PUP.Optional.StartPage dans Microsoft Edge : réparer Secure Preferences et supprimer la réinfection

Détection récurrente de PUP.Optional.StartPage dans Microsoft Edge ? Voici une méthode claire et exhaustive pour nettoyer le profil (fichier Secure Preferences), bloquer la réinfection, puis remettre Edge à zéro sans perdre l’essentiel.

Sommaire

Suppression d’un PUP persistant dans Microsoft Edge (`PUP.Optional.StartPage` dans Secure Preferences)

Vue d’ensemble de la question

Après l’installation d’une application indésirable type “PC App Store”, un scan Malwarebytes détecte à chaque redémarrage la menace PUP.Optional.StartPage dans :

C:\Users\&lt;NomUtilisateur&gt;\AppData\Local\Microsoft\Edge\User Data\Default\Secure Preferences

La menace disparaît après quarantaine, puis réapparaît au reboot. Les questions fréquentes sont : est‑ce dangereux, peut‑on supprimer le fichier, et comment éradiquer définitivement la réinfection ?

Ce que c’est et le niveau de risque

PUP.Optional.StartPage est un hijacker de navigateur qui manipule des réglages (page d’accueil, nouvel onglet, moteur de recherche, sites lancés au démarrage, extensions). Il ne chiffre pas vos fichiers et n’exécute en général pas de code système à haut privilège. Le risque principal est la redirig ation de votre navigation vers des moteurs douteux, des pages publicitaires agressives ou des sites à réputation faible. Cela reste indésirable, et doit être supprimé.

Peut‑on supprimer le fichier Secure Preferences ?

Oui. Edge recréera automatiquement ce fichier au prochain lancement. Effets attendus : retour aux valeurs par défaut pour une partie des paramètres, certaines extensions seront désactivées (ou devront être réinstallées), et vous devrez possiblement vous reconnecter. Aucune conséquence sur Windows en dehors d’Edge.

Procédure recommandée pour une suppression durable

Objectif : neutraliser les points de réapparition (synchronisation, extensions forcées, tâches planifiées, raccourcis modifiés) puis repartir sur un profil Edge sain.

