ZHPdiag_02


Caractéristiques

Ce module recherche l’ensemble des Browser Helper Objects (BHO) installés. Un BHO est une application qui ajoute certaines fonctionnalités au navigateur Web.
– La recherche s’effectue sur les sous-clés CLSID de la clé de Base de Registres [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
– La ligne est commentée avec le nom du propriétaire et la désignation du fichier. (.Google Inc. – GoogleToolbarNotifier.)
– En cas d’absence de startup et de fichier, et donc de propriétaire et de déscription du fichier, il y a affichage de la mention "Clé orpheline". Les clés orphelines proviennent généralement d’une désinstallation logicielle mal faite ou d’une désinfection partielle.

Aperçu ZHPDiag

—\\ Browser Helper Objects de navigateur (O2)
O2 – BHO: Google Toolbar Notifier BHO – {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} . (.Google Inc. – GoogleToolbarNotifier.) — C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 – BHO: Google Toolbar Helper – {AA58ED58-01DD-4d91-8333-CF10577473F7} . (.Pas de propriétaire – Pas de description.) — C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 – BHO: (no name) – {00000000-17A6-11D0-99CB-00C04FD64497} Clé orpheline

Equivalence HijackThis

O2 – BHO: Google Toolbar Notifier BHO – {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} – C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 – BHO: Google Toolbar Helper – {AA58ED58-01DD-4d91-8333-CF10577473F7} – C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

Equivalence OTL

O2 – BHO: (JQSIEStartDetectorImpl Class) – {E7E6F031-17CE-4C07-BC86-EABFE594F69C} – C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.);

Equivalence AD-Remover

============== ACTION(S) ==============
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}

 

Exemple d’infection

O2 – BHO: MyWebSearch Search Assistant BHO – {00A6FAF1-072E-44cf-8957-5838F569A31D} . (.Pas de propriétaire – Pas de description.) — C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL => Infection BT (MyWebSearch.Spy)

– Iinfection avec usurpation de nom de propriétaire :
O2 – BHO: (no name) – {27598B57-2F92-42F0-A5FE-CF22BAFFC149} . (.Microsoft Corporation – User Idle Monitor.) — c:\windows\system32\ghfuhwu.dll => Infection BT

 

Action ZHPFix (Cas général)

O2 – BHO: (no name) – {CLSIDKey} – {FileName}

{Key} : Clé de Base de Registres [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{Startup} : Valeur par défaut de la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CLSIDKey}]
{CLSIDKey} : Sous-clé CLSID de la Clé {Key}
{FileName} : Donnée de la valeur par défaut de la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CLSIDKey}\InProcServer32]

1) L’outil supprime la clé [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\CLSIDKey}]
2) L’outil supprime la clé [HKLM\SOFTWARE\Classes\CLSID\{CLSIDKey}]
3) L’outil supprime la clé [HKEY_CLASSES_ROOT\CLSID\{CLSIDKey}]
4) L’outil supprime le fichier {FileName}

 

Action ZHPFix (Cas d’une clé orpheline)

O2 – BHO: {Startup} – {CLSIDKey} Clé orpheline

{Key} : Clé de Base de Registres [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{Startup} : Valeur par défaut de la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CLSIDKey}]
{CLSIDKey} : Sous-clé CLSID de la Clé {Key}
{FileName} : Donnée de la valeur par défaut de la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CLSIDKey}\InProcServer32]

1) L’outil supprime la clé [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\CLSIDKey}]
2) L’outil supprime la clé [HKLM\SOFTWARE\Classes\CLSID\{CLSIDKey}]
3) L’outil supprime la clé [HKEY_CLASSES_ROOT\CLSID\{CLSIDKey}]

 

Rapport ZHPFix (Cas général)

O2 – BHO: MyWebSearch Search Assistant BHO – {00A6FAF1-072E-44cf-8957-5838F569A31D} . (…) — C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 02/08/2010

========== Clé(s) du Registre ==========
O2 – BHO: MyWebSearch Search Assistant BHO – {00A6FAF1-072E-44cf-8957-5838F569A31D} . (…) — C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00A6FAF1-072E-44cf-8957-5838F569A31D}] => Clé supprimée avec succès
[HKCR\CLSID\{00A6FAF1-072E-44cf-8957-5838F569A31D}] => Clé supprimée avec succès

========== Fichier(s) ==========
C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL => Supprimé et mis en quarantaine

========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Fichier(s)

 

Rapport ZHPFix (Cas d’une clé orpheline)

O2 – BHO: (no name) – {00000000-17A6-11D0-99CB-00C04FD64497} Clé orpheline

Rapport de ZHPFix v1.12.3155 par Nicolas Coolman, Update du 20/09/2010

========== Clé(s) du Registre ==========
O2 – BHO: (no name) – {00000000-17A6-11D0-99CB-00C04FD64497} Clé orpheline => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-17A6-11D0-99CB-00C04FD64497}] => Clé supprimée avec succès
[HKCR\CLSID\{00000000-17A6-11D0-99CB-00C04FD64497}] => Clé supprimée avec succès

========== Récapitulatif ==========
3 : Clé(s) du Registre

Liens

* Browser Helper Objects