ZHPDIAG – MODULE O4 (ADAR)

Ce module énumère l’ensemble des applications lancées au démarrage du système. Le traitement se fait à partir des clés de Base De Registres Run, RunOnce et RunServices.

À chacune de ces clés correspond une série de valeurs. Ces valeurs permettent à des entrées multiples de coexister sans s’écraser mutuellement. La valeur de données pour une valeur est une ligne de commande.

Certains éléments spéciaux doivent être pris en compte pour la troisième et la quatrième clés de la liste, les clés RunOnce :

  • Par défaut, les clés Run sont ignorées lorsque l’ordinateur démarre en mode sans échec. Sous les clés RunOnce, vous pouvez préfixer un nom de valeur avec un astérisque (*) pour forcer le programme associé à s’exécuter même en mode sans échec.
  • Vous pouvez préfixer le nom d’une valeur RunOnce avec un point d’exclamation (!) pour faire en sorte que la suppression de la valeur intervienne après l’exécution de la commande.
  • Sans point d’exclamation en préfixe, une valeur RunOnce est supprimée avant l’exécution de la commande. En conséquence, si une opération RunOnce ne s’exécute pas correctement, le programme associé n’est pas appelé à s’exécuter la prochaine fois que vous démarrez l’ordinateur. (Microsoft)

Liste des branches recensées

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run] v1.28.315

Policies Explorer :
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
[HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
[HKUS\S-1-5-XX\Software\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
[HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKUS\S-1-5-XX\Software\Microsoft\Windows\CurrentVersion\RunOnce]

[HKUS\ {SID} \Software\Microsoft\Windows\CurrentVersion\Run] v1.26.32
[HKUS\ {SID} \Software\Microsoft\Windows\CurrentVersion\RunOnce] v1.26.32

Terminal Server :
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run]

OS 64 bits depuis Windows Vista :
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]

Aperçu ZHPDiag

—\\ Applications démarrées automatiquement par le registre (O4)
O4 – HKLM\..\Run: [HFFSRV] – c:\windows\hffext\hffsrv.exe
O4 – HKUS\S-1-5-19\..\Run: [Sidebar] – C:\Program Files\Windows Sidebar\Sidebar.ex
e

—\\ Applications démarrées automatiquement par le registre (O4) v1.25.02
O4 – HKLM\..\Run: [HFFSRV] . (.Pas de propriétaire – Pas de description.) — c:\windows\hffext\hffsrv.exe
O4 – HKUS\S-1-5-19\..\Run: [Sidebar] . (.Microsoft Corporation – Gadgets du Bureau Windows.) — C:\Program Files\Windows Sidebar\Sidebar.exe

—\\ Applications démarrées automatiquement par le registre (O4) v1.25.1436
O4 – HKLM\..\Wow6432Node\Run: [KBD] . (.Microsoft – Kbd Stub.) — C:\Program Files (x86)\Hewlett-Packard\KBD\KbdStub.exe

—\\ Applications démarrées automatiquement par le registre (O4) v1.26.32
O4 – HKUS\S-1-5-21-0123456789-012345678-012345678-1000\..\Run: [msnmsgr] C:\Program Files\Windows Live\Messenger\msnmsgr.exe (.not file.)
O4 – HKUS\S-1-5-21-0123456789-012345678-012345678-1000\..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\DTLite.exe

—\\ Applications démarrées automatiquement par le registre (O4) v1.26.45
O4 – HKLM\..\Run: [QuickTime Task] Clé orpheline
O4 – HKLM\..\Run: [QuickTime Task] Orphean Key

—\\ Applications démarrées automatiquement par le registre (O4) v1.27.1848
O4 – HKLM\..\Terminal Server\Run: [NVIDIA driver monitor] c:\windows\nvsvc32.exe

Exemple N°1 (Cas d’une version nLite Windows non officielle)

O4 – HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:u shell32
O4 – HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n
O4 – HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:u shell32
O4 – HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n
O4 – HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:u shell32
O4 – HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n
O4 – HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:u shell32

