Pourquoi et à quelle fréquence entretenir Windows ?

Lorsque vous utilisez votre ordinateur, celui-ci remplit des «logs» (ce sont des journaux sur lesquels sont notés les évènements comme vos actions, les services et programmes que vous utilisez, etc.) et télécharge une foultitude de fichiers qui, la plupart du temps, ne serviront qu'une seule fois mais dont l'effacement n'a pas été prévu. Windows fonctionne un peu comme une porcherie : un silo (Internet) alimente en permanence des cochons (les programmes) à ceci près que le lisier n'est jamais ramassé... Nous allons donc, quotidiennement comme le ferait un éleveur consciencieux, nettoyer nos déchets du jour avant d'éteindre l'ordinateur à l'aide d'un grand classique dans les freewares que l'on ne présente plus : Piriform CCleaner
Ce nettoyage aura une triple utilité : d'abord, nous allons gagner de la place. Ensuite, les points d'entrée des virus et autres malwares se situant bien souvent dans les fichiers temporaires, nous allons réduire les risques de contamination. Enfin, en supprimant nos traces, nous protègerons notre vie privée aussi bien vis à vis des autres utilisateurs de l'ordinateur que des logiciels publicitaires.
De temps en temps, utilisez aussi le nettoyeur de registre de CCleaner (toutes familles de clefs cochées). Celui-ci n'est pas invasif : son emploi est très sûr et seules les clefs vraiment obsolètes seront supprimées.
Généralement, on nettoie le registre après une installation ou une désinstallation de logiciel, après une grosse mise à jour, après une désinfection de virus ou de malwares divers et de préférence, juste après un effacement des fichiers temporaires.

Coin des Geeks : vous pouvez cocher sans problème toutes les options d'effacement pour Windows SAUF
«Mots de passe réseaux» - A moins que l'un d'entre eux ait changé ou que vous souhaitiez faire le ménage dans cette zone, c'est une option qui risque d'être plus gênante qu'utile.
«Variable d'environnement "Path"» - Mêmes remarques que précédemment, je ne recommande pas cette option.
«Nettoyer l'espace libre» - Cette option n'est à utiliser que dans des circonstances bien précises, par exemple à la fin d'une décontamination virale, en raison du temps nécessaire à son exécution.
- Dans les options Paramètres, cochez «Effacement sécurisé» et choisissez «3 passages». Ainsi, les éventuels fichiers dangereux seront réellement détruits et les virus capables d'accéder à une adresse physique du disque par le segment et l'offset seront neutralisés.
- Dans les options inclure, browsez jusqu'au dossier
C:\Windows\Downloaded Program Files\
et choisissez «Inclure les fichiers et sous-dossiers» - Idem pour les dossiers :
C:\Windows\Downloaded Installations\ (Windows 7 seulement)
C:\Windows\SoftwareDistribution\Download\
puis, pour chaque utilisateur, Idem pour les dossiers
C:\Users\xxxxxx\AppData\Local\VirtualStore\
C:\Users\xxxxxx\AppData\LocalLow\Sun\Java\Deployment\cache\
C:\Users\xxxxxx\AppData\LocalLow\Sun\Java\Deployment\SystemCache\
Explication : les dossiers download ou downloaded contiennent des données redondantes, donc inutiles. En cas de besoin, Windows téléchargera à nouveau ces programmes et activeX et ainsi, vous en obtiendrez la dernière version. VirtualStore est un dossier destiné à assurer la compatibilité de Vista et + avec des versions plus anciennes de Windows. Rien de ce qui est écrit dans ce dossier n'est exploité ni même exploitable par le système ni par les applications. Quand aux caches de Java, non seulement ils sont inutiles (ce sont surtout des extensions de fichiers présents dans les dossiers temporaires d'Internet Explorer) mais en plus, il s'agit de véritables nids à virus, malwares divers, toolbars indésirables, pop-up, etc. que CCleaner ne nettoie que partiellement par défaut.
- Dans les options Avancé, cochez uniquement la ligne «Montrer les détails dans les résultats du nettoyeur» pour suivre le travail de CCleaner. Vous pourrez ainsi repérer les fichiers temporaires inhabituels ou d'autres anomalies indiquant la présence d'un adware, par exemple.

Notes importantes :
- Les options pour les Geeks sont fournies à titre indicatif. Je les ai testées sans avoir de problème mais je décline toute responsabilité s'il n'en est pas de même pour vous. Si vous n'êtes pas familiarisé avec le fonctionnement du système d'exploitations et des programmes, ne modifiez les options par défaut des utilitaires et n'appliquez les solutions proposées aux Geeks que si vous êtes certain de bien comprendre la portée de chacun de vos choix.
- Les logiciels et utilitaires que je propose dans cette page sont en principe des versions gratuites mais rien ne vous empêche, lorsque vous en êtes satisfait, d'acheter les versions payantes si elles existent ou de faire un don à leurs auteurs.
- Les systèmes d'exploitation et les utilitaires évoluent vite : ce qui est vrai aujourd'hui ne le sera pas forcément demain et «lycée de Versailles» comme disait le regretté Coluche. Autant que possible, je mettrai cette page à jour régulièrement.
Dernière MAJ le 13/02/2012


