Forums Analyses sécurité Orphan.MUICache, Logiciel Potentiellement Superflu (LPS).

Mots-clés : , , ,

Affichage de 1 message (sur 1 au total)
  • Auteur
    Messages
  • Nicolas CoolmanNicolas Coolman
    • Administrateur
    @nicocoolmann
    Nombre d'articles : 1322

    Logiciel Superflu

    Orphan.MUICache, Logiciel Potentiellement Superflu (LPS).

    Certains programmes ou applications comme Orphan.MUICache peuvent être qualifiés de superflus. Il s’agit principalement de programmes légitimes qui ne sont pas forcément nécessaires au bon fonctionnement de votre système.

    Ils s'installent en tant que programme et/ou en tant qu'extension de navigateur. Ils peuvent démarrer automatiquement depuis le Registre via une clé "Run", un service ou une tâche planifiée. Il peut se lancer au démarrage de votre navigateur après modification de ses paramètres. Quelquefois le lancement se fait de façon silencieuse, c'est à dire qu'il travaille en tâche de fond. L'analyse virale de ce logiciel ne montre pas de détection malveillante. En savoir plus

    Le système d’exploitation Windows utilise une clé de Registre nommée MUICache à chaque fois que vous commencez à utiliser une nouvelle application. Cette clé se situe dans la branche « Utilisateur » (HKU/HKCU) du Registre.

    A chaque nom de processus qui lance l’application, une valeur de clé de registre est ainsi créée dans la clé « MUICache » du « Shell » Windows.
    Elle y stocke comme donnée, le nom du processus complété par une extension au format « .FriendlyAppName » et « .ApplicationCompany« .

    Exemple avec le lancement de l’application KeePass Password Safe :
    [HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe.FriendlyAppName
    [HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe.ApplicationCompany

    ZHPDiag et ZHPCleaner permettent l’énumération de toutes les valeurs de clé de registre « MUICache« , vous pouvez donc supprimer les valeurs qui correspondent à des applications malveillantes, superflues ou supprimées.

    Quand une application est supprimée, la valeur de clé de Registre correspondante n’est pas automatiquement détruite par le système. Ce qui fait que vous pouvez pour retrouver avec plusieurs dizaines/centaines de valeurs orphelines.
    Dans ce cas, les lignes sont classées en « SUP.Orphan.MUICache« , c’est à dire en superflues et orphelines (SUP=Superflue, Orphan=Orpheline)

    Quand le processus de l’application n’est pas signé, c’est à dire qu’il n’a pas de certificat identifié, la ligne est commentée avec le terme « .Unsigned« .

    A noter qu’il existe aussi des logiciels comme MUICacheView de NirSoft qui permettent de gérer la clé MUICache dans une interface.

    Actions Principales :
    – Création de multiples clés de Registre « Software » dans la branche HKU,
    – Création de multiples clés de Registre « Software » dans la branche HKCU,

    Aperçu ZHPDiag :
    [HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe.FriendlyAppName =>.SUP.Orphan.MUICache
    [HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe.ApplicationCompany =>.SUP.Orphan.MUICache
    [HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\Program Files (x86)\ZedTV\zedtv.exe.FriendlyAppName =>.SUP.Orphan.MUICache
    [HKU\S-1-5-21-<…>\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\services\bureauof\Office\Winword.exe.FriendlyAppName =>.Unsigned
    [HKU\S-1-5-21-<…>\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\services\bureauof\Office\Winword.exe.ApplicationCompany =>.Unsigned
    [HKU\S-1-5-21-<…>\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\services\bureauof\Office\excel.exe.FriendlyAppName =>.Unsigned
    [HKU\S-1-5-21-<…>\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\services\bureauof\Office\excel.exe.ApplicationCompany =>.Unsigned
    [HKU\S-1-5-21-<…>\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\services\bureauof\Office\PowerPnt.exe.FriendlyAppName =>.Unsigned
    [HKU\S-1-5-21-<…>\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\services\bureausof\Office\PowerPnt.exe.ApplicationCompany =>.Unsigned

    Alias:
    SUP.Orphan.MUICache

    Diagnostiquer avec ZHPSuite...  Désinstaller avec Windows...  Supprimer avec ZHPCleaner...  Supprimer avec Malwarebytes...

Affichage de 1 message (sur 1 au total)
  • Vous devez être connecté pour répondre à ce sujet.