ZHPDiag – Module O40 (ASIC)

Active Setup est un mécanisme d’exécution de commandes utilisateur au début d’une connexion. L’installation active est utilisée par certains composants du système d’exploitation comme Internet Explorer pour configurer une configuration initiale pour les utilisateurs qui se connectent pour la première fois.

L’installation active est également utilisée dans les systèmes de distribution de logiciels de certaines sociétés pour créer un environnement utilisateur personnalisé initial.

Origine

– Le module O40 (ASIC) a été crée le 24 août 2008.

Caractéristiques

– Lié au module ASIC (ActiveSetup Installed Components). Il permet de lister tous les composants Active Setup énumérés dans la Base De Registres.

– La recherche s’effectue dans la clé de Base de Registres [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components].

– Ajout du propriétaire et de la désignation du fichier. v1.25.03

Aperçu ZHPDiag

—\\ Composants installés (ActiveSetup Installed Components) (040)
O40 – ASIC: Lecteur Windows Media – {22d6f312-b0f6-11d0-94ab-0080c74c7e95} – C:\WINDOWS\inf\unregmp2.exe /ShowWMP
O40 – ASIC: Internet Explorer – {26923b43-4d38-484f-9b9e-de460746276c} – C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE
O40 – ASIC: Personnalisation du navigateur – {60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS – RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

—\\ Composants installés (ActiveSetup Installed Components) (O40) v1.25.03
O40 – ASIC: Browser Customizations – >{60B49E34-C7CC-11D0-8953-00A0C90347FF} . (.Microsoft Corporation – Personnalisation d’IEAK.) — C:\Windows\System32\iedkcs32.dll
O40 – ASIC: Java (Sun) – {08B0E5C0-4FCB-11CF-AAA5-00401C608500} – (not file)

 

Equivalence MBAM

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5hm52028-f2or-6862-7xhe-1t5y373ho523} (Generic.Bot.H)

Exemple d’infection

O40 – ASIC: (no name) – {VYUB2383-G80U-N0Y5-U671-073O66S8110I} . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\system32\windows\Updat.exe => Infection Bot (Malware.Bot)
O40 – ASIC: (no name) – {FFA0BBAD-2EAC-6CE2-C2BB-ECF43EBA6DCC} . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\system32\winserv.exe => Infection Diverse (Malware.Bot)

Worm:Win32/Hamweq.C
Presence of the following registry modification:
Under key: HKLM\Software\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}\
Adds value: StubPath
With data: « c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe« 

Action ZHPFix

O40 – ASIC: {Startup} – {CLSIDKey} – {FileName}

{Key} : Clé de Base de Registres [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components]
{CLSIDKey} : Sous-clé CLSID de la Clé {Key}
{Startup} : Valeur par défaut de {CLSIDKey}
{FileName} : Donnée de la valeur par défaut de la clé [HKLM\SOFTWARE\Classes\CLSID\{CLSIDKey}\InProcServer32]

1) L’outil supprime la clé [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Component\CLSIDKey}]
2) L’outil supprime la clé [HKLM\SOFTWARE\Classes\CLSID\{CLSIDKey}]
3) L’outil supprime la clé [HKEY_CLASSES_ROOT\CLSID\{CLSIDKey}]
4) L’outil supprime le fichier {FileName}

Rapport ZHPFix (Exemple)

Ligne saisie :
O40 – ASIC: (no name) – {VYUB2383-G80U-N0Y5-U671-073O66S8110I} . (…) — C:\WINDOWS\system32\windows\Updat.exe

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 02/08/2010

========== Clé(s) du Registre ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{VYUB2383-G80U-N0Y5-U671-073O66S8110I}] => Clé supprimée avec succès
[HKEY_CLASSES_ROOT\CLSID\{VYUB2383-G80U-N0Y5-U671-073O66S8110I}] => Clé supprimée avec succès
O40 – ASIC: (no name) – {VYUB2383-G80U-N0Y5-U671-073O66S8110I} . (…) — C:\WINDOWS\system32\windows\Updat.exe => Clé supprimée avec succès

========== Fichier(s) ==========
C:\WINDOWS\system32\windows\Updat.exe => Supprimé et mis en quarantaine

========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Fichier(s)

Liens

* Comment faire pour déterminer si Active Desktop est installé