Sauvegardes utiles (facultatif mais conseillé)
- Dans Edge, Favoris → Exporter.
- Notez les extensions importantes à réinstaller.
- Paramètres → Profils → Synchronisation : désactivez la synchro temporairement pour éviter de réimporter des paramètres vérolés depuis le cloud.
Fermer complètement Edge
- Fermez toutes les fenêtres.
- Dans le Gestionnaire des tâches, terminez tous les processus msedge.exe.
- (Optionnel) Paramètres → Système et performances : désactivez « Continuer à exécuter des applis en arrière‑plan quand Edge est fermé ».
Commandes rapides taskkill /IM msedge.exe /F ou en PowerShell : Stop-Process -Name msedge -Force -ErrorAction SilentlyContinue
Supprimer/renommer les préférences du profil
- Ouvrez le dossier du profil par défaut :
%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\
- Renommez Secure Preferences en Secure Preferences.old (ou supprimez‑le).
- (Optionnel) Si la détection revient, faites de même avec Preferences.
Automatiser avec PowerShell $p = "$env:LOCALAPPDATA\Microsoft\Edge\User Data\Default" Stop-Process -Name msedge -Force -ErrorAction SilentlyContinue If (Test-Path "$p\Secure Preferences") { Rename-Item "$p\Secure Preferences" "Secure Preferences.old" -ErrorAction SilentlyContinue } If (Test-Path "$p\Preferences") { Copy-Item "$p\Preferences" "$p\Preferences.bak" -ErrorAction SilentlyContinue }
Réinitialiser Edge (recommandé)
- Paramètres → Réinitialiser les paramètres → Restaurer les paramètres à leurs valeurs par défaut.
- Conséquences : réinitialise page d’accueil, nouvel onglet, moteur de recherche ; désactive les extensions.
Nettoyer les points de réapparition
- Extensions : ouvrez edge://extensions → supprimez toute extension inconnue/suspecte. Évitez d’autoriser des extensions provenant de sources non fiables.
- Démarrage & accueil : vérifiez edge://settings/onStartup, edge://settings/startHomeNTP et edge://settings/search. Aucune URL douteuse ne doit être listée. Remettez « Page de nouvel onglet » et « Ouvrir une page ou des pages spécifiques : désactivé » si besoin.
- Notifications : dans edge://settings/content/notifications, supprimez les sites inconnus de la liste Autorisé.
- Stratégies forcées : ouvrez edge://policy. S’il y a des politiques que vous n’avez pas mises en place (ExtensionInstallForcelist, HomepageLocation, DefaultSearchProvider, RestoreOnStartup, etc.), c’est un signe de forçage.
- Raccourcis Edge : clic droit sur votre raccourci Edge → Propriétés. La cible doit se terminer strictement par msedge.exe sans URL ni paramètres supplémentaires.
- Applications & tâches de démarrage : désinstallez “PC App Store” (et apps associées) dans Paramètres → Applications. Dans Gestionnaire des tâches → Démarrage, désactivez les éléments inconnus. Vérifiez aussi le Planificateur de tâches.
<details> <summary>Emplacements et commandes utiles</summary> <table> <thead> <tr> <th>Zone</th> <th>Que vérifier</th> <th>Méthode/Commande</th> </tr> </thead> <tbody> <tr> <td>Stratégies Edge</td> <td>Extensions forcées, page d’accueil, moteur de recherche imposés</td> <td> <code>edge://policy</code><br /> Registre :<br /> <code>HKCU\SOFTWARE\Policies\Microsoft\Edge</code><br /> <code>HKLM\SOFTWARE\Policies\Microsoft\Edge</code> </td> </tr> <tr> <td>Tâches planifiées</td> <td>Scripts réinjectant une extension/URL</td> <td><code>schtasks /query /fo LIST /v | findstr /i "edge home search pc app store"</code></td> </tr> <tr> <td>Démarrage Run</td> <td>Ajouts au lancement de session</td> <td> <code>HKCU\Software\Microsoft\Windows\CurrentVersion\Run</code><br /> <code>HKLM\Software\Microsoft\Windows\CurrentVersion\Run</code> </td> </tr> <tr> <td>Raccourcis</td> <td>Ligne de commande trafiquée</td> <td>Cible doit finir par <code>...\msedge.exe</code> uniquement</td> </tr> <tr> <td>Profils Edge</td> <td>Dossier pollué</td> <td><code>%LOCALAPPDATA%\Microsoft\Edge\User Data\Default</code> (ou <em>Profile 1</em>, <em>Profile 2</em>)</td> </tr> </tbody> </table> </details> <details> <summary>Clés de registre Edge fréquemment détournées</summary> <table> <thead> <tr> <th>Clé/Stratégie</th> <th>Effet</th> <th>Action</th> </tr> </thead> <tbody> <tr> <td><code>ExtensionInstallForcelist</code></td> <td>Installe une extension sans choix</td> <td>Supprimer la valeur suspecte</td> </tr> <tr> <td><code>HomepageLocation</code></td> <td>Force la page d’accueil</td> <td>Supprimer ou remettre à vide</td> </tr> <tr> <td><code>RestoreOnStartup</code> + <code>RestoreOnStartupURLs</code></td> <td>Ouvre des URL au démarrage</td> <td>Remettre à <em>Nouvel onglet</em> et vider les URL</td> </tr> <tr> <td><code>DefaultSearchProviderEnabled</code> + <code>DefaultSearchProviderSearchURL</code></td> <td>Force le moteur de recherche</td> <td>Réinitialiser/supprimer les valeurs imposées</td> </tr> <tr> <td><code>NewTabPageLocation</code></td> <td>Remplace la page du nouvel onglet</td> <td>Supprimer si pointe vers un domaine inconnu</td> </tr> </tbody> </table> <p><strong>Attention</strong> : avant toute modification du Registre, créez un point de restauration. Ne supprimez que ce qui est manifestement ajouté par un PUP.</p> </details>
Redémarrer Windows puis rescanner
- Effectuez un scan Malwarebytes et/ou AdwCleaner après redémarrage et avant de relancer Edge.
- Si tout est propre, vous pouvez réactiver la synchronisation Edge.
- Si la détection revient, passez à l’étape suivante.
Créer un nouveau profil Edge si la persistance continue
- Exportez favoris/collections (si ce n’est pas déjà fait).
- Fermez Edge.
- Renommez le dossier User Data\Default en Default.old (Edge recréera un dossier neuf).
- Au prochain lancement, reconnectez‑vous (une fois sain) et réinstallez uniquement les extensions de confiance.

Pourquoi la détection revenait après redémarrage ?

