ZHPDiag – Module O46 (SEH) – Shell Execute Hooks
Expose une méthode qui étend le comportement des fonctions ShellExecute ou ShellExecuteEx.
Il est généralement implémenté par des sous-systèmes qui exposent les noms des objets que l’utilisateur peut spécifier dans la boîte de dialogue « Exécuter » après avoir cliqué sur le bouton « Démarrer » de Windows.
Lié au module SEH (Shell Execute Hooks). Il permet de recenser toutes les opérations et fonctions au démarrage de Windows Explorer. La recherche s’effectue dans la clé de Base de registres [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Aperçu ZHPDiag
—\\ ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer (O46)
O46 – SEH:ShellExecuteHooks – URL Exec Hook – {AEB6717E-7E19-11d0-97EE-00C04FD91972} – shell32.dll
O46 – SEH:ShellExecuteHooks – Groove GFS Stub Execution Hook – {B5A7F190-DDA6-4420-B3BA-52453494E6CD} – C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
Exemples de détection
O46 – SEH:ShellExecuteHooks – Daily Searches – {102293E4-758B-4483-946B-714EBCEC91B8} – C:\Windows\System32\FirUpdate.dll =>Adware.SePpBar
O46 – SEH:ShellExecuteHooks – (no name) – {C3C0CBC3-CCB9-17CF-F0B4-6AC9B0EF4F5E} – C:\Windows\system32\aeoraunanora.dll
Action ZHPFix
O46 – SEH:ShellExecuteHooks – {Startup} – {CLSIDValue} – {FileName}
{Key} : Clé de Base de registres [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
{CLSIDValue} : Valeur de la clé {Key}
{FileName} : Donnée par défaut de la clé [HKLM\SOFTWARE\Classes\CLSID\{CLSIDValue}\InProcServer32]
{Startup} : Valeur par défaut de la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CLSIDValue}]
1) L’outil supprime la clé [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\CLSIDValue}]
2) L’outil supprime la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CLSIDValue}]
3) L’outil supprime la clé [HKEY_CLASSES_ROOT\CLSID\{CLSIDValue}]
4) L’outil supprime le fichier {FileName}