Contents
- 1 O4 – Applications démarrées par le registre
- 1.1 Caractéristiques :
- 1.2 Liste complète des branches recensées :
- 1.3 Aperçu ZHPDiag
- 1.4 Equivalence Hijackthis
- 1.5 Equivalence RSIT
- 1.6 Equivalence OTL
- 1.7 Exemple N°1 (Cas d’une version nLite Windows non officielle)
- 1.8 Exemple N°2 (Cas d’une version pirate de Windows)
- 1.9 Exemple N°3 (Cas d’une Infection)
- 1.10 Action ZHPFix
- 1.11 Rapport ZHPFix N°1 (Cas général)
- 1.12 Rapport ZHPFix N°2 (Cas d’une clé orpheline)
- 1.13 Rapport ZHPFix N°3 (Cas d’une optimisation)
- 1.14 Liens
O4 – Applications démarrées par le registre
Caractéristiques :
– Ce module énumère l’ensemble des applications lancées au démarrage du système. Le traitement se fait à partir des clés de Base De Registres Run, RunOnce et RunServices.
– Affiche le nom du propriétaire et de la désignation du processus.
– Affiche l’information "Not file" en cas d’absence de processus.
– Donne l’information "Clé orpheline" (Orphean Key) en cas d’absence de processus.
Liste complète des branches recensées :
Policies Explorer :
Terminal Server :
OS 64 bits, A partir de Vista :
Aperçu ZHPDiag
—\ Applications démarrées automatiquement par le registre (O4)
O4 – HKLM..Run: . (…) — c:windowshffexthffsrv.exe
O4 – HKUSS-1-5-19..Run: . (.Microsoft Corporation – Gadgets du Bureau Windows.) — C:Program FilesWindows SidebarSidebar.exe
—\ Applications démarrées automatiquement par le registre (O4)
O4 – HKUSS-1-5-21-0123456789-012345678-012345678-1000..Run: C:Program FilesWindows LiveMessengermsnmsgr.exe (.not file.)
O4 – HKUSS-1-5-21-0123456789-012345678-012345678-1000..Run: C:Program FilesDAEMON Tools LiteDTLite.exe
—\ Applications démarrées automatiquement par le registre (O4)
O4 – HKLM..Run: Clé orpheline
O4 – HKLM..Run: Orphean Key
O4 – HKLM..Terminal ServerRun: c:windowsnvsvc32.exe
Equivalence Hijackthis
O4 – HKCU..Run: C:WINDOWSsystem32Winlogwinlogon.exe
O4 – HKLM..PoliciesExplorerRun: C:WINDOWSsystem32Winlogwinlogon.exe
O4 – HKUSS-1-5-21-484763869-1343024091-725345543-1005..RunOnce: "C:Program FilesFichiers communsNeroLibNMFirstStart.exe"
Equivalence RSIT
======Registry dump======
"HKLM"=C:WINDOWSsystem32Winlogwinlogon.exe []
"Policies"=C:WINDOWSsystem32Winlogwinlogon.exe []
Equivalence OTL
O4 – HKUS-1-5-21-299502267-1965331169-725345543-1003..Run: C:WINDOWSsystem32explorerexplorer.exe ()
() Unable to obtain MD5 — C:WINDOWSsystem32winlogWinlogon.exe
O4 – HKLM..Run: C:Program FilesMyWebSearchbar1.binM3SRCHMN.EXE (MyWebSearch.com) => Infection BT (MyWebSearch.Spy)
Exemple N°1 (Cas d’une version nLite Windows non officielle)
O4 – HKUSS-1-5-18..RunOnce: regsvr32 /s /n /i:u shell32
O4 – HKUSS-1-5-18..RunOnce: rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n
O4 – HKUSS-1-5-18..RunOnce: regsvr32 /s /n /i:u shell32
O4 – HKUSS-1-5-18..RunOnce: rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n
O4 – HKUSS-1-5-19..RunOnce: regsvr32 /s /n /i:u shell32
O4 – HKUSS-1-5-19..RunOnce: rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n