Les fichiers Index.dat

Microsoft a pris une foutue mauvaise habitude : celle de stocker les URL visités dans des fichiers Index.dat qui se reproduisent comme des lapins, un peu partout sur l'ordinateur et à l'insu des utilisateurs. A quoi servent ces fichiers espions ? Mystère. Mais toujours pas à quelque chose d'utile pour nous.
Si on les détruit simplement, on s'expose à toutes sortes de problèmes... La solution consiste donc à les écraser ligne par ligne ou à confier ce travail à un excellent utilitaire gratuit produit par Systenance Software : Index.dat Analyzer qui est d'une simplicité enfantine à utiliser.
Une fois la liste des Index.dat établie, donc après la première utilisation, il suffit de cliquer sur le bouton «Auto Erase». De temps en temps, on pourra aussi utiliser le bouton «Quick rescan» juste à côté pour rafraîchir la liste : en cas de blocage d'un virus en ligne dans la journée, par exemple. Vous pouvez aussi vous protéger d'un grand nombre d'URL malveillantes en installant l'une des trois versions de filtre par fichier hosts que je propose.
Personnellement, j'utilise Index.dat Analyzer chaque soir juste avant de lancer CCleaner, pour marquer ainsi la fin d'une dure journée de labeur
Notez que Index.dat Analyzer fonctionne parfaitement avec Windows 7 bien que ce système ne soit pas cité par Systenance Software dans les OS supportés.





Cas d'une opération «sensible» : lorsque vous vous connectez à votre banque ou que vous effectuez des achats en ligne, une bonne précaution consiste à faire un nettoyage «de fin de journée» suivi d'un redémarrage juste avant pour travailler avec une machine propre, puis à recommencer après pour éliminer toute trace de vos opérations sensibles avant de reprendre le cours de vos activités normales.
Dans 99% des cas ou davantage, cette précaution supplémentaire ne servira à rien mais rappelez-vous bien que le doublement, le triplement ou plus des mesures de protection est un principe de base de la sécurité : il s'agit de ce que j'appelle la «théorie des murs à trous».
Une protection, quelle qu'elle soit, est imparfaite : on peut donc la représenter sous la forme d'un mur qui comporte des trous. En dressant plusieurs murs à trous entre la zone à protéger et l'extérieur, on multiplie les chances d'intercepter une attaque que l'on figurera par une flèche. En effet, lorsque les murs sont de conception différente, les trous ne sont pas situés aux mêmes niveaux.
En partant de ce principe, si une flèche parvient à traverser un premier mur, elle sera presque à coup sûr arrêtée par le deuxième mais si, par extraordinaire, ce n'est pas le cas, combien restera-t-il de chance pour que le troisième soit traversé à son tour ?
C'est à partir de ce principe que je développe des sites Internet sur mesure hautement sécurisés avec 4, 5 étages de protection ou plus...

Cas d'une attaque virale : en règle générale, la contamination intervient pendant une navigation sur Internet et il est difficile d'évaluer la gravité de l'attaque sur le moment mais on peut voir les choses de la façon suivante :
Cas numéro 1) - Après nettoyage du virus ou du malware, le module de protection en temps réel signale que l'incident est clos ou que le virus est détruit : l'attaque est bénigne et il n'y a rien de plus à faire que penser à rafraîchir la liste des Index.dat avant de lancer Index.dat Analyzer ainsi que prévoir un nettoyage du registre avec CCleaner après celui des fichiers inutiles, le tout au moment de la coupure du jour.
Cas numéro 2) - L'antivirus signale qu'il a besoin de redémarrer l'ordinateur pour terminer le travail : l'attaque est beaucoup plus sérieuse car ce message indique que des objets se sont installés avec des privilèges tels que leur effacement par des moyens «normaux» est impossible. Dans ce cas, je recommande de fermer tous les programmes en cours et d'accepter le redémarrage immédiat. Ensuite, une fois ce redémarrage effectué, coupez Internet si possible et effectuez une fermeture comme celle décrite dans le cas numéro 1 puis redémarrez à nouveau. Ensuite, mettez à jour votre antimalware secondaire (par exemple Malwarebytes' Anti-Malware que je recommande) et lancez un scan rapide puis faites la même chose avec votre antivirus principal : forcez la mise à jour même si elle est automatique et faites un scan rapide. Au cas où, durant ces opérations, des objets seraient repérés par l'un de vos deux antivirus, refaites un scan, complet cette fois, juste après la réparation et recommencez autant de fois que nécessaire jusqu'à obtenir un résultat négatif.
Au pire, si vous ne vous en sortez toujours pas après tout ça, ouvrez un sujet ici ou sur votre forum technique favori.

Note :
- Pour des raisons pratiques, je ne fais aucune désinfection en ligne. Une telle mission ne peut être valablement assurée que par une équipe partageant le même savoir-faire avec des outils identiques : sur le forum Virus et désinfection de Vista-XP.fr que je recommande, il y a actuellement une équipe de 11 Helpers agréés pour toutes les versions de Windows, ce qui vous permettra d'être rapidement pris en charge en cas de besoin.


