déterminée.
      Outil de Registre de la console pour Windows - version 3.0
    Copyright © Microsoft Corp. 1981-2001. Tous droits réservés

    REG Opération [liste_paramètres]
    Opération [ QUERY | ADD | DELETE | COPY |
    SAVE | LOAD | UNLOAD | RESTORE |
    COMPARE | EXPORT | IMPORT ]

    Code de retour : (à l'exception de REG COMPARE)
    0 - Réussite
    1 - Échec

    Pour obtenir de l'aide sur un type d'opération spécifique :
    REG Opération /?

    REG QUERY Nom_de_clé [/v Nom_de_valeur | /ve] [/s]

    Nom_de_clé [\\Machine\]Clé_complète
    Nom_d'ordinateur Nom de l'ordinateur distant - si ce paramètre est omis, l'ordinateur actif est pris par défaut
    Seuls HKLM et HKU sont disponibles sur les ordinateurs distants
    Clé_complète au format ROOTKEY\Sous-clé
    ROOTKEY [ HKLM | HKCU | HKCR | HKU | HKCC ]
    Sous-clé Nom complet d'une clé de Registre sous la clé racine (ROOTKEY) sélectionnée
    /v Interroge une clé de Registre spécifique
    Nom_de_valeur - Nom, sous la clé sélectionnée, à interroger
    si ce paramètre est omis, toutes les valeurs sous la clé sont interrogées
    /ve interroger la valeur par défaut ou le nom de valeur vide
    /s interroge toutes les sous-clés et valeurs

    Exemples :
    REG QUERY HKLM\Software\Microsoft\ResKit /v Version
    Affiche la valeur de la valeur de Registre Version

    REG QUERY HKLM\Software\Microsoft\ResKit\NT\Setup /s
    Affiche toutes les sous-clés et valeurs sous la clé de Registre Setup
    Je veux connaître ce qui se trouve dans Winlogon\Notify, endroit où se cachent des malwares particulièrement coriaces, je constitue le fichier personnalisé RegQuery.bat, je zippe et j'uploade :
      reg query
    "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify" >RegQuery.txt
    notepad RegQuery.txt
    Bien sûr, je peux enchaîner plusieurs recherches dans le même fichier (en prenant garde de ne pas écraser RegQuery.txt) !

    -5- RegKey, standard Windows
    RegKey utilise la commande Dos RegEdit et l'opérateur /e.
      Regedit [options] [filename] [regpath]
    - [filename] (nom du fichier .reg)
    - option /e [filename] [regpath] (exporte registre dans filename à partir de regpath)
    eg regedit /e file.reg HKEY_USERS\.DEFAULT
    Recherche de tout ce qui est attaché à une clé déterminée.

    -51- je veux connaître ce qui se trouve dans Winlogon\Notify, endroit où se cachent des malwares particulièrement coriaces, je constitue le fichier personnalisé RegKey.bat, je zippe et j'uploade :
      RegEdit /e RegKey.txt
    "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify"
    Notepad RegKey.txt

    -52- une variante : Je veux vérifier les restrictions :
      - Démarer / Exécuter / copie-colle la ligne suivante

    regedit /e C:\RegKey.txt "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer"

    - clique sur OK
    - double-clique sur C:\RegKey.txt et poste le contenu.

    -53- variante : Bien sûr, je peux enchaîner plusieurs recherches dans le même fichier (en prenant garde d'utiliser un fichier intermédiaire) !
      (création du fichier .bat)
    - ouvrir le bloc-notes et copier-coller les lignes ci-dessous -sans les tirets-
    -----
    regedit /e C:\RegKey.txt "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main"
    regedit /e C:\RegKey2.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main"
    copy C:\RegKey.txt+C:\RegKey2.txt C:\RegKey.txt
    Del C:\RegKey2.txt
    Notepad C:\RegKey.txt
    ----- (5 lignes)
    - Fichier / Enregistrer sous
    --- Enregistrer dans : Bureau
    --- Nom du fichier : RegFix-gM.bat
    --- Type : tous les fichiers
    --- cliquer sur Enregistrer
    - quitter Notepad

    (utilisation du fichier)
    - double-cliquer sur le fichier RegFix-gM.bat (Bureau)
    - poster le contenu du fichier C:\RegKey.txt
    - supprimer le fichier C:\RegKey.txt

    -6- Go to reg key de flrman1
    Ouverture de RegEdit sur une clé de registre spécifiée. Un fichier VBS de 697 octets ! Simple et net !!!
    Je veux voir le contenu de la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run :
      Télécharge go to reg key.zip de flrman1 -> http://forums.techguy.org/t342633.html
    Dézippe le sur le bureau et double-clique sur go to reg key.vbs
    (si tu as une protection, enlève la s'il te plaît)
    Dans la boîte de dialogue qui s'ouvre, copie-colle :
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    Clique sur 'OK'
    RegEdit s'ouvre exactement sur la clé recherchée ! EasyPeasy pour un novice, non ?

