ZHPdiag_051


ZHPDiag – Module O51 (MPSK)

Caractéristiques

Le module MPSK (MountPoints2 Search Key) permet de traquer les infections en provenance des ports USB. La recherche se fait sur la clé utilisateur suivante :

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{CLSID}\shell]

Puis scanne la présence de données dans les diverses sous-clés de registre suivantes:

– "AutoRun\command",
– "explore\command",
– "open\command"
,
– "Browser\command",
– "Auto\command",

Aperçu ZHPDiag

—\\ MountPoints2 Shell Key (MPSK) (O51)
O51 – MPSK:{7fd09aec-e17a-11dd-9618-001bb9f21385}\Shell\AutoRun\command – L:\Launch.exe /run
O51 – MPSK:{264723e8-89aa-11dd-b05d-4d6564696130}\Shell\explore\command – H:\helper.exe
O51 – MPSK:{492c038b-8707-11dd-b055-4d6564696130}\Shell\open\command – RavMon.exe

Affichage en cas d’absence du fichier (.not file).
—\\ MountPoints2 Shell Key (MPSK) (O51)
O51 – MPSK:{88888888-51ce-11de-96a5-001060d14950}\Shell\explore\command. (…) — c:\zPharaoh.exe (.not file.)

Equivalence USBFix

################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{15327bc2-9cc6-11de-87ae-00138f9e1612}
Shell\AutoRun\command =F:\10nb.exe
Shell\open\Command =F:\10nb.exe

Equivalence RSIT

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40edd1fe-dde8-11db-9839-0016d4b0341b}]
shell\Auto\command – RavMonE.exe e
shell\AutoRun\command – C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e

Equivalence OTL

O33 – MountPoints2\{fa822622-d60e-11db-a583-00038a000015}\Shell\AutoRun\command – "" = E:\LinksysConnectPC.exe — File not found

Exemple d’infection

O4 – HKLM\..\Run: [windows] . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\system32\windows\Updat.exe
O4 – HKCU\..\Run: [updat] . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\system32\windows\Updat.exe
O4 – HKLM\..\policies\Explorer\Run: [Polices] . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\system32\windows\Updat.exe
O4 – HKCU\..\policies\Explorer\Run: [Polices] . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\system32\windows\Updat.exe
O40 – ASIC: (no name) – {VYUB2383-G80U-N0Y5-U671-073O66S8110I} . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\system32\windows\Updat.exe
O51 – MPSK:{702b8093-821b-11df-8c79-0016e697a35e}\Shell\AutoRun\command. (.) — C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\Updat.exe
O51 – MPSK:{b5c559b4-645d-11df-8c3e-0016e697a35e}\Shell\AutoRun\command. (.) — C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\Updat.exe
O51 – MPSK:{b5c559b5-645d-11df-8c3e-0016e697a35e}\Shell\AutoRun\command. (.) — C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\Updat.exe
O51 – MPSK:{d7d9c9af-5aaa-11df-8c29-0016e697a35e}\Shell\AutoRun\command. (.) — C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\Updat.exe
O53 – SMSR:HKLM\…\startupreg\updat [Key] . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\system32\windows\Updat.exe
O53 – SMSR:HKLM\…\startupreg\windows [Key] . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\system32\windows\Updat.exe

 

Action ZHPFix

O51 – MPSK:{CLSIDKey}\Shell\explore\command. (..) — {FileName}

{Key} : Clé de Base de Registres [HKEYCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
{CLSIDKey} : Sous-clé de la clé {Key}
{FileName} : Valeur par défaut de la clé [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{CLSIDKey}\Shell\AutoRun\command]

1) L’outil supprime la clé CLSID {CLSIDKey}.
2) L’outil supprime le fichier {FileName}.

 

Rapport ZHPFix

O51 – MPSK:{08781a01-244b-11dd-997c-001d6080d73c}\Shell\AutoRun\command. (…) — c:\windows\system32\xls.exe

Rapport de ZHPFix 1.12.32 par Nicolas Coolman, Update du 25/09/2010

========== Clé(s) du Registre ==========
O51 – MPSK:{08781a01-244b-11dd-997c-001d6080d73c}\Shell\AutoRun\command. (…) — C:\WINDOWS\system32\xls.exe => Clé supprimée avec succès

========== Fichier(s) ==========
c:\windows\system32\xls.exe => Supprimé et mis en quarantaine

========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Fichier(s)

Liens :

Nettoyer votre station avec USBFix