Installation et désinstallation de logiciels

Avant d'installer un logiciel quel qu'il soit, créez un point de retauration manuel : «Démarrer», clic droit sur «Ordinateur», choisir «Propriétés» et «Protection du système». Entrez un libellé explicite du genre «Avant install de TrucAToutFaire Pro». De cette façon, vous pourrez revenir à l'état initial au lieu de désinstaller, ce qui ne revient pas au même : il existe en effet des pourriciels impossibles à désinstaller et dans certains cas, un reformattage deviendra indispensable en l'absence de point de restauration.
En règle générale, on doit bien réfléchir avant d'installer un produit que l'on ne connaît pas : vous ne laissez pas des inconnus entrer chez vous comme ça, je suppose ? Alors, ayez la sagesse de faire de même avec votre ordinateur et suivez les règles suivantes avant de télécharger un logiciel :
- Faites une enquête de notoriété avec votre moteur de recherche pour éviter ceci (cet exemple est pris au hasard parmi des tas sur la Toile)
- Méfiez-vous des centres de téléchargement et des forums techniques, même des plus réputés : on y trouve des rogues, des faux freewares, des softs bricolés contenant des adwares, des versions périmées et même des virus
- Recherchez le site authentique de l'auteur ou de l'éditeur et si vous ne le trouvez pas, renoncez
- Vérifiez les pré-requis matériels ainsi que la compatibilité avec votre version de Windows sur le site authentique
- Seuls les sites de téléchargement «en miroir» proposés par l'auteur peuvent être utilisés sans risques
- Si en cours d'installation un autre soft (toolbar, etc.) vous est proposé, refusez sauf réelle complémentarité, comme des Codecs avec un lecteur audio/video.

Si vous devez désinstaller un logiciel en place depuis longtemps, donc avant lequel il n'existe plus de point de restauration, utilisez de préférence Revo Uninstaller
Choisissez la version freeware et dans le menu désinstallation, le mode avancé qui permet de virer pas mal d'objets liés devenus inutiles (dossiers et clés de registres) en toute sécurité.
Je vous recommande de profiter de la mise en service de cet excellent désinstallateur pour vérifier un par un les logiciels installés et pour virer ceux que vous n'utilisez jamais, par exemple les versions limitées de produits que vous n'avez pas commandés mais qui ont été livrés avec votre ordinateur.

Coin des Geeks : Pour désinstaller un logiciel qui n'apparaît pas ou plus dans la liste des produits installés ou pour lequel il n'existe pas de module uninst.exe, comme par exemple la préinstallation envahissante de Symantec (Norton AntiVirus, etc.), entrez son nom dans le module de recherche d'Explorer à la racine du disque (option afficher les fichiers cachés activée). Après avoir créé un point de restauration, détruisez tous les dossiers trouvés dans Programmes, ProgramData, Users (AppData) ou même ailleurs (à la racine du disque, dans les documents des utilisateurs, etc.)
Redémarrez votre ordinateur et utilisez le nettoyeur de registre de CCleaner, ce qui aura pour effet de détruire le plus gros des clefs relatives à ce logiciel. Si cela ne suffit pas, vous pourrez ensuite paufiner le travail en utilisant le module de recherche de RegEdit afin de détruire manuellement les clés : attention quand même, ce travail peut être fastidieux et la moindre erreur se traduira par une restauration obligatoire...
Il est possible d'utiliser à la place de RegEdit un nettoyeur de registre plus décapant que CCleaner comme Registry Mechanic (cher pour ce que c'est, en plus il s'agit d'un faux shareware totalement inopérant avant le payement de la licence) ou dans les freewares, Glary Utilities qui est apparemment sans danger bien que je déconseille formellement d'utiliser certaines commandes comme la suppression dans les détecteurs de doublons et de dossiers vides.

Toujours dans les gratuits, Free Window Registry Repair me rappelle JV16 au temps de Windows 95 : très agressif, il propose la suppression de plusieurs centaines de clés dont certaines sont heureusement protégées. Bien que j'aie joué le jeu en effectuant plusieurs passes de suite en effaçant tout sans décocher la moindre clé, jusqu'ici, je n'ai relevé aucun incident majeur mais soyez très prudent avec ce logiciel.
De façon plus générale, je ne recommande pas l'emploi de ce genre d'utilitaires sauf cas particulier comme des disfonctionnements consécutifs à une désinstallation. L'argument selon lequel un registre «propre» permettrait d'accélérer Windows est une légende entretenue par des escrocs qui y trouvent leur intérêt.


Nettoyage des Services Pack

C'est notoire, Microsoft distribue des systèmes d'exploitation bâclés comportant N versions du même module, au point que lorsque Windows 2000 a remplacé Windows 98, j'ai crû que ce chiffre représentait le nombre de bogues.
En réalité je me trompais, il y en a beaucoup plus
De temps en temps, pour remettre un peu d'ordre Microsoft sort un «service pack» en se désintéressant, comme d'habitude, du foutoir qui résultera de son installation et qui se traduira par des gigots de lisier (pardon : des giga octets de déchets).
Donc, sous vista, après installation du SP1, la solution consiste à lancer un programme de nettoyage. «Démarrer», «Tous les programmes», «Accessoires», clic droit sur «Invite de commandes», Exécuter en tant qu'administrateur et en ligne de commande, lancer Vsp1cln.exe
Après installation du SP2, même manip mais cette fois, le programme s'appelle Compcln.exe
Sous Windows 7 les choses sont plus simples : il suffit d'utiliser le module «Nettoyer les fichiers système» accessible dans «Nettoyage de disque» pour libérer de la place mais il existe aussi une commande à lancer à partir de l'invite : dism /online /cleanup-image /spsuperseded
Par précaution, on laissera passer un certain temps entre l'installation d'un Service Pack et le nettoyage des fichiers obsolètes puisque ce nettoyage rendra impossible toute désinstallation de ce pack.