    -7- Open RegEdit de EasyDesk Software
    Open RegEdit est un outil qui permet un accès plus commode à la base de registres
      -> http://www.easydesksoftware.com/openreg.htm
    - transcription des valeurs binaires (numérique ou chaîne)
    - ouverture sur la clé recherchée
    --- Ctrl-Alt-A pour accéder à "Poste de travail"
    --- Ctrl-Alt-Z pour accéder à la dernière clé visitée
    --- Ctrl-Alt-X pour accéder à une clé recherchée
    - favoris
    - mémorisation jusqu'à 15 clés visitées.

    -8- Outils divers
      -> Vilma Software Registry Explorer - vsft.com   Zeb   (Zeb -patch Fr) : un outil de remplacement de RegEdit.
    -> RegLite.exe (tutorial).
    -> RegAlyzer de Patrick Kolla : Outil pour rechercher et modifier la base de registres ; amélioration de la recherche, marque-pages, saut à clé recherchée par ligne de commande, saut à clé recherchée par entrée dans une boîte de dialogue, affichage DWORD, support de KWord, etc.
    -> PageDefrag de Mark Russinovich : Défragmentation des fichiers ouverts en mode exclusif (fichiers de pagination, ruches de la base de registres).
    -> RegCompact.NET (OpenSource GPL) : Défragmentation de la base de registres.



     Fichiers .INF et .VBS
    Nous avons manipulé des fichiers .REG pour mettre à jour la base de registres.
    Il existe d'autres fichiers utilisés pour ce faire :

    - des fichiers .INF très compacts : voici l'exemple du fichier FixSwen.inf de NAI de réparation des dégâts commis par le malware Swen et ses descendants (celui qui démolit les associations .EXE .COM .BAT .REG etc) avec .REG non utilisable !!!
      [Version]
    Signature="$CHICAGO$"

    [DefaultInstall]
    AddReg=FixSwen
    DelReg=EnableRegTools

    [FixSwen]
    HKCR, "batfile\shell\open\command",,0,"""%1"" %*"
    HKCR, "comfile\shell\open\command",,0,"""%1"" %*"
    HKCR, "exefile\shell\open\command",,0,"""%1"" %*"
    HKCR, "piffile\shell\open\command",,0,"""%1"" %*"
    HKCR, "regfile\shell\open\command",,0,"regedit.exe "%1""
    HKCR, "scrfile\shell\open\command",,0,"""%1"" %*"
    HKCR, "scrfile\shell\config\command",,0,"""%1"" %*"

    [EnableRegTools]
    HKCU, "software\microsoft\windows\currentversion\policies\system","DisableRegistryTools"

    - des fichiers .VBS : il s'agit en fait d'un vrai langage de programmation, abordable pour ceux qui ont touché à la programmation.
    Voici le contenu de restorereg.vbs de Jean-Claude Bellamy :
      ' ----------------------------------------------------------
    ' Script de restauration des valeurs par défaut des clefs
    ' de la BDR modifiées par le virus Svenn
    '
    ' JC BELLAMY © 2003
    ' ----------------------------------------------------------
    Set shell = WScript.CreateObject("WScript.Shell")
    FileType = array( _
    "exefile", _
    "regfile", _
    "scrfile", _
    "scrfile", _
    "piffile", _
    "batfile", _
    "comfile")
    Command= array( _
    """%1"" %*", _
    "regedit.exe ""%1""", _
    """%1"" /S", _
    "%1", _
    """%1"" %*", _
    """%1"" %*", _
    """%1"" %*")
    Subkey= array( _
    "open", _
    "open", _
    "open", _
    "config", _
    "open", _
    "open", _
    "open")
    Ntype=Ubound(FileType)
    wscript.echo "Restauration des valeurs par défaut des " _
    & Ntype+1 & " clefs suivantes de la BDR : "
    For i = 0 To NType
    Key="HKCR\" & Filetype(i) & "\shell\" _
    & Subkey(i) & "\command\"
    wscript.echo Key & " -> " & Command(i)
    shell.RegWrite Key, Command(i),"REG_SZ"
    Next
    wscript.echo
    On error resume next
    Key="HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
    shell.RegDelete Key
    If err.number=0 Then wscript.echo "Rétablissement d'utilisation de REGEDIT et REGDT32"
    err.clear
    Key="HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
    shell.RegDelete Key
    If err.number=0 Then wscript.echo "Rétablissement d'utilisation du gestionnaire de tâches"
    Wscript.quit



     Fichiers de restauration de parties de la BdR
    Les spécialistes ont décortiqué la base de registres pour en extraire les clés par grandes fonctions Windows et ont créé des fichiers permettant de les rétablir en cas de dysfonctionnement.
    Exemples :
    - DelDomains.inf de Mike Burgess (http://www.mvps.org/winhelp2002/DelDomains.inf)
    - RestoreReg.vbs de Jean-Claude Bellamy (http://www.bellamyjc.net/download/vbs/restorereg.vbs)
    - VirusBdrRepair.vbs de Jean-Marc Fayet (http://snooky730.free.fr/VirusBdRRepair.vbs)
    - IEfix.reg (http://www.spywareinfoforum.info/downloads/tools/IEFIX.reg)