Synchronisation Edge : un paramètre ou une extension indésirable resynchronisé depuis le cloud du compte Microsoft.
Stratégie imposée : une clé de registre (Policies) qui force un moteur de recherche, une page d’accueil ou une extension.
Tâche planifiée / élément de démarrage : réécrit le fichier Secure Preferences à chaque session.
Raccourci modifié : lance Edge avec une URL parasite (par exemple ajoutée après msedge.exe).

Réponses rapides

Sécurité globale compromise ? Plutôt une nuisance qu’une compromission système profonde. Par prudence, changez vos mots de passe si vous en avez saisi sur des sites louches pendant l’infection.
Supprimer “Secure Preferences”, c’est risqué ? Sans risque pour Windows. Vos réglages Edge seront remis en grande partie par défaut au redémarrage du navigateur.

Vérifications détaillées à faire dans Edge

Emplacement	Ce que vous devez voir	Que faire si ce n’est pas le cas
`edge://policy`	Aucune politique non souhaitée. Pas de bannière « Votre navigateur est géré » sur des PC personnels.	Supprimez les clés suspectes dans Policies (HKCU/HKLM), redémarrez.
`edge://settings/onStartup`	« Ouvrir la page du nouvel onglet » ou des pages légitimes choisies par vous.	Supprimez les URL inconnues, remettez « Nouvel onglet ».
`edge://settings/search`	Moteur de recherche reconnu (Bing, Google, etc.).	Remettez un moteur fiable. Supprimez les moteurs ajoutés par un PUP.
`edge://extensions`	Extensions connues/utiles uniquement.	Désinstallez tout ce qui est inconnu, surtout s’il n’y a pas de bouton Supprimer (signe d’une politique).
`edge://settings/content/notifications`	Peu de sites, tous de confiance.	Retirez les domaines inconnus de la liste Autorisé.

Désinstallation et nettoyage du système

Outre Edge, supprimez ce qui a installé le PUP et ses mécanismes de persistance.

Désinstallez “PC App Store” et les programmes proches en date dans Paramètres → Applications → Applications installées (triez par date d’installation).
Planificateur de tâches : supprimez les tâches qui lancent un navigateur avec une URL étrange, un exécutable depuis %AppData% ou %Temp%, ou un script PowerShell obfusqué.
Démarrage automatique :
- Onglet Démarrage du Gestionnaire des tâches.
- Dossiers shell:startup (profil) et shell:common startup (tous les utilisateurs).
- Clés HKCU/HKLM\...\Run.
Autoruns (Microsoft/Sysinternals) : dans les onglets Logon, Scheduled Tasks, Services, Drivers, décochez puis supprimez les entrées à éditeur inconnu liées à “PC App Store” ou au PUP.

Commande‑ligne : vérifier rapidement les zones sensibles

:: Tâches planifiées verbeuses
schtasks /query /fo LIST /v | more

\:: Démarrage "Run"
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Run"
reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Run"

\:: Politiques Edge (utilisateur et machine)
reg query "HKCU\SOFTWARE\Policies\Microsoft\Edge" /s
reg query "HKLM\SOFTWARE\Policies\Microsoft\Edge" /s

Comprendre le rôle de Secure Preferences

Edge (Chromium) stocke les réglages du profil dans deux fichiers JSON principaux :

Preferences : préférences utilisateur (URLs, moteur de recherche, extensions installées, etc.).
Secure Preferences : sous‑ensemble sensible des préférences, avec mécanismes d’intégrité. Une écriture douteuse dans ce fichier déclenche souvent la détection PUP.Optional.StartPage.

Si une tâche/extension réécrit ces valeurs à chaque redémarrage, les scanners les retrouveront indéfiniment tant que la cause racine n’aura pas été retirée.

Scénarios typiques et solutions ciblées

Symptôme	Cause probable	Correctif
La page d’accueil revient sur un domaine inconnu	Clé HomepageLocation imposée	Supprimer la politique dans Policies, réinitialiser Edge
Une extension “Impossible de supprimer”	ExtensionInstallForcelist actif	Retirer la valeur de liste forcée, supprimer l’extension
Recherche redirigée malgré le changement manuel	Fournisseur par défaut forcé + synchro	Désactiver synchro, réinitialiser, nettoyer Policies, réactiver synchro
Détection qui revient sans ouvrir Edge	Tâche planifiée réécrivant le profil	Supprimer la tâche/scrip t, puis renommer Secure Preferences
Bannière « Votre navigateur est géré »	Politiques actives (légitimes ou non)	Auditer `edge://policy` et Policies dans le Registre

Méthode « propre » pas‑à‑pas récapitulée

Désactivez la synchronisation dans Edge.
Fermez Edge et tuez msedge.exe.
Renommez/supprimez Secure Preferences (et si nécessaire Preferences).
Réinitialisez Edge via les Paramètres.
Nettoyez : extensions, onStartup, notifications, raccourcis, tâches, démarrage.
Redémarrez Windows, rescanner.
Si réinfection : créez un nouveau profil (Default.old), réimportez/minimisez les extensions.
Réactivez la synchronisation seulement quand tout est propre.