Coin des Geeks : Voici une méthode pour finir le ménage et gagner encore de quelques centaines de mégots (pardon : de MO) à plus d'un GO. Lancez Explorer en mode Administrateur, paramétrez l'affichage pour voir les fichiers système et cachés et ouvrez le dossier C:\Windows\System32\config\TxR\
Marquez tous les fichiers et effacez-les. Ensuite, ouvrez le dossier C:\Windows\System32\SMI\Store\Machine\
Videz le dossier en employant la même méthode et ensuite, redémarrez l'ordinateur.
Si, au cours de l'opération d'effacement, des fichiers sont signalés «ouverts» ou «en cours d'utililisation» n'insistez pas et ignorez-les.


Le fichier d'échange

Le fichier d'échange, en anglais «Swap File», contient des éléments qui devraient se trouver en mémoire vive (RAM) mais qui ne peuvent pas y tenir faute de place. Par défaut, à l'extinction de l'ordinateur, ce fichier n'est pas vidé, ce qui peut être contrariant pour un paranoïaque moyen...
En théorie, mais en théorie seulement, un vilain hacker mal intentionné pourrait lire et exploiter le contenu de ce fichier. En revanche, il est totalement stupide de prétendre que le non effacement de ce fichier peut faire croître sa taille indéfiniment mais ce n'est pas la seule ânerie qui circule dans les forums techniques : en réalité, à chaque démarrage, le contenu obsolète est écrasé par celui de la nouvelle session.
Si vous voulez vraiment que ce fichier soit vidé (ou plutôt rempli de FF en hexadécimal à moins qu'il ne s'agisse de 00) lancez RegEdit, dépliez la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management, faites un clic droit sur ClearPageFileAtShutdown, choisissez Modifier, remplacez la valeur 0 par 1 puis cliquez sur OK pour sauvegarder.

Inconvénient : l'arrêt de l'ordinateur prendra plus de temps qu'avant.
Avantage : ce délai supplémentaire devrait nous convaincre de la justesse de nos inquiétudes, tout le monde sait que Big Brother campe dans nos ordinateurs...


Le volet des favoris et les sites suggérés

Dans Internet Explorer 9, lorsque vous dépliez vos favoris, vous avez sans doute remarqué la présence d'un dossier que vous n'avez pas créé et dont il est impossible de se débarrasser : si vous l'effacez, il se régénère automatiquement. Ce dossier, nommé Volet des favoris dans la version française de Windows, contient des liens vers des «partenaires commerciaux» de la boite à Billou.

Pour se débarrasser de cette cochonnerie de façon efficace, il faut utiliser la propriété Policies de Windows qui permet, utilisateur par utilisateur, d'imposer ou interdire des fonctionnalités.
Pour commencer, il faudra interdire la fonction Sites suggérés qui utilise le volet des favoris. Ensuite nous pourrons interdire celle de ce volet.
Pour y parvenir, il faudra créer de nouvelles clés de registre dans la ruche de chaque utilisateur à «patcher» ce qui n'est pas simple...

J'ai donc créé un fichier bat exécutable et un lisez-moi.txt compressés dans l'archive patch_VDF.zip. Il vous suffira de télécharger le patch puis de décompresser cette archive, de lire attentivement le fichier lisez-moi.txt et de suivre les instructions qu'il contient.

Notez que l'action de ce patch est limitée à l'utilisateur en cours et que vous devrez répéter l'opération sur chaque compte que vous souhaiterez traiter.
Enfin, un fichier Rollback.bat présent dans l'archive vous permettra d'autoriser à nouveau le volet des favoris et les sites suggérés, le cas échéant.





Information Système pour Windows

Connaître la température de chaque «core» du microprocesseur, les derniers évènements système, les services démarrés et bien d'autres choses encore : c'est ce que propose Topala Software Solutions en un seul et même logiciel gratuit : SIW
Indispensable pour établir un diagnostic précis en cas de problème logiciel ou matériel. Dernièrement, en utilisant SIW, j'ai pu voir que les températures internes commençaient à augmenter sur ma machine de développement et que, par conséquent, il était temps de dépoussiérer le système de refroidissement (voir la page Des écrans bleus Windows). J'ai constaté aussi que la capacité réelle de ma batterie, qui me sert surtout d'onduleur, est réduite de 20% par rapport à sa capacité nominale.


