ZHPdiag_04


O4 – Applications démarrées par le registre

Caractéristiques :

– Ce module énumère l’ensemble des applications lancées au démarrage du système. Le traitement se fait à partir des clés de Base De Registres Run, RunOnce et RunServices.
– Affiche le nom du propriétaire et de la désignation du processus.
– Affiche l’information "Not file" en cas d’absence de processus.
– Donne l’information "Clé orpheline" (Orphean Key) en cas d’absence de processus.

Liste complète des branches recensées :

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run]

Policies Explorer :
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
[HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
[HKUS\S-1-5-XX\Software\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
[HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKUS\S-1-5-XX\Software\Microsoft\Windows\CurrentVersion\RunOnce]

[HKUS\ {SID} \Software\Microsoft\Windows\CurrentVersion\Run]
[HKUS\ {SID} \Software\Microsoft\Windows\CurrentVersion\RunOnce]

Terminal Server :
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run]

OS 64 bits, A partir de Vista :
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]

Aperçu ZHPDiag

—\\ Applications démarrées automatiquement par le registre (O4)
O4 – HKLM\..\Run: [HFFSRV] . (…) — c:\windows\hffext\hffsrv.exe
O4 – HKUS\S-1-5-19\..\Run: [Sidebar] . (.Microsoft Corporation – Gadgets du Bureau Windows.) — C:\Program Files\Windows Sidebar\Sidebar.exe

—\\ Applications démarrées automatiquement par le registre (O4)
O4 – HKUS\S-1-5-21-0123456789-012345678-012345678-1000\..\Run: [msnmsgr] C:\Program Files\Windows Live\Messenger\msnmsgr.exe (.not file.)
O4 – HKUS\S-1-5-21-0123456789-012345678-012345678-1000\..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\DTLite.exe

—\\ Applications démarrées automatiquement par le registre (O4)
O4 – HKLM\..\Run: [QuickTime Task] Clé orpheline
O4 – HKLM\..\Run: [QuickTime Task] Orphean Key
O4 – HKLM\..\Terminal Server\Run: [NVIDIA driver monitor] c:\windows\nvsvc32.exe

Equivalence Hijackthis

O4 – HKCU\..\Run: [HKCU] C:\WINDOWS\system32\Winlog\winlogon.exe
O4 – HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\Winlog\winlogon.exe
O4 – HKUS\S-1-5-21-484763869-1343024091-725345543-1005\..\RunOnce: [NeroHomeFirstStart] "C:\Program Files\Fichiers communs\Nero\Lib\NMFirstStart.exe"

Equivalence RSIT

======Registry dump======
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"HKLM"=C:\WINDOWS\system32\Winlog\winlogon.exe []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies"=C:\WINDOWS\system32\Winlog\winlogon.exe []

Equivalence OTL

O4 – HKU\S-1-5-21-299502267-1965331169-725345543-1003..\Run: [HKCU] C:\WINDOWS\system32\explorer\explorer.exe ()
[2010-02-20 00:29:31 | 001,306,624 | RHS- | M] () Unable to obtain MD5 — C:\WINDOWS\system32\winlog\Winlogon.exe
O4 – HKLM\..\Run: [My Web Search Bar Search Scope Monitor] C:\Program Files\MyWebSearch\bar\1.bin\M3SRCHMN.EXE (MyWebSearch.com) => Infection BT (MyWebSearch.Spy)

Exemple N°1 (Cas d’une version nLite Windows non officielle)

O4 – HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:u shell32
O4 – HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n
O4 – HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:u shell32
O4 – HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n
O4 – HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:u shell32
O4 – HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n
O4 – HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:u shell32

Exemple N°2 (Cas d’une version pirate de Windows)

O4 – HKUS\S-1-5-18\..\RunOnce: [LSD_III] . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\LSD\end.cmd
O4 – HKUS\S-1-5-18\..\RunOnce: [LSD_III] . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\LSD\end.cmd
O4 – HKUS\S-1-5-20\..\RunOnce: [LSD_III] . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\LSD\end.cmd

Exemple N°3 (Cas d’une Infection)

