ZHPDiag – Module O53 – ShareTools MSconfig StartupReg

MsConfig (Microsoft System Configuration Utility) est un programme présent dans diverses versions de Windows permettant de consulter et de modifier la configuration du démarrage de Windows.

MsConfig permet, entre autres, de supprimer des processus chargés au démarrage de Windows ou d’empêcher le démarrage de certains programmes lors du démarrage de Windows. (Sources).  Lié au module SMSR (ShareTools MSconfig StartupReg). Il permet de lister les valeurs et données de la clé de registre startupreg.

La recherche s’effectue dans la clé de Base de Registres « HKLM\software\microsoft\shared tools\msconfig\startupreg ».

Aperçu ZHPDiag

—\\ ShareTools MSconfig StartupReg (SMSR) (O53) v2.33.09
O53 – SMSR:HKLM\…\startupreg\iTunesHelper – C:\Program Files\iTunes\iTunesHelper.exe
O53 – SMSR:HKLM\…\startupreg\msnmsgr – C:\Program Files\MSN Messenger\MsnMsgr.Exe /background

—\\ ShareTools MSconfig StartupReg (SMSR) (O53) v1.25.030
O53 – SMSR:HKLM\…\startupreg\CloneDVD2 . (.Elaborate Bytes AG – CloneDVD Application.) – C:\Program Files\Elaborate Bytes\CloneDVD\CloneDVD2.exe

—\\ ShareTools MSconfig StartupReg (SMSR) (O53) v1.25.123
O53 – SMSR:HKLM\…\startupreg\HPADVISOR [Key] . (.Hewlett-Packard – HP Advisor.) — C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

Equivalence ComboFix

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ACTIVBOARD]

Exemple de détection

—\\ ShareTools MSconfig StartupReg (SMSR) (O53)
O53 – SMSR:HKLM\…\startupreg\AntiMalware [Key] . (…) — C:\Program Files\AntiMalware\antimalware.exe =>SUP.ActiveSecurity)
O53 – SMSR:HKLM\…\startupreg\facemoods [Key] . (…) — C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe 

Action ZHPFix cas N°1

O53 – SMSR:HKLM\…\startupreg\ {ValueName} . (..) — {FileName}

{key} : Clé de Base de Registres [HKLM\software\microsoft\shared tools\msconfig\startupreg]
{ValueName} : Valeur de la clé {key}
{FileName} : Donnée de la valeur {ValueName}

1) L’outil supprime la valeur {ValueName}.
2) L’outil supprime le fichier {FileName}.

 

Action ZHPFix cas N°2

O53 – SMSR:HKLM\…\startupreg\ {SubKey} [Key] . (..) — {FileName}

{keyName} : Clé de Base de Registres [HKLM\software\microsoft\shared tools\msconfig\startupreg]
{SubKey} : Sous-clé de la clé {keyName}
{ValueName} : Valeur ‘Command » de la clé {SubKey}
{FileName} : Donnée de la valeur {ValueName}

1) L’outil supprime la clé {SubKey}
2) L’outil supprime le fichier {FileName}.

Rapport ZHPFix (Exemple)

Lignes saisies :
O53 – SMSR:HKLM\…\startupreg\DC6V_Check [Key] . (…) — C:\Program Files\Fichiers communs\SystemDoctor\usdrdc.exe
O53 – SMSR:HKLM\…\startupreg\kamsoft [Key] . (…) — C:\WINDOWS\system32\ckvo.exe

Rapport de ZHPFix v1.12.3132 par Nicolas Coolman, Update du 02/08/2010

========== Clé(s) du Registre ==========
O53 – SMSR:HKLM\…\startupreg\DC6V_Check [Key] . (…) — C:\Program Files\Fichiers communs\SystemDoctor\usdrdc.exe => Clé supprimée avec succès
O53 – SMSR:HKLM\…\startupreg\kamsoft [Key] . (…) — C:\WINDOWS\system32\ckvo.exe => Clé supprimée avec succès

========== Fichier(s) ==========
c:\program files\fichiers communs\systemdoctor\usdrdc.exe => Supprimé et mis en quarantaine
C:\WINDOWS\system32\ckvo.exe => Supprimé et mis en quarantaine

========== Récapitulatif ==========
2 : Clé(s) du Registre
2 : Fichier(s)

Rapport ZHPFix (Optimisation avec la commande OPT:)

Il faut préciser aussi que cette commande s’applique aux lignes présentant des clés, valeurs ou données de Base de Registres.

Exemple avec ces lignes, seule la valeur de Base de Registres « Adobe Reader Speed Launcher » et « CTF Loader » sont supprimées, les processus sont conservés

Lignes saisies :
OPT:O53 – SMSR:HKLM\…\startupreg\Adobe Reader Speed Launcher [Key] . (.Pas de propriétaire – Pas de description.) — C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O53 – SMSR:HKLM\…\startupreg\ctfmon.exe [Key] . (.Microsoft Corporation – CTF Loader.) — C:\WINDOWS\system32\ctfmon.exe

Rapport de ZHPFix v1.12.3141 par Nicolas Coolman, Update du 27/08/2010

========== Clé(s) du Registre ==========
O53 – SMSR:HKLM\…\startupreg\Adobe Reader Speed Launcher [Key] . (.Pas de propriétaire – Pas de description.) — C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Clé supprimée avec succès
O53 – SMSR:HKLM\…\startupreg\ctfmon.exe [Key] . (.Microsoft Corporation – CTF Loader.) — C:\WINDOWS\system32\ctfmon.exe => Clé supprimée avec succès

========== Récapitulatif ==========
2 : Clé(s) du Registre