Mise à jour de Java

Nous avons vu plus haut que Java peut constituer un risque car, en raison de sa puissance de traitement, ce langage qu'il ne faut pas confondre avec JavaScript, est trop souvent utilisé par les vers de terre de L'Internet afin de propager des virus et autres malwares. Un bon moyen pour se prémunir contre cette menace est de mettre régulièrement Java à jour sans oublier de désinstaller complètement toute trace des anciennes versions installées.
Pour vous aider dans cette tâche, il existe un utilitaire gratuit conçu par RaProducts, très facile à utiliser : JavaRa
Téléchargez le ZIP sur le site et décompressez-le dans un dossier que vous aurez créé à cet effet dans vos documents (ce programme est «portable» donc il ne nécessite pas d'installation). Lancez-le en tant qu'administrateur et choisissez la langue française. Commencez par faire une recherche de mise à jour, choisissez «Via Jucheck.exe» (c'est plus simple). Ensuite, même si vous disposiez déjà de la dernière version de Java, fermez votre navigateur Internet, cliquez sur Effacer les anciennes versions et patientez quelques instants (il n'y a pas d'animation pendant l'exécution du programme). Un écran vous indiquant qu'un journal C:\JavaRa.log a été créé va s'afficher. Je vous recommande d'effacer ensuite ce journal ou de le déplacer dans vos documents et de supprimer totalement JavaRa : il est préférable en effet de télécharger la dernière version disponible avant chaque utilisation.

Plus généralement, je vous recommande de mettre à jour tous vos logiciels régulièrement, en particulier ceux qui, comme Java, sont utilisés avec les navigateurs Internet (Players divers, Office ou Open Office, les produits Adobe, etc.) car régulièrement, les fabricants détectent et corrigent des failles de sécurité.


Le dossier Config.Msi

Lorsque vous affichez la racine de votre disque système avec l'option Afficher les fichiers cachés cochée ainsi que les options Masquer les extensions des fichiers dont le type est connu et Masquer les fichiers protégés du système d'exploitation décochées, un dossier Config.Msi peut apparaître dans la liste. Il s'agit d'un dossier système temporaire créé durant une mise à jour et qui doit normalement être effacé à la fin du processus seulement voilà, les programmeurs de Redmond codent surtout avec leurs pieds...
Si ce dossier est vide, pas de problème, supprimez-le en mode administrateur : cela évitera qu'une mise à jour ultérieure échoue à cause de la présence de ce dossier. Mais s'il n'est pas vide, je vous recommande de vous renseigner auprès de Microsoft France afin de connaître la marche à suivre au cas où il y en aurait une. Vous pouvez aussi rechercher de l'aide sur ce forum qui est probablement la meilleure source francophone d'informations pour Windows.

Coin des Geeks : c'est bien connu, un système «propre» est plus facile à surveiller. Certains dossiers sont envahis de backups inutiles effectués par toutes sortes d'utilitaires directement dans des dossiers où ils ne possèdent pourtant aucune légitimité pour écrire. L'exemple le plus connu est peut-être Registry Mechanic qui utilise les extensions et sous-extensions rrr et rmbak, le plus vicieux étant TuneUp Utilities qui crée une extension avec le mot BAK suivi d'un nombre correspondant probablement à la date, générant du même coup une nouvelle clé de type de fichier et une autre pour l'extension, le tout à chaque backup... Curieux mode de fonctionnement pour un utilitaire qui prétend optimiser le système.
Tout ceci finit par transformer les dossiers concernés en véritables poubelles puisque pas un de ces logiciels ne propose un module de nettoyage de ses propres fichiers périmés... Plutôt que de tenter de dresser la liste de ces fichiers indésirables, il est plus simple de faire celle, dossier par dossier, des fichiers et types de fichiers légitimes sous Vista et Windows 7 :
C:\
autoexec.bat
bootmgr
config.sys
hiberfil.sys
pagefile.sys
- Notez que certains de ces fichiers peuvent ne pas être présents à la racine de votre disque système en fonction de la version de Windows et de la configuration utilisées et que d'autres, appartenant à des logiciels mal ficelés, peuvent être indispensables à leur fonctionnement.
En revanche, dans les dossiers ci-dessous, tout fichier ne correspondant pas au descriptif est un intrus et seule la «casse» peut varier d'une version à l'autre du fichier ou du système.
C:\Boot\
BCD
BCD.LOG
BCD.LOG1
BCD.LOG2
bootstat.dat
memtest.exe
C:\Windows\System32\config\
BCD-Template
BCD-Template.LOG
BCD-Template.LOG1
BCD-Template.LOG2
components
COMPONENTS.LOG
COMPONENTS.LOG1
COMPONENTS.LOG2
COMPONENTS.SAV
defaults
DEFAULTS.LOG
DEFAULTS.LOG1
DEFAULTS.LOG2
DEFAULTS.SAV
sam
SAM.LOG
SAM.LOG1
SAM.LOG2
security
SECURITY.LOG
SECURITY.LOG1
SECURITY.LOG2
SECURITY.SAV
software
SOFTWARE.LOG
SOFTWARE.LOG1
SOFTWARE.LOG2
SOFTWARE.SAV
system
SYSTEM.LOG
SYSTEM.LOG1
SYSTEM.LOG2
SYSTEM.SAV
- On pourra trouver aussi, pour certaines ruches, des fichiers «container» qui se présentent toujours par groupes de 3 et sous la forme suivante (cet exemple concerne la ruche components) :
components{00010203-0405-0607-0809-0a0b0c0d0e0f}.TM.blf
components{00010203-0405-0607-0809-0a0b0c0d0e0f}.TMContainer00000000000000000001.regtrans-ms
components{00010203-0405-0607-0809-0a0b0c0d0e0f}.TMContainer00000000000000000002.regtrans-ms
- Ces fichiers, quand il y en a, correspondent vraisemblablement à des changements de paramètres et le système pourrait les utiliser pour un roolback dans la ou les ruche(s) concernée(s). Je ne recommande pas de les détruire à moins qu'ils ne soient assez anciens pour être devenus totalement inutiles (+ de 3 ou 6 mois, par exemple).
Si des fichiers sont signalés «ouverts» ou «en cours d'utililisation» pendant l'effacement, n'insistez pas et ignorez-les.
C:\Windows\System32\config\systemprofile\
ntuser.dat
ntuser.dat.LOG
ntuser.dat.LOG1
ntuser.dat.LOG2
- Notez que l'on pourra trouver aussi des fichiers «container» dans ce dossier, fichiers que l'on traitera comme précisé ci-dessus.
C:\Utilisateurs\XXXXXX\ (XXXXXX = chaque utilisateur)
ntuser.dat
ntuser.dat.LOG1
ntuser.dat.LOG2
ntuser.ini
- On trouvera sans doute aussi des fichiers «container» qui constituent une annexe à la ruche ntuser.dat (Current User => HKCU) comme décrit plus haut et qu'il vaut mieux conserver sauf peut-être les plus anciens :
ntuser.dat{00010203-0405-0607-0809-0a0b0c0d0e0f}.TM.blf
ntuser.dat{00010203-0405-0607-0809-0a0b0c0d0e0f}.TMContainer00000000000000000001.regtrans-ms
ntuser.dat{00010203-0405-0607-0809-0a0b0c0d0e0f}.TMContainer00000000000000000002.regtrans-ms
- Si vous tenez à effacer tout de même ces fichiers, je vous recommande de le faire «par lots» c'est à dire après une recherche par le numéro de série, dans notre exemple 00010203-0405-0607-0809-0a0b0c0d0e0f ou sur une partie de ce numéro. Cela aura pour effet de détruire aussi les fichiers UsrClass correspondants, présents dans le dossier C:\Utilisateurs\XXXXXX\AppData\Local\Microsoft\Windows\
En principe, la dernière génération de ces fichiers ne s'efface pas, ceux-ci sont signalés «ouverts» ou «en cours d'utililisation» et dans ce cas, n'insistez pas.


