5/5 - (1 vote)

.

ZHPDiag – Module O38 (Tâches Planifiées)

Les outils d’administration de Windows permettent la création de tâches planifiées en automatique.

Vous pouvez utiliser cet outil pour démarrer automatiquement un programme, pour effectuer une tâche à intervalle régulier ou pour effectuer d’autres actions particulières.

Caractéristiques

Lié au module APT (Automatic Planified Task). De nombreux logiciels ont pour fonction la surveillance ou la mise à jour du système. Pour chacun d’eux, une tâche planifiée peut être créée et se déclencher en fonction d’une périodicité établie. Ce procédé de tâche planifiée pouvant être détourné par certains malwares, l’outil permet l’affichage de l’ensemble de ces événements. Ensuite une analyse de ZHP pourra déterminer la légitimité ou la nocivité d’une telle tâche.

– Une recherche complémentaire s’effectue dans la clé de registre “Schedule“. Toutefois pour être opérationnelle, cette fonction nécessite d’avoir une autorisation spéciale sur cette clé car le “contrôle total” est insuffisant. v1.24.10

– Nouveau format d’affichage pour la prise en compte du processus qui lance la tâche planifiée. v1.27.102

Aperçu ZHPDiag

—\\ Tâches planifiées en automatique (Registre) (1) 
O38 – TASK: {E8164C0D-216C-4B6B-9EB8-31BF958B8014}[\Microsoft\Windows\NetTrace\GatherNetworkInfo] – (…) — C:\Windows\System32\gatherNetworkInfo.vbs [40552]

Equivalence MBAM

Fichier(s) infecté(s):
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader)
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader)

Exemple d’infection

—\\ Tâches planifiées en automatique (Registre) (3) – 10s
O38 – TASK: {4DAB2C44-5A53-4B32-9262-AEB43FF5649E}[\efUEhcuJwHYJuW] – (…) — C:\Program Files\eBrsiDkdtdyU2\iFiIbwZVvOIaJ.dll [444928]
O38 – TASK: {A28B6E0A-494F-4CC8-8B8E-862F32E5F151}[\JaSZgvLfgwdeDbT2] – (…) — C:\Program Files\rTAcZRetU\FIwVOa.dll [262656]
O38 – TASK: {B3F0FBEF-0D21-41EC-A1DD-EC7693CE3C11}[\JaSZgvLfgwdeDbT] – (…) — C:\Program Files\rTAcZRetU\FIwVOa.dll [262656]

Script ZHPFix

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4DAB2C44-5A53-4B32-9262-AEB43FF5649E}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{4DAB2C44-5A53-4B32-9262-AEB43FF5649E}
C:\WINDOWS\System32\Tasks\efUEhcuJwHYJuW

A propos de l'auteur

Retour en haut