    Ces fichiers sont innombrables et voici quelques mines :
    - Doug Knox -> http://www.dougknox.com/security/
    - Jean-Claude Bellamy -> http://www.bellamyjc.net/vbscripts.html
    - Jean-Marc Fayet -> http://perso.wanadoo.fr/doc.jm/
    - Bill James -> http://www.billsway.com/vbspage/
    - Kelly Theriot -> http://www.kellys-korner-xp.com/xp_tweaks.htm



     Clés de registre névralgiques
    Les pirates sont sans cesse à la recherche de nouvelles clés pour placer leurs menaces.
    On trouve ces emplacements dans HijackThis et ses équivalents :
    -> HijackThis (Merijn)
    -> Silent Runners (Andrew Aronoff)
    -> StartDreck -niksoft (nick) ou StartDreck -greyknight17
    -> WinMaid
    -> X-RayPc
    -> SpyHolesList

    On les trouve aussi dans d'autres pages :
    -> AutoRuns (Mark Russinovich & Bryce Coqswell)
    -> BleepingComputers
    -> PestPatrol
    -> SilentRunners -launch points (Andrew Aronoff)
    -> Lacave
    -> Assiste.com

    -> Outils de Pros (ma page Web dans laquelle il y a tout un tas de liens vers de tels outils)

    ou ailleurs !!!??? à débusquer !




     Exemple illustré de nettoyage de la BdR
    (http://forum.zebulon.fr/index.php?showtopic=71434&st=0)
    Jubey a des dysfonctionnements dans son système et a pu repérer le fautif : winIK.sys !

    Le pré-nettoyage en mode sans échec (suppr. fichiers Temp, AntiVir) suivi de l'analyse du rapport HijackThis ne résolvent pas le problème malgré l'élimination, entre autres, de CommonName.

    Retour aux fondamentaux (comme dit l'entraîneur de tennis de mon fils) :
    - recherche et élimination de winIK dans la base de registres
    - recherche et élimination de winIK et (dossier apparenté) sur le disque

    Recherche de winIK dans la base de registres
      Télécharge RegSrch.zip de Bill James -> http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
    Dézippe sur le bureau et double-clique sur regsrch.vbs
    (si tu as une protection, enlève la s'il te plaît)
    Dans la boîte de dialogue qui s'ouvre, entre :
    winIK
    Clique sur 'OK'
    Tu recevras un message disant que la recherche est terminée, clique sur 'OK'
    Enregistre le contenu de la fenêtre Wordpad sur le disque pour le mettre dans ton prochain post.

    Résultat de la recherche
      REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "winik" 28/07/2005 20:28:06

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]
    "Service"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]
    "DeviceDesc"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]
    "ActiveService"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]
    "DisplayName"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum]
    "0"="Root\\LEGACY_WINIK\\0000"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
    "Service"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
    "DeviceDesc"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]
    "DisplayName"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
    "Service"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
    "DeviceDesc"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]
    "ActiveService"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]
    "DisplayName"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]
    "0"="Root\\LEGACY_WINIK\\0000"

    [HKEY_USERS\S-1-5-21-3634374741-3681855003-3820325642-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
    "h"="C:\\WINDOWS\\system32\\drivers\\winik.sys"

    [HKEY_USERS\S-1-5-21-3634374741-3681855003-3820325642-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]
    "a"="C:\\WINDOWS\\system32\\drivers\\winik.sys"

    Création du fichier .REG de nettoyage de la BdR
    Remarques préliminaires :
    - la suppression d'une clé se fait par une ligne sur le modèle de
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]
    (signe "-" (moins) après le crochet ouvrant)
    - la suppression d'une clé correspond à la suppression des sous-clés et valeurs associées
    Il est donc inutile de s'occuper de ce qui est à l'intérieur de
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK
    Ainsi, les lignes suivantes seront supprimées en même temps:
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]
    "Service"="WinIK"
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]
    "DeviceDesc"="WinIK"
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]
    "ActiveService"="WinIK"

    D'où le post de création et d'utilisation du fichier .REG :
      (création du fichier .reg)
    - ouvrir le bloc-notes et copier-coller les lignes ci-dessous -sans les tirets-
    -----
    Windows Registry Editor Version 5.00

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

    [HKEY_USERS\S-1-5-21-3634374741-3681855003-3820325642-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
    "h"=-

    [HKEY_USERS\S-1-5-21-3634374741-3681855003-3820325642-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]
    "a"=-

    ----- (20 lignes)
    - Fichier / Enregistrer sous
    --- Enregistrer dans : Bureau
    --- Nom du fichier : RegFix-gM.reg
    --- Type : tous les fichiers
    --- cliquer sur Enregistrer
    - quitter Notepad
    -
    (utilisation du fichier)
    - double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée.

    J'espère que ce dernier exemple a permis de bien illustrer la démarche.

    Retour / Back   Top of page