L'antivirus et l'antimalware

Finalement, qui peut être mieux placé que Microsoft pour produire un antivirus efficace et performant pour Windows ? En plus, celui qui est proposé par cette firme est gratuit. Je l'ai testé avec Vista et Windows 7 en le poussant dans ses derniers retranchements : pour ramasser une saloperie, j'ai dû cliquer sur un bouton de téléchargement dans une pourriture de page «torrent».
Microsoft Security Essentials est donc largement suffisant, sous Vista comme sous Windows 7, pour se prémunir des virus à condition bien sûr de télécharger et installer automatiquement les mises à jour.
En complément, je préconise de faire un scan de temps en temps avec la version gratuite de Malwarebytes' Anti-Malware : optez pour un examen complet sans oublier de faire une mise à jour juste avant de lancer le scan.
Il y a quelques principes à ne pas oublier à propos des antivirus :
- TOUS les scanners en ligne, sans exception, sont de DANGEREUX ATTRAPE-COUILLONS
- L'antivirus le plus efficace, c'est le bon sens : celui qui va télécharger un «keygen» ou un «crack» sur un «torrent» ou avec «la mule» se fera véroler à tous les coups
- Il ne faut jamais faire tourner plus d'une protection résidente, c'est à dire en temps réel, à la fois
- Comme celui des nettoyeurs de registre, le marché des antivirus est infesté de margoulins et d'incompétents (Ex : McAfee, Uniblue... Voir la page Les crapules de l'Internet)
- Sans mise à jour très récente (moins de 24 heures) un antivirus ne sert strictement à rien
- Après tout téléchargement, on fait un scan du zip ou du rar avec l'antivirus et un autre avec l'antimalware (pour une archive compressée) puis on recommence l'opération après la décompression. C'est simple (clic droit sur l'archive ou sur le dossier) et relativement rapide. Surtout ne faites jamais d'exception, même pas sur les sites linkés ici, même pas sur mon propre serveur : en tant que spécialiste de la sécurité, je suis bien placé pour savoir que personne n'est complètement à l'abri d'un hackage, quelles que soient les précautions prises.

