O4 – Applications démarrées par le registre




ZHPdiag_04


O4 – Applications démarrées par le registre

Caractéristiques :

– Ce module énumère l’ensemble des applications lancées au démarrage du système. Le traitement se fait à partir des clés de Base De Registres Run, RunOnce et RunServices.
– Affiche le nom du propriétaire et de la désignation du processus.
– Affiche l’information "Not file" en cas d’absence de processus.
– Donne l’information "Clé orpheline" (Orphean Key) en cas d’absence de processus.

Liste complète des branches recensées :

Policies Explorer :

Terminal Server :

OS 64 bits, A partir de Vista :

Aperçu ZHPDiag

—\ Applications démarrées automatiquement par le registre (O4)
O4 – HKLM..Run: . (…) — c:windowshffexthffsrv.exe
O4 – HKUSS-1-5-19..Run: . (.Microsoft Corporation – Gadgets du Bureau Windows.) — C:Program FilesWindows SidebarSidebar.exe

—\ Applications démarrées automatiquement par le registre (O4)
O4 – HKUSS-1-5-21-0123456789-012345678-012345678-1000..Run: C:Program FilesWindows LiveMessengermsnmsgr.exe (.not file.)
O4 – HKUSS-1-5-21-0123456789-012345678-012345678-1000..Run: C:Program FilesDAEMON Tools LiteDTLite.exe

—\ Applications démarrées automatiquement par le registre (O4)
O4 – HKLM..Run: Clé orpheline
O4 – HKLM..Run: Orphean Key
O4 – HKLM..Terminal ServerRun: c:windowsnvsvc32.exe

Equivalence Hijackthis

O4 – HKCU..Run: C:WINDOWSsystem32Winlogwinlogon.exe
O4 – HKLM..PoliciesExplorerRun: C:WINDOWSsystem32Winlogwinlogon.exe
O4 – HKUSS-1-5-21-484763869-1343024091-725345543-1005..RunOnce: "C:Program FilesFichiers communsNeroLibNMFirstStart.exe"

Equivalence RSIT

======Registry dump======

"HKLM"=C:WINDOWSsystem32Winlogwinlogon.exe []

"Policies"=C:WINDOWSsystem32Winlogwinlogon.exe []

Equivalence OTL

O4 – HKUS-1-5-21-299502267-1965331169-725345543-1003..Run: C:WINDOWSsystem32explorerexplorer.exe ()
() Unable to obtain MD5 — C:WINDOWSsystem32winlogWinlogon.exe
O4 – HKLM..Run: C:Program FilesMyWebSearchbar1.binM3SRCHMN.EXE (MyWebSearch.com) => Infection BT (MyWebSearch.Spy)

Exemple N°1 (Cas d’une version nLite Windows non officielle)

O4 – HKUSS-1-5-18..RunOnce: regsvr32 /s /n /i:u shell32
O4 – HKUSS-1-5-18..RunOnce: rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n
O4 – HKUSS-1-5-18..RunOnce: regsvr32 /s /n /i:u shell32
O4 – HKUSS-1-5-18..RunOnce: rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n
O4 – HKUSS-1-5-19..RunOnce: regsvr32 /s /n /i:u shell32
O4 – HKUSS-1-5-19..RunOnce: rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n
O4 – HKUSS-1-5-20..RunOnce: regsvr32 /s /n /i:u shell32

Exemple N°2 (Cas d’une version pirate de Windows)

O4 – HKUSS-1-5-18..RunOnce: . (.Pas de propriétaire – Pas de description.) — C:WINDOWSLSDend.cmd
O4 – HKUSS-1-5-18..RunOnce: . (.Pas de propriétaire – Pas de description.) — C:WINDOWSLSDend.cmd
O4 – HKUSS-1-5-20..RunOnce: . (.Pas de propriétaire – Pas de description.) — C:WINDOWSLSDend.cmd

Exemple N°3 (Cas d’une Infection)

– Infection FakeAlert (Trojan.FakeAlert) :
– (.Pas de propriétaire – Pas de description.) — C:program filesgooglegoogle desktop searchgcdtmp1070googledesktop.exe
– (.Pas de propriétaire – Pas de description.) — C:documents and settings…application datamsabaka6.exe
– (.Pas de propriétaire – Pas de description.) — c:program filesgooglegoogle desktop searchgcdtmp1077googledesktop.exe
– (.Pas de propriétaire – Pas de description.) — c:program fileshpdigital imaging{5b79cfd1-6845-4158-9d7d-6be89df2c135}hpzcdl01sdiutilities53075.exe
– (.Pas de propriétaire – Pas de description.) — c:program filesfichiers communslogitechqcdrvbinptblogitechlcamwzrd.exe
O4 – HKLM..Run: . (.Pas de propriétaire – Pas de description.) — C:documents and settings…application datamsabaka7.exe
O4 – HKLM..Run: . (.Pas de propriétaire – Pas de description.) — c:program fileshpdigital imaging{5b79cfd1-6845-4158-9d7d-6be89df2c135}hpzcdl01sdiutilities53075.exe
O4 – HKLM..Run: . (.Pas de propriétaire – Pas de description.) — c:program filesfichiers communslogitechqcdrvwinallxprslvui2rclvcodec2.exe
O4 – HKLM..Run: . (.Pas de propriétaire – Pas de description.) — C:program filesfichiers communslogitechqcdrvwinallxprslvui2rclvcodec2.exe
O4 – HKLM..Run: . (.Pas de propriétaire – Pas de description.) — c:documents and settingschristian.nom-eb85c523610.001application datamsabaka7.exe
O4 – HKLM..Run: . (.Pas de propriétaire – Pas de description.) — C:program filesgooglegoogle desktop searchgcdtmp1070googledesktop.exe
O4 – HKLM..Run: . (.Pas de propriétaire – Pas de description.) — c:documents and settingschristian.nom-eb85c523610.001application datamsabaka6.exe
O4 – HKLM..RunServices: . (.Pas de propriétaire – Pas de description.) — C:documents and settingschristian.nom-eb85c523610.001application datamsabaka7.exe
O4 – HKLM..RunServices: . (.Pas de propriétaire – Pas de description.) — c:program filesgooglegoogle desktop searchgcdtmp1077googledesktop.exe
O4 – HKLM..RunServices: . (.Pas de propriétaire – Pas de description.) — c:program filesgooglegoogle desktop searchgcdtmp1673googledesktop5.7.802.22438.exe
O4 – HKLM..RunServices: . (.Pas de propriétaire – Pas de description.) — C:Program FilesFichiers Communslogitechqcdrvbinptblogitechlcamwzrd.exe
O4 – HKLM..RunServices: . (…) — C:program filesgooglegoogle desktop searchgcdtmp1070googledesktop.exe