– Infection FakeAlert (Trojan.FakeAlert) :
[MD5.23E80FFD5F952C35F7687A0D544DF835] – (.Pas de propriétaire – Pas de description.) — C:\program files\google\google desktop search\gcdtmp1070\googledesktop.exe [142336]
[MD5.23E80FFD5F952C35F7687A0D544DF835] – (.Pas de propriétaire – Pas de description.) — C:\documents and settings\…\application data\msa\baka6.exe [142336]
[MD5.23E80FFD5F952C35F7687A0D544DF835] – (.Pas de propriétaire – Pas de description.) — c:\program files\google\google desktop search\gcdtmp1077\googledesktop.exe [142336]
[MD5.23E80FFD5F952C35F7687A0D544DF835] – (.Pas de propriétaire – Pas de description.) — c:\program files\hp\digital imaging\{5b79cfd1-6845-4158-9d7d-6be89df2c135}\hpzcdl01sdiutilities53075.exe [142336]
[MD5.23E80FFD5F952C35F7687A0D544DF835] – (.Pas de propriétaire – Pas de description.) — c:\program files\fichiers communs\logitech\qcdrv\bin\ptb\logitechlcamwzrd.exe [142336]
O4 – HKLM\..\Run: [mscjaccelerator] . (.Pas de propriétaire – Pas de description.) — C:\documents and settings\…\application data\msa\baka7.exe
O4 – HKLM\..\Run: [allinoneSetup] . (.Pas de propriétaire – Pas de description.) — c:\program files\hp\digital imaging\{5b79cfd1-6845-4158-9d7d-6be89df2c135}\hpzcdl01sdiutilities53075.exe
O4 – HKLM\..\Run: [LogitechLogitech] . (.Pas de propriétaire – Pas de description.) — c:\program files\fichiers communs\logitech\qcdrv\winall\xprs\lvui2rclvcodec2.exe
O4 – HKLM\..\Run: [QuickCamLVUI2] . (.Pas de propriétaire – Pas de description.) — C:\program files\fichiers communs\logitech\qcdrv\winall\xprs\lvui2rclvcodec2.exe
O4 – HKLM\..\Run: [mscjlaunch] . (.Pas de propriétaire – Pas de description.) — c:\documents and settings\christian.nom-eb85c523610.001\application data\msa\baka7.exe
O4 – HKLM\..\Run: [GoogleGoogle] . (.Pas de propriétaire – Pas de description.) — C:\program files\google\google desktop search\gcdtmp1070\googledesktop.exe
O4 – HKLM\..\Run: [mscjQuick] . (.Pas de propriétaire – Pas de description.) — c:\documents and settings\christian.nom-eb85c523610.001\application data\msa\baka6.exe
O4 – HKLM\..\RunServices: [launchQuick] . (.Pas de propriétaire – Pas de description.) — C:\documents and settings\christian.nom-eb85c523610.001\application data\msa\baka7.exe
O4 – HKLM\..\RunServices: [DesktopDesktop] . (.Pas de propriétaire – Pas de description.) — c:\program files\google\google desktop search\gcdtmp1077\googledesktop.exe
O4 – HKLM\..\RunServices: [GoogleDesktop5.7.802.22438] . (.Pas de propriétaire – Pas de description.) — c:\program files\google\google desktop search\gcdtmp1673\googledesktop5.7.802.22438.exe
O4 – HKLM\..\RunServices: [LTroblAgQuickCam] . (.Pas de propriétaire – Pas de description.) — C:\Program Files\Fichiers Communs\logitech\qcdrv\bin\ptb\logitechlcamwzrd.exe
O4 – HKLM\..\RunServices: [DesktopGoogle] . (…) — C:\program files\google\google desktop search\gcdtmp1070\googledesktop.exe

O4 – HKUS\S-1-5-21-2154023944-3558821995-1915564575-1000\..\Run: [XA5RJ9EADJ] . (…) — C:\Users\…\AppData\Local\Temp\Bjr.exe