Coin des Geeks : il y a de fortes chances pour que Windows Defender (le prédécesseur de Security Essential) soit présent sur votre ordinateur bien que ce service obsolète soit en principe arrêté par le processus d'installation de Security Essential. Si c'est le cas, si vous êtes perfectionniste et si vous avez une petite heure à perdre, vous pouvez vous en débarrasser.
Tout d'abord, avec SIW (voir le paragraphe «Information Système pour Windows» ci-dessus) cherchez dans Software > Security > AntiSpyware quel est le statut du logiciel. Arrêtez le service si ce statut est actif. Ensuite, suivez la procédure indiquée ci-dessus dans le paragraphe «Installation et désinstallation de logiciels» pour désinstaller un logiciel qui ne possède pas de module Uninst mais vous allez rencontrer pas mal de difficultés : en effet, à peu près tous les objets appartiennent à «TrustedInstaller» ou à «SYSTEM» ce qui signifie que vous devrez vous approprier ces objets avant d'en changer les permissions, clefs du registre comprises, pour enfin les détruire manuellement (emploi de RegEdit indispensable).
Je n'ai pas besoin de rappeler les précautions à prendre avant ce genre de manip : sauvegardes, création d'un point de restauration...
En principe, vous trouverez un dossier à supprimer dans Programmes, un dans Program Files (x86) si vous avez un windows 64 bits, un dans ProgramData et peut-être d'autres aussi dans Users. Mots clefs à utiliser pour la recherche dans le registre : Windows Defender, WindowsDefender (sans espace) et Windefend. Vous pouvez aussi utiliser defend à la place de ces mot-clef mais soyez prudent. En outre, je vous recommande de ne rien supprimer dans les clés suivantes :
HKEY_LOCAL_MACHINE\COMPONENTS\DerivedData\Components\
HKEY_LOCAL_MACHINE\COMPONENTS\DerivedData\VersionedIndex\
HKEY_LOCAL_MACHINE\COMPONENTS\Winners\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\ComponentDetect\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\VersionedIndex\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\
ni dans le «magasin» C:\Windows\winsxs\
Enfin, Windows Defender étant étroitement lié au noyau de Vista et de Windows 7, il continuera à apparaître dans les anti-malwares après sa désinstallation aussi bien dans le panneau de configuration que dans SIW. C'est la raison pour laquelle je vous déconseille de procéder à cette désinstallation que je présente ici uniquement parce que plusieurs visiteurs m'ont demandé de mettre au point une méthode fiable pour le faire.


Utilisation des «goodies» de Windows

Nous avons vu plus haut que le module de nettoyage de disque nous permet de gagner de la place, au moins avec Windows 7. Il existe dans l'onglet «Autres options» de ce module une commande fort utile : celle du nettoyage des anciens points de restauration. Si votre ordinateur est bien stable, il n'est peut-être pas très opportun de conserver des dizaines de points de restauration presque identiques. Vous pouvez alors utiliser cette commande et seul le dernier point sera conservé, ce qui libèrera de la place. Notez que cela fonctionne aussi sous Vista.

Dans le même ordre d'idée et dans l'onglet «Outils» des propriétés du disque, je vous recommande de planifier une défragmentation hebdomadaire. Le module est assez mal foutu : sous Vista comme sous Windows 7, il faut d'abord cliquer sur le bouton «Défragmenter maintenant» pour accéder aux options du planificateur de tâches. Mais bon, une fois que c'est fait, il n'y a plus à y revenir et la défragmentation se fera en tâche de fond, de façon transparente et régulière.
De cette façon, vous obtiendrez un taux moyen de fragmentation très faible en permanence et, contrairement aux innombrables âneries que l'on peut trouver sur Internet à ce sujet, le défragmenteur de Windows est bien suffisant pour optimiser la lecture et l'écriture sur vos disques.
Les disques SSD ne supportent pas la défragmentation qui provoque une usure prématurée de ce type d'unité de stockage sans apporter la moindre amélioration des performances. Par conséquent, si vous possédez ce type de disque, vous devez impérativement désactiver le défragmenteur de Windows.

Les disques durs sont devenus très sûrs, leur durée de vie est considérable s'ils sont utilisés dans de bonnes conditions, c'est à dire en évitant les chocs, l'humidité et les températures extrêmes. Cependant, une ou deux fois par an, il ne sera pas inutile de procéder à une vérification complète en cochant les options «Réparer automatiquement les erreurs de système de fichiers» et «Rechercher et tenter une récupération des secteurs défectueux». Cela aura pour effet non seulement de réparer les erreurs actuelles s'il en existe mais aussi d'isoler les secteurs vierges défectueux du disque, ce qui rendra les écritures futures encore plus sûres.
Je recommande de faire cette vérification pour la première fois dès la mise en service d'un ordinateur ou d'un disque neuf sauf s'il s'agit d'un disque SSD pour lequel cette vérification ne sert à rien.
Avec un disque SSD, vous pourrez lancer à la place la commande chkntfs x: (où x représente la lettre du lecteur à vérifier) à partir de l'invite en mode administrateur. S'il n'y a pas d'erreur, cette commande retournera (pour le disque C: dans cet exemple) :

Microsoft Windows [version x.x.xxxx]
Copyright (c) 20xx Microsoft Corporation. Tous droits réservés.

C:\Windows\system32>chkntfs c:
Le type du système de fichiers est NTFS.
C: est intègre.

Explication : l'organisation d'un «disque» SSD n'a rien à voir avec celle d'un disque dur traditionnel. Il ne s'agit d'ailleurs pas d'un disque mais d'un assemblage de puces électroniques contenant des milliards de transistors. La lecture, comme l'écriture, se fait de façon «séquentielle» par blocs dont la taille est généralement de 512 KO.
Lorsque l'on modifie ne serait-ce qu'un seul octet dans un fichier, cela se fait d'abord dans une copie en RAM du bloc contenant ce fichier. En fin d'opération, lorsque le bloc modifié est écrit sur le disque, une vérification est opérée. En cas d'erreur, le bloc est marqué comme défectueux et les données sont écrites dans un bloc libre, ailleurs sur le disque.
Cette organisation rend donc totalement inutiles la défragmentation puisque les blocs ne peuvent pas se fragmenter (écriture séquentielle...) et la vérification générale du disque puisque celle-ci est effectuée «en temps réel» et au coup par coup, à chaque fois que des données sont écrites sur le disque...

MsConfig : cet utilitaire se lance comme RegEdit, à partir du module Exécuter du menu Démarrer. Nous allons tout d'abord cliquer sur l'onglet Démarrage afin de décocher tous les services inutiles comme le lancement de drivers et d'updaters divers qui de toute façon démarreront si vous lancez un programme qui les utilise. L'action est sans danger et parfaitement réversible si l'arrêt de l'un de ces services vous gêne. Ensuite, je vous recommande l'astuce suivante pour gagner de la mémoire : cliquez sur l'onglet Services et cochez l'option Masquer tous les services Microsoft. En principe, les services restants peuvent être décochés sans problème mais ceci est bien sûr à vérifier au cas par cas. Ne décochez pas votre antivirus ou votre firewall bien que les firewalls que l'on trouve sur Internet ne servent plus à grand chose d'autre que ralentir les ordinateurs.
Comme celui des défragmenteurs, le marché des firewalls sert surtout à plumer les gogos...
Cette optimisation des services vous permettra, outre d'économiser de la mémoire, de repérer ceux qui vous sembleront suspects, si vous en trouvez. Vous pourrez alors en vérifier la légitimité sur Internet avec votre moteur de recherche en utilisant le nom de fichier dans la colonne Commande pour les modules de démarrage et la description pour les services.

Gardez bien à l'esprit que pour optimiser Windows, la seule chose à faire, c'est rechercher et éliminer les causes de son ralentissement, à commencer par tous les programmes inutiles qui surchargent la mémoire RAM obligeant alors le système à en délester partiellement le contenu dans le fichier d'échange.
Ces modules et services «délocalisés» sur le disque multiplient le temps d'exécution des programmes concernés par plus de 100 en raison de l'énorme différence de vitesse pour la lecture et l'écriture entre le disque dur et les puces de mémoire.
Si votre ordinateur rame de plus en plus alors que vous avez installé toutes sortes d'utilitaires sensés le «booster» commencez par faire le ménage et vous verrez la différence...

Le gestionnaire de périphériques : pour l'atteindre, Démarrer, clic droit sur Ordinateur, choisir Propriétés et en haut à gauche, cliquez sur Gestionnaire de périphériques. Là, dans l'onglet Affichage, cliquez sur Afficher les périphériques cachés.
De cette façon, les périphériques inexistants, mal paramétrés ou présentant d'autres problèmes apparaîtront avec une icone munie d'un triangle jaune contenant un point d'exclamation. De plus, les familles de périphériques cachés (telle celle des Pilotes non plug and play) et les autres seront affichées dépliées lorsque au moins une ligne à problème sera présente.
Vous pourrez alors faire un clic droit sur ces périphériques bancals et choisir Désinstaller sans prendre de risques. Si ces périphériques à désinstaller sont plusieurs, inutile d'accepter un redémarrage à chaque fois : vous pouvez procéder par lots de dix ou vingt lignes, le cas échéant.

Coin des Geeks : après désinstallation d'un driver, il reste en général une demi-douzaine de clés inutiles dans le registre. Par exemple :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_Driver_desinstalle
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Driver_desinstalle
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_Driver_desinstalle
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Driver_desinstalle
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Driver_desinstalle
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Driver_desinstalle
Si vous avez vraiment du temps à perdre, vous pouvez rechercher ces clés par le nom du driver désinstallé et les détruire sans inconvénient mais uniquement dans CurrentControlSet avec RegEdit après en avoir pris le contrôle, le cas échéant, en changeant les permissions sans oublier bien sûr de prendre auparavant les précautions d'usage. Ne touchez pas aux clés ControlSet001 et ControlSet002 car cela pourrait rendre impossible un démarrage sur la dernière bonne configuration connue. Les clés obsolètes disparaîtront de toute façon avec le temps de ces copies de la configuration de votre système.

Le fichier de veille prolongée : si vous manquez encore d'espace après avoir suivi mes conseils jusqu'ici et si vous n'utilisez pas la mise en veille hybride ou prolongée, vous pouvez gagner encore de un à quatre «gigot(s)» selon la taille utile de votre mémoire RAM en faisant disparaître le fichier hiberfil.sys de la racine de votre disque.
Pour cela, il vous suffira d'ouvrir en mode administrateur Invite de commandes dans les accessoires du menu Démarrer et d'entrer la commande suivante :
powercfg -h off
Notez que cette commande est réversible et que vous pourrez retrouver votre fichier d'hibernation en entrant la commande inverse :
powercfg -h on
en cas de besoin.

Contact mail pour vos critiques et suggestions :

© 2007 - 2012 Thierry JR Cavalié, ingénieur-concepteur de systèmes d'information et de communication