O4 – HKUSS-1-5-21-2154023944-3558821995-1915564575-1000..Run: . (…) — C:Users…AppDataLocalTempBjr.exe

Infection Bot (Backdoor.Bot) avec usurpation de nom de propriétaire légitime
O4 – HKCU..Run: . (.Microsoft Inc. – Microsoft Component.) — C:Documents and SettingsadrienMes documentsSystem324242.exe
O4 – HKUSS-1-5-21-3664331877-2587049494-2928149487-1005..Run: . (.Microsoft Inc. – Microsoft Component.) — C:Documents and SettingsadrienMes documentsSystem324242.exe

Action ZHPFix

O4 – {Key}: . (…) — {FileName}

{Key} : Clé de Base de Registres
{KeyValue} : Valeur de la clé {Key}
{FileName} : Donnée de la valeur {KeyValue}

1) L’outil supprime la valeur {KeyValue} de la clé {Key}
2) L’outil supprime le fichier {FileName}

NB : Dans le cas d’une recherche d’optimisation, consulter la commande OPT

 

Rapport ZHPFix N°1 (Cas général)

Lignes Saisies :
O4 – HKLM..RunServices: . (…) — C:Program FilesFichiers CommunsLogitechqcdrvinptblogitechlcamwzrd.exe
O4 – HKLM..Run: . (.EoRezo – EoRezo.) — C:Program FilesEoRezoeorezo.exe
O4 – HKLM..RunOnce: . (.EoRezo – SoftwareHelper.) — C:Usersstéphane et agnèsAppDataRoamingeoRezoSoftwareUpdateSoftwareUpdateHP.exe
O4 – Global Startup: Mozilla Firefox 3.6 Beta 4.lnk . (.Mozilla Corporation – Firefox.) — C:Program FilesMozilla Firefox 3.6 Beta 4firefox.exe

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010

========== Processus mémoire ==========
C:Usersstéphane et agnèsAppDataRoamingeoRezoSoftwareUpdateSoftwareUpdateHP.exe => Supprimé et mis en quarantaine
C:Program FilesEoRezoeorezo.exe => Supprimé et mis en quarantaine

========== Valeur(s) du Registre ==========
O4 – HKLM..Run: . (…) — C:Program FilesFichiers CommunsLogitechqcdrvinptblogitechlcamwzrd.exe => Valeur supprimée avec succès
O4 – HKLM..Run: . (.EoRezo – EoRezo.) — C:Program FilesEoRezoeorezo.exe => Valeur supprimée avec succès
O4 – HKLM..RunOnce: . (.EoRezo – SoftwareHelper.) — C:Usersstéphane et agnèsAppDataRoamingeoRezoSoftwareUpdateSoftwareUpdateHP.exe => Valeur supprimée avec succès

========== Fichier(s) ==========
C:Program FilesFichiers CommunsLogitechqcdrvinptblogitechlcamwzrd.exe => Supprimé et mis en quarantaines
O4 – Global Startup: Mozilla Firefox 3.6 Beta 4.lnk . (.Mozilla Corporation – Firefox.) — C:Program FilesMozilla Firefox 3.6 Beta 4firefox.exe => Supprimé et mis en quarantaine

========== Récapitulatif ==========
3 : Valeur(s) du Registre
2 : Fichier(s)

 

Rapport ZHPFix N°2 (Cas d’une clé orpheline)

Ligne Saisie
O4 – HKLM..Run: Clé orpheline

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010

========== Valeur(s) du Registre ==========
O4 – HKLM..Run: Clé orpheline => Valeur supprimée avec succès

========== Récapitulatif ==========
1 : Valeur(s) du Registre

 

Rapport ZHPFix N°3 (Cas d’une optimisation)

Ligne Saisie :
OPT:O4 – HKLM..Run: . (.Adobe Systems Incorporated – Adobe Acrobat SpeedLauncher.) — C:Program FilesAdobeReader 8.0ReaderReader_sl.exe

Rapport de ZHPFix v1.12.3137 par Nicolas Coolman, Update du 23/08/2010

========== Valeur(s) du Registre ==========
O4 – HKLM..Run: . (.Adobe Systems Incorporated – Adobe Acrobat SpeedLauncher.) — C:Program FilesAdobeReader 8.0ReaderReader_sl.exe => Valeur supprimée avec succès

========== Récapitulatif ==========
1 : Valeur(s) du Registre

 

Liens

* Autoloading programs from Registry


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour haut de page