Exemple N°2 (Cas d’une version pirate de Windows)

O4 – HKUS\S-1-5-18\..\RunOnce: [LSD_III] . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\LSD\end.cmd
O4 – HKUS\S-1-5-18\..\RunOnce: [LSD_III] . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\LSD\end.cmd
O4 – HKUS\S-1-5-20\..\RunOnce: [LSD_III] . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\LSD\end.cmd

Exemple N°3 (Cas d’une Infection)

– Infection Trojan.FakeAlert :
[MD5.23E80FFD5F952C35F7687A0D544DF835] – (…) — C:\program files\google\google desktop search\gcdtmp1070\googledesktop.exe [142336]
[MD5.23E80FFD5F952C35F7687A0D544DF835] – (…) — C:\documents and settings\…\application data\msa\baka6.exe [142336]
[MD5.23E80FFD5F952C35F7687A0D544DF835] – (…) — c:\program files\google\google desktop search\gcdtmp1077\googledesktop.exe [142336]
[MD5.23E80FFD5F952C35F7687A0D544DF835] – (…) — c:\program files\fichiers communs\logitech\qcdrv\bin\ptb\logitechlcamwzrd.exe [142336]
O4 – HKLM\..\Run: [mscjaccelerator] . (…) — C:\documents and settings\…\application data\msa\baka7.exe
O4 – HKLM\..\Run: [allinoneSetup] . (…) — c:\program files\hp\digital imaging\{5b79cfd1-6845-4158-9d7d-6be89df2c135}\hpzcdl01sdiutilities53075.exe
O4 – HKLM\..\Run: [LogitechLogitech] . (…) — c:\program files\fichiers communs\logitech\qcdrv\winall\xprs\lvui2rclvcodec2.exe
O4 – HKLM\..\Run: [QuickCamLVUI2] . (…) — C:\program files\fichiers communs\logitech\qcdrv\winall\xprs\lvui2rclvcodec2.exe
O4 – HKLM\..\Run: [mscjlaunch] . (…) — c:\documents and settings\christian.nom-eb85c523610.001\application data\msa\baka7.exe
O4 – HKLM\..\Run: [GoogleGoogle] . (…) — C:\program files\google\google desktop search\gcdtmp1070\googledesktop.exe
O4 – HKLM\..\Run: [mscjQuick] . (…) — c:\documents and settings\christian.nom-eb85c523610.001\application data\msa\baka6.exe
O4 – HKLM\..\RunServices: [launchQuick] . (…) — C:\documents and settings\christian.nom-eb85c523610.001\application data\msa\baka7.exe
O4 – HKLM\..\RunServices: [DesktopDesktop] . (…) — c:\program files\google\google desktop search\gcdtmp1077\googledesktop.exe
O4 – HKLM\..\RunServices: [GoogleDesktop5.7.802.22438] . (…) — c:\program files\google\google desktop search\gcdtmp1673\googledesktop5.7.802.22438.exe
O4 – HKLM\..\RunServices: [LTroblAgQuickCam] . (…) — C:\Program Files\Fichiers Communs\logitech\qcdrv\bin\ptb\logitechlcamwzrd.exe
O4 – HKLM\..\RunServices: [DesktopGoogle] . (…) — C:\program files\google\google desktop search\gcdtmp1070\googledesktop.exe

O4 – HKUS\S-1-5-21-2154023944-3558821995-1915564575-1000\..\Run: [XA5RJ9EADJ] . (…) — C:\Users\…\AppData\Local\Temp\Bjr.exe

Infection Backdoor.Bot avec usurpation de nom de propriétaire légitime
O4 – HKCU\..\Run: [GoogleApps] . (.Microsoft Inc. – Microsoft Component.) — C:\Documents and Settings\adrien\Mes documents\System32\4242.exe
O4 – HKUS\S-1-5-21-3664331877-2587049494-2928149487-1005\..\Run: [GoogleApps] . (.Microsoft Inc. – Microsoft Component.) — C:\Documents and Settings\adrien\Mes documents\System32\4242.exe

