ZHPDiag – Module O4 GS (Global Startup)

The module O4 GS (Global Startup) de ZHPDiag énumère l’ensemble des raccourcis d’applications placés dans certains dossiers de démarrage de Windows.

De nombreux malwares placent des raccourcis dans le dossier « Windows\Start Menu\Programs« . C’est le cas notamment de certains logiciels superflus comme « SecurityTool« . Des logiciels légitimes aussi peuvent placer un raccourci dans ce dossier, c’est le cas par exemple dAnalog Clock d’Opera Software. Même s’il ne s’agit pas à proprement parlé d’un lien « Global Startup« , il est toutefois intéressant d’en avoir la liste dans ce module.

Ajout de recherche dans d’autres dossiers utilisateurs afin de lister un plus grand nombres de liens commes ceux placés sur le « office » et ceux lancès en « Quick Launch » par Microsoft Internet Explorer. Ces dossiers de raccourcis sont souvent utilisés par certains logiciels comme « AntiMalwareDoctor« . Pour ces lignes spécifiques, une nouvelle entête a été créée sous le nom « Autres liens utilisateurs« . Dans le cas où le fichier de lien ne pointe pas vers un fichier, la mension « An orphan key » est ajoutée.

Certaines applications indésirables, comme les pirates de navigateur, procèdent à la modification de l’argument des raccourcis de tous vos navigateurs afin de rediriger la recherche et la navigation vers leur propres serveurs.

O4 – GSQuicklaunch [Administrator]: Google Chrome.lnk . (.Google Inc. – Google Chrome.) C:\Program FilesGoogleChromeApplicationchrome.exe http://pop.yeawindows.com
O4 – GSTaskBar [Administrator]: Google Chrome.lnk . (.Google Inc. – Google Chrome.) C:\Program FilesGoogleChromeApplicationchrome.exe http://pop.yeawindows.com
O4 – GSTaskBar [Administrator]: Mozilla Firefox.lnk . (.Mozilla Corporation – Firefox.) C:\Program FilesMozilla Firefoxfirefox.exe http://pop.yeawindows.com

Quelques dossiers énumérés

C:\Documents and Settings{UserName}\Menu Démarrer\Programmes\Démarrage\
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
C:\Users\All Users\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\
(From Vista)
C:\Users\All Users\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ (From Vista)
C:\Users{Username}\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ (From Vista)
C:\Users{Username}\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar (From Vista)
C:\Users{Username}\Desktop\ (From Vista)

Overview ZHPDiag

—\\ Global shortcuts Startup (8) – 1s

O4 – GSTaskBar: CDBurnerXP.lnk . (.Canneverbe Limited.) — C:\Program Files (x86)\CDBurnerXP\cdbxpp.exe
O4 – GSTaskBar: Google Chrome.lnk . (.Google Inc...) — C:\Program Files (x86)\GoogleChromeApplicationchrome.exe
O4 – GSPrograms: Internet Explorer (64-bit).lnk . (.Microsoft Corporation.) — C:\Program Files (x86)\Internet Exploreriexplore.exe
O4 – GSPrograms: Internet Explorer.lnk . (.Microsoft Corporation.) — C:\Program Files (x86)\Internet Exploreriexplore.exe
O4 – GSDesktop: iexplore.exe.lnk . (.Microsoft Corporation.) — C:\Program Files (x86)\Internet Exploreriexplore.exe
O4 – GSDesktop: Microsoft Visual C++ 2010 Express.lnk . (.Microsoft Corporation.) — C:\Program Files (x86)\Microsoft Visual Studio 10.0\Common7\IDE\VCExpress.exe
O4 – GSQuickLaunch: Google Chrome.lnk . (.Google Inc...) — C:\Program Files (x86)\GoogleChromeApplicationchrome.exe
O4 – GSQuickLaunch: Launch Internet Explorer Browser.lnk . (.Microsoft Corporation.) — C:\Program Files (x86)\Internet Exploreriexplore.exe

Examples of detection

—\\ Global shortcuts Startup (5) – 1s
O4 – GSQuicklaunch [