[NicolasCoolman]

Hello,

01/04/2017 - ZHPDiag,ZHPCleaner, Création du module Task CLSID (O40) pour la détection de tâches planifiées malwares ou superflues dans la Base de Registres.

Pour activer ce module, cocher la ligne "Register Task" dans les options.

Aperçu ZHPDiag :

---\\ Tâches CLSID du registre (6) - 1s
O40 - TASK: {00000000-385D-4E40-8F13-204610C5F922} - (...) -- C:\Users\Coolman\AppData\Local\Temp\Vid-Saver.dll [0] =>Adware.CrossRider
O40 - TASK: {352E6CA0-7314-4DF4-89C4-682368D80D57} - (...) -- C:\WINDOWS\system32\AutoWorkplaceN.dll (.not file.) [0] (.Orphan.) =>.Superfluous.Orphan
O40 - TASK: {40C11307-7AEC-4F8D-8E3F-2860DC557CD2} - (...) -- C:\WINDOWS\System32\WpcWebSync.dll (.not file.) [0] (.Orphan.) =>.Superfluous.Orphan
O40 - TASK: {5A3FB241-0B11-4EA5-BC66-0D9F1B406040} - (...) -- C:\WINDOWS\system32\BthSQM.dll (.not file.) [0] (.Orphan.) =>.Superfluous.Orphan
O40 - TASK: {6DFCB649-0769-4F83-BB10-F60F235F6D3D} - (...) -- C:\WINDOWS\System32\SyncEngine.dll (.not file.) [0] (.Orphan.) =>.Superfluous.Orphan

---\\ Scan Additionnel (1) - 0s
HKLM64\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{00000000-385D-4E40-8F13-204610C5F922} =>Adware.CrossRider

Aperçu ZHPCLeaner

---\\ Explorateur ( Dossiers, Fichiers ). (1)
DEPLACÉ fichier: C:\Users\Coolman\AppData\Local\Temp\Vid-Saver.dll =>Adware.CrossRider

---\\ Base de Registres ( Clés, Valeurs, Données ). (1)
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{00000000-385D-4E40-8F13-204610C5F922} [C:\Users\Coolman\AppData\Local\Temp\Vid-Saver.dll] =>Adware.CrossRider
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{352E6CA0-7314-4DF4-89C4-682368D80D57} [C:\WINDOWS\system32\AutoWorkplaceN.dll (Not File)] =>.Superfluous.Orphan
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{40C11307-7AEC-4F8D-8E3F-2860DC557CD2} [C:\WINDOWS\System32\WpcWebSync.dll (Not File)] =>.Superfluous.Orphan
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5A3FB241-0B11-4EA5-BC66-0D9F1B406040} [C:\WINDOWS\system32\BthSQM.dll (Not File)] =>.Superfluous.Orphan
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6DFCB649-0769-4F83-BB10-F60F235F6D3D} [C:\WINDOWS\System32\SyncEngine.dll (Not File)] =>.Superfluous.Orphan

Voir le changelog complet

[dalton]

Nicolas a écrit:"Pour activer ce module, cocher la ligne "Register Task" dans les options".
je ne vois pas cette ligne

[NicolasCoolman]

Hello,

je ne vois pas cette ligne

Au bas de la troisième colonne, à partir de la v2017.4.1.57

A+

[eliot1]

Bonjour Nicolas,

Je ne la vois pas.



@+

[Pierre95]

Bonjour à tous,

Moi non plus !!






Pierre

[NicolasCoolman]

Hello,

Curieux, chez moi tout est OK !

Pour la prochaine version, je vais mettre en fixe le module O40 en entendant de comprendre ce phénomène.

Bon dimanche

[LeChe]

Hello

Le module 040 "Register Task"est présent maintenant dans les options de ZHPDiag, penser à cocher la case correspondante pour activer le module

@+

[eliot1]

Bonjour @toutes et @tous,
Hello Nicolas,

Merci pour ta réactivité.
C'est OK.

@+

[eliot1]

Bonjour @toutes et @tous,
Hello Nicolas,

Peux-tu m'éclairer S.T.P.
Rapport zhpdiag:
http://www.cjoint.com/c/GDviqslvDNs
Rapport Zhpcleaner:
http://www.cjoint.com/c/GDvirLwXuDs
Zhplite me déclare en superflu:
O40 - TASK: {5D110512-28E5-4C19-92F7-2F587C59F8BA} - (...) -- C:\WINDOWS\system32\ErrorDetailsUpdate.dll (.not file.) [0] (.Orphan.)
O40 - TASK: {99631641-F6C1-4F8C-8944-A1BA485B8708} - (...) -- C:\WINDOWS\system32\apprepsync.dll (.not file.) [0] (.Orphan.)
O40 - TASK: {9FD62902-1218-4DDA-A49E-7E2DCD459ECB} - (...) -- C:\WINDOWS\system32\ErrorDetailsUpdate.dll (.not file.) [0] (.Orphan.)
J'établis donc un script et ces lignes ne sont pas traitées:
http://www.cjoint.com/c/GDviwCgGEFs

@+

[Pierre95]

Bonjour Eliot,
En attendant Nicolas,
une autre solution:
Tu peux les faire sauter facilement dans un script correctif de FRST en y mettant les lignes équivallentes d'Addition de FRST ( section Taches Planifiées avec liste blanche )

Pierre