Infection Bot (Backdoor.Bot) avec usurpation de nom de propriétaire légitime
O4 – HKCU\..\Run: [GoogleApps] . (.Microsoft Inc. – Microsoft Component.) — C:\Documents and Settings\adrien\Mes documents\System32\4242.exe
O4 – HKUS\S-1-5-21-3664331877-2587049494-2928149487-1005\..\Run: [GoogleApps] . (.Microsoft Inc. – Microsoft Component.) — C:\Documents and Settings\adrien\Mes documents\System32\4242.exe

Action ZHPFix

O4 – {Key}: [ {KeyValue} ] . (…) — {FileName}

{Key} : Clé de Base de Registres [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
{KeyValue} : Valeur de la clé {Key}
{FileName} : Donnée de la valeur {KeyValue}

1) L’outil supprime la valeur {KeyValue} de la clé {Key}
2) L’outil supprime le fichier {FileName}

NB : Dans le cas d’une recherche d’optimisation, consulter la commande OPT

 

Rapport ZHPFix N°1 (Cas général)

Lignes Saisies :
O4 – HKLM\..\RunServices: [LTroblAgQuickCam] . (…) — C:\Program Files\Fichiers Communs\Logitech\qcdrv\in\ptb\logitechlcamwzrd.exe
O4 – HKLM\..\Run: [eorezo] . (.EoRezo – EoRezo.) — C:\Program Files\EoRezo\eorezo.exe
O4 – HKLM\..\RunOnce: [SoftwareHelper] . (.EoRezo – SoftwareHelper.) — C:\Users\stéphane et agnès\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
O4 – Global Startup: Mozilla Firefox 3.6 Beta 4.lnk . (.Mozilla Corporation – Firefox.) — C:\Program Files\Mozilla Firefox 3.6 Beta 4\firefox.exe

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010

========== Processus mémoire ==========
C:\Users\stéphane et agnès\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe [368224] => Supprimé et mis en quarantaine
C:\Program Files\EoRezo\eorezo.exe [667648] => Supprimé et mis en quarantaine

========== Valeur(s) du Registre ==========
O4 – HKLM\..\Run: [LTroblAgQuickCam] . (…) — C:\Program Files\Fichiers Communs\Logitech\qcdrv\in\ptb\logitechlcamwzrd.exe => Valeur supprimée avec succès
O4 – HKLM\..\Run: [eorezo] . (.EoRezo – EoRezo.) — C:\Program Files\EoRezo\eorezo.exe => Valeur supprimée avec succès
O4 – HKLM\..\RunOnce: [SoftwareHelper] . (.EoRezo – SoftwareHelper.) — C:\Users\stéphane et agnès\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe => Valeur supprimée avec succès

========== Fichier(s) ==========
C:\Program Files\Fichiers Communs\Logitech\qcdrv\in\ptb\logitechlcamwzrd.exe => Supprimé et mis en quarantaines
O4 – Global Startup: Mozilla Firefox 3.6 Beta 4.lnk . (.Mozilla Corporation – Firefox.) — C:\Program Files\Mozilla Firefox 3.6 Beta 4\firefox.exe => Supprimé et mis en quarantaine

========== Récapitulatif ==========
3 : Valeur(s) du Registre
2 : Fichier(s)

 

Rapport ZHPFix N°2 (Cas d’une clé orpheline)

Ligne Saisie
O4 – HKLM\..\Run: [QuickTime Task] Clé orpheline

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010

========== Valeur(s) du Registre ==========
O4 – HKLM\..\Run: [QuickTime Task] Clé orpheline => Valeur supprimée avec succès

========== Récapitulatif ==========
1 : Valeur(s) du Registre

 

Rapport ZHPFix N°3 (Cas d’une optimisation)

Ligne Saisie :
OPT:O4 – HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated – Adobe Acrobat SpeedLauncher.) — C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

Rapport de ZHPFix v1.12.3137 par Nicolas Coolman, Update du 23/08/2010

========== Valeur(s) du Registre ==========
O4 – HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated – Adobe Acrobat SpeedLauncher.) — C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe => Valeur supprimée avec succès

========== Récapitulatif ==========
1 : Valeur(s) du Registre

 

Liens

* Autoloading programs from Registry