Action ZHPFix

O4 – {Key}: [ {KeyValue} ] . (…) — {FileName}

{Key} : Clé de Base de Registres [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
{KeyValue} : Valeur de la clé {Key}
{FileName} : Donnée de la valeur {KeyValue}

1) L’outil supprime la valeur {KeyValue} de la clé {Key}
2) L’outil supprime le fichier {FileName}

NB : Dans le cas d’une recherche d’optimisation, consulter la commande « OPT »

Rapport ZHPFix N°1 (Cas général)

Lignes Saisies :
O4 – HKLM\..\RunServices: [LTroblAgQuickCam] . (…) — C:\Program Files\Fichiers Communs\Logitech\qcdrv\in\ptb\logitechlcamwzrd.exe
O4 – HKLM\..\Run: [eorezo] . (.EoRezo – EoRezo.) — C:\Program Files\EoRezo\eorezo.exe
O4 – HKLM\..\RunOnce: [SoftwareHelper] . (.EoRezo – SoftwareHelper.) — C:\Users\stéphane et agnès\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
O4 – Global Startup: Mozilla Firefox 3.6 Beta 4.lnk . (.Mozilla Corporation – Firefox.) — C:\Program Files\Mozilla Firefox 3.6 Beta 4\firefox.exe

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010

========== Processus mémoire ==========
C:\Users\stéphane et agnès\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe [368224] => Supprimé et mis en quarantaine
C:\Program Files\EoRezo\eorezo.exe [667648] => Supprimé et mis en quarantaine

========== Valeur(s) du Registre ==========
O4 – HKLM\..\Run: [LTroblAgQuickCam] . (…) — C:\Program Files\Fichiers Communs\Logitech\qcdrv\in\ptb\logitechlcamwzrd.exe => Valeur supprimée avec succès
O4 – HKLM\..\Run: [eorezo] . (.EoRezo – EoRezo.) — C:\Program Files\EoRezo\eorezo.exe => Valeur supprimée avec succès
O4 – HKLM\..\RunOnce: [SoftwareHelper] . (.EoRezo – SoftwareHelper.) — C:\Users\stéphane et agnès\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe => Valeur supprimée avec succès

========== Fichier(s) ==========
C:\Program Files\Fichiers Communs\Logitech\qcdrv\in\ptb\logitechlcamwzrd.exe => Supprimé et mis en quarantaines
O4 – Global Startup: Mozilla Firefox 3.6 Beta 4.lnk . (.Mozilla Corporation – Firefox.) — C:\Program Files\Mozilla Firefox 3.6 Beta 4\firefox.exe => Supprimé et mis en quarantaine

========== Récapitulatif ==========
3 : Valeur(s) du Registre
2 : Fichier(s)

Rapport ZHPFix N°2 (Cas d’une clé orpheline)

Ligne Saisie
O4 – HKLM\..\Run: [QuickTime Task] Clé orpheline

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010

========== Valeur(s) du Registre ==========
O4 – HKLM\..\Run: [QuickTime Task] Clé orpheline => Valeur supprimée avec succès

========== Récapitulatif ==========
1 : Valeur(s) du Registre

Rapport ZHPFix N°3 (Cas d’une optimisation)

Ligne Saisie :
OPT:O4 – HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated – Adobe Acrobat SpeedLauncher.) — C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

Rapport de ZHPFix v1.12.3137 par Nicolas Coolman, Update du 23/08/2010

========== Valeur(s) du Registre ==========
O4 – HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated – Adobe Acrobat SpeedLauncher.) — C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe => Valeur supprimée avec succès

========== Récapitulatif ==========
1 : Valeur(s) du Registre

ZHPDiag – Module O4 (ADAR)
5 (100%) 1 vote[s]

 Vues totales 1 260 (Aujourd'hui 1 )