ZHPDiag – Module O46 (SEH) – Shell Execute Hooks

Expose une méthode qui étend le comportement des fonctions ShellExecute ou ShellExecuteEx.

Il est généralement implémenté par des sous-systèmes qui exposent les noms des objets que l’utilisateur peut spécifier dans la boîte de dialogue « Exécuter » après avoir cliqué sur le bouton « Démarrer » de Windows.

Lié au module SEH (Shell Execute Hooks). Il permet de recenser toutes les opérations et fonctions au démarrage de Windows Explorer. La recherche s’effectue dans la clé de Base de registres [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

Aperçu ZHPDiag

—\\ ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer (O46)
O46 – SEH:ShellExecuteHooks – URL Exec Hook – {AEB6717E-7E19-11d0-97EE-00C04FD91972} – shell32.dll
O46 – SEH:ShellExecuteHooks – Groove GFS Stub Execution Hook – {B5A7F190-DDA6-4420-B3BA-52453494E6CD} – C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

Exemples de détection

O46 – SEH:ShellExecuteHooks – Daily Searches – {102293E4-758B-4483-946B-714EBCEC91B8} – C:\Windows\System32\FirUpdate.dll =>Adware.SePpBar 
O46 – SEH:ShellExecuteHooks – (no name) – {C3C0CBC3-CCB9-17CF-F0B4-6AC9B0EF4F5E} – C:\Windows\system32\aeoraunanora.dll

Action ZHPFix

O46 – SEH:ShellExecuteHooks – {Startup} – {CLSIDValue} – {FileName}

{Key} : Clé de Base de registres [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
{CLSIDValue} : Valeur de la clé {Key}
{FileName} : Donnée par défaut de la clé [HKLM\SOFTWARE\Classes\CLSID\{CLSIDValue}\InProcServer32]
{Startup} : Valeur par défaut de la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CLSIDValue}]

1) L’outil supprime la clé [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\CLSIDValue}]
2) L’outil supprime la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CLSIDValue}]
3) L’outil supprime la clé [HKEY_CLASSES_ROOT\CLSID\{CLSIDValue}]
4) L’outil supprime le fichier {FileName}