Bonnes pratiques pour éviter la récidive

Installez les logiciels depuis des sources officielles uniquement. Évitez les « stores » tiers et les optimiseurs système.
Activez un antimalware en temps réel et laissez‑le à jour.
Vérifiez périodiquement edge://policy et edge://extensions si vous remarquez des comportements inhabituels.
Surveillez les autorisations de notifications. Les pop‑ups agressifs proviennent souvent de sites notifiés dans le navigateur.
Conservez des points de restauration Windows, surtout avant des installations d’outils système.

Cas des multiples profils Edge

Si vous utilisez plusieurs profils, le PUP peut n’affecter qu’un seul d’entre eux. Identifiez le dossier de profil précis via l’URL interne :

edge://version

Repérez la ligne « Chemin de profil ». Appliquez le nettoyage dans ce dossier (Default, Profile 1, etc.). Répétez si nécessaire.

Questions fréquentes supplémentaires

Dois‑je effacer aussi Local State ?
Pas nécessaire dans la majorité des cas. Concentrez‑vous sur Secure Preferences/Preferences, réinitialisation Edge et suppression des politiques/points de persistance.

Le problème peut‑il venir d’un autre navigateur Chromium ?
Parfois, des installateurs louches modifient plusieurs navigateurs. Inspectez aussi Chrome/Brave/Opera si des symptômes similaires apparaissent. Chaque navigateur a ses propres fichiers Preferences.

Faut‑il réinstaller Edge ?
Peu fréquent. Une réinitialisation + nettoyage des politiques et tâches suffit presque toujours. En dernier recours, la réparation d’Edge via Windows peut être envisagée.

État final attendu

Après suppression/renommage de Secure Preferences, réinitialisation d’Edge, suppression des politiques et des mécanismes de persistance, les scans suivants restent propres. Réactivez la synchro seulement à ce stade, réinstallez sobrement vos extensions, et surveillez durant quelques jours.

Rappel des emplacements clés

Profil Edge : %LOCALAPPDATA%\Microsoft\Edge\User Data\Default (ou Profile X).
Fichiers sensibles : Secure Preferences, Preferences.
Politiques : HKCU/HKLM\SOFTWARE\Policies\Microsoft\Edge.
Pages internes utiles : edge://policy, edge://extensions, edge://settings/onStartup, edge://settings/search, edge://settings/content/notifications, edge://version.

Checklist finale imprimable

⧠ Synchro Edge désactivée
⧠ msedge.exe arrêté
⧠ Secure Preferences renommé/supprimé
⧠ Edge réinitialisé
⧠ Extensions inconnues supprimées
⧠ OnStartup nettoyé (Nouvel onglet)
⧠ Notifications : sites douteux retirés
⧠ Raccourcis contrôlés (aucun paramètre après msedge.exe)
⧠ Politiques illégitimes supprimées (registre)
⧠ Tâches planifiées suspectes supprimées
⧠ Démarrage Run/Startup nettoyé
⧠ Redémarrage effectué
⧠ Rescan Malwarebytes/AdwCleaner OK
⧠ Synchro réactivée quand tout est propre

Conseils de restauration douce des données

Si vous avez dû repartir sur un nouveau profil :

Réimportez les Favoris exportés.
Reconnectez le compte Microsoft uniquement après s’être assuré que edge://policy est vide de politiques non désirées.
Réinstallez les extensions une par une, en testant un redémarrage entre chacune pour détecter l’extension problématique le cas échéant.

Synthèse

La détection PUP.Optional.StartPage liée à Secure Preferences dans Edge est le signe d’un réglage forcé par une extension, une politique ou une tâche. La suppression ponctuelle ne suffit pas si la cause racine persiste. La combinaison désactivation de la synchro → nettoyage du profil → audit des politiques/démarrage → réinitialisation → rescan résout durablement la situation, sans risque pour Windows, en limitant l’impact à la configuration d’Edge.