ZHPDiag – Module O38 (Planned tasks)

Windows administration tools enable automatic scheduled task creation.

You can use this tool to automatically start a program, to perform a task at regular intervals or to perform other specific actions.

Features

Linked to the APT module (Automatic Planified Task). Many software programs are used to monitor or update the system. For each of them, a planned task can be created and triggered based on an established periodicity. This planned task process can be hijacked by some malware, The tool allows you to view all of these events. Ensuite une analyse de ZHP pourra déterminer la légitimité ou la nocivité d’une telle tâche.

Une recherche complémentaire s’effectue dans la clé de registre « Schedule« . Toutefois pour être opérationnelle, cette fonction nécessite d’avoir une autorisation spéciale sur cette clé car le « contrôle total » est insuffisant. v1.24.10

Nouveau format d’affichage pour la prise en compte du processus qui lance la tâche planifiée. v1.27.102

Overview ZHPDiag

—\\ Tâches planifiées en automatique (Registry) (1)
Ø38 – TASK: {E8164C0D-216C-4B6B-9EB8-31BF958B8014}[\Microsoft\Windows\NetTrace\GatherNetworkInfo] – (…) — C:\Windows\System32\gatherNetworkInfo.vbs [40552]

Equivalence Mbam

File(s) infecté(s):
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader)
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader)

Example of infection

—\\ Tâches planifiées en automatique (Registry) (3) – 10s
Ø38 – TASK: {4DAB2C44-5A53-4B32-9262-AEB43FF5649E}[\efUEhcuJwHYJuW] – (…) — C:\Program Files\eBrsiDkdtdyU2\iFiIbwZVvOIaJ.dll [444928]
Ø38 – TASK: {A28B6E0A-494F-4CC8-8B8E-862F32E5F151}[\JaSZgvLfgwdeDbT2] – (…) — C:\Program FilesrTAcZRetUFIwVOa.dll [262656]
Ø38 – TASK: {B3F0FBEF-0D21-41EC-A1DD-EC7693CE3C11}[\JaSZgvLfgwdeDbT] – (…) — C:\Program FilesrTAcZRetUFIwVOa.dll [262656]

Script ZHPFix

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks{4DAB2C44-5A53-4B32-9262-AEB43FF5649E}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{4DAB2C44-5A53-4B32-9262-AEB43FF5649E}
C:\WINDOWS\System32\Tasks\efUEhcuJwHYJuW