O4 – HKUSS-1-5-20..RunOnce: regsvr32 /s /n /i:u shell32
Exemple N°2 (Cas d’une version pirate de Windows)
O4 – HKUSS-1-5-18..RunOnce: . (.Pas de propriétaire – Pas de description.) — C:WINDOWSLSDend.cmd
O4 – HKUSS-1-5-18..RunOnce: . (.Pas de propriétaire – Pas de description.) — C:WINDOWSLSDend.cmd
O4 – HKUSS-1-5-20..RunOnce: . (.Pas de propriétaire – Pas de description.) — C:WINDOWSLSDend.cmd
Exemple N°3 (Cas d’une Infection)
– Infection FakeAlert (Trojan.FakeAlert) :
– (.Pas de propriétaire – Pas de description.) — C:program filesgooglegoogle desktop searchgcdtmp1070googledesktop.exe
– (.Pas de propriétaire – Pas de description.) — C:documents and settings…application datamsabaka6.exe
– (.Pas de propriétaire – Pas de description.) — c:program filesgooglegoogle desktop searchgcdtmp1077googledesktop.exe
– (.Pas de propriétaire – Pas de description.) — c:program fileshpdigital imaging{5b79cfd1-6845-4158-9d7d-6be89df2c135}hpzcdl01sdiutilities53075.exe
– (.Pas de propriétaire – Pas de description.) — c:program filesfichiers communslogitechqcdrvbinptblogitechlcamwzrd.exe
O4 – HKLM..Run: . (.Pas de propriétaire – Pas de description.) — C:documents and settings…application datamsabaka7.exe
O4 – HKLM..Run: . (.Pas de propriétaire – Pas de description.) — c:program fileshpdigital imaging{5b79cfd1-6845-4158-9d7d-6be89df2c135}hpzcdl01sdiutilities53075.exe
O4 – HKLM..Run: . (.Pas de propriétaire – Pas de description.) — c:program filesfichiers communslogitechqcdrvwinallxprslvui2rclvcodec2.exe
O4 – HKLM..Run: . (.Pas de propriétaire – Pas de description.) — C:program filesfichiers communslogitechqcdrvwinallxprslvui2rclvcodec2.exe
O4 – HKLM..Run: . (.Pas de propriétaire – Pas de description.) — c:documents and settingschristian.nom-eb85c523610.001application datamsabaka7.exe
O4 – HKLM..Run: . (.Pas de propriétaire – Pas de description.) — C:program filesgooglegoogle desktop searchgcdtmp1070googledesktop.exe
O4 – HKLM..Run: . (.Pas de propriétaire – Pas de description.) — c:documents and settingschristian.nom-eb85c523610.001application datamsabaka6.exe
O4 – HKLM..RunServices: . (.Pas de propriétaire – Pas de description.) — C:documents and settingschristian.nom-eb85c523610.001application datamsabaka7.exe
O4 – HKLM..RunServices: . (.Pas de propriétaire – Pas de description.) — c:program filesgooglegoogle desktop searchgcdtmp1077googledesktop.exe
O4 – HKLM..RunServices: . (.Pas de propriétaire – Pas de description.) — c:program filesgooglegoogle desktop searchgcdtmp1673googledesktop5.7.802.22438.exe
O4 – HKLM..RunServices: . (.Pas de propriétaire – Pas de description.) — C:Program FilesFichiers Communslogitechqcdrvbinptblogitechlcamwzrd.exe
O4 – HKLM..RunServices: . (…) — C:program filesgooglegoogle desktop searchgcdtmp1070googledesktop.exe
O4 – HKUSS-1-5-21-2154023944-3558821995-1915564575-1000..Run: . (…) — C:Users…AppDataLocalTempBjr.exe
Infection Bot (Backdoor.Bot) avec usurpation de nom de propriétaire légitime
O4 – HKCU..Run: . (.Microsoft Inc. – Microsoft Component.) — C:Documents and SettingsadrienMes documentsSystem324242.exe
O4 – HKUSS-1-5-21-3664331877-2587049494-2928149487-1005..Run: . (.Microsoft Inc. – Microsoft Component.) — C:Documents and SettingsadrienMes documentsSystem324242.exe
Action ZHPFix
O4 – {Key}: . (…) — {FileName}
{Key} : Clé de Base de Registres
{KeyValue} : Valeur de la clé {Key}
{FileName} : Donnée de la valeur {KeyValue}
1) L’outil supprime la valeur {KeyValue} de la clé {Key}
2) L’outil supprime le fichier {FileName}
NB : Dans le cas d’une recherche d’optimisation, consulter la commande OPT
Rapport ZHPFix N°1 (Cas général)
Lignes Saisies :
O4 – HKLM..RunServices: . (…) — C:Program FilesFichiers CommunsLogitechqcdrvinptblogitechlcamwzrd.exe
O4 – HKLM..Run: . (.EoRezo – EoRezo.) — C:Program FilesEoRezoeorezo.exe
O4 – HKLM..RunOnce: . (.EoRezo – SoftwareHelper.) — C:Usersstéphane et agnèsAppDataRoamingeoRezoSoftwareUpdateSoftwareUpdateHP.exe
O4 – Global Startup: Mozilla Firefox 3.6 Beta 4.lnk . (.Mozilla Corporation – Firefox.) — C:Program FilesMozilla Firefox 3.6 Beta 4firefox.exe
Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010
========== Processus mémoire ==========
C:Usersstéphane et agnèsAppDataRoamingeoRezoSoftwareUpdateSoftwareUpdateHP.exe => Supprimé et mis en quarantaine
C:Program FilesEoRezoeorezo.exe => Supprimé et mis en quarantaine
========== Valeur(s) du Registre ==========
O4 – HKLM..Run: . (…) — C:Program FilesFichiers CommunsLogitechqcdrvinptblogitechlcamwzrd.exe => Valeur supprimée avec succès
O4 – HKLM..Run: . (.EoRezo – EoRezo.) — C:Program FilesEoRezoeorezo.exe => Valeur supprimée avec succès
O4 – HKLM..RunOnce: . (.EoRezo – SoftwareHelper.) — C:Usersstéphane et agnèsAppDataRoamingeoRezoSoftwareUpdateSoftwareUpdateHP.exe => Valeur supprimée avec succès
========== Fichier(s) ==========
C:Program FilesFichiers CommunsLogitechqcdrvinptblogitechlcamwzrd.exe => Supprimé et mis en quarantaines
O4 – Global Startup: Mozilla Firefox 3.6 Beta 4.lnk . (.Mozilla Corporation – Firefox.) — C:Program FilesMozilla Firefox 3.6 Beta 4firefox.exe => Supprimé et mis en quarantaine
========== Récapitulatif ==========
3 : Valeur(s) du Registre
2 : Fichier(s)
Rapport ZHPFix N°2 (Cas d’une clé orpheline)
Ligne Saisie
O4 – HKLM..Run: Clé orpheline
Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010
========== Valeur(s) du Registre ==========
O4 – HKLM..Run: Clé orpheline => Valeur supprimée avec succès
========== Récapitulatif ==========
1 : Valeur(s) du Registre
Rapport ZHPFix N°3 (Cas d’une optimisation)
Ligne Saisie :
OPT:O4 – HKLM..Run: . (.Adobe Systems Incorporated – Adobe Acrobat SpeedLauncher.) — C:Program FilesAdobeReader 8.0ReaderReader_sl.exe
Rapport de ZHPFix v1.12.3137 par Nicolas Coolman, Update du 23/08/2010
========== Valeur(s) du Registre ==========
O4 – HKLM..Run: . (.Adobe Systems Incorporated – Adobe Acrobat SpeedLauncher.) — C:Program FilesAdobeReader 8.0ReaderReader_sl.exe => Valeur supprimée avec succès
========== Récapitulatif ==========
1 : Valeur(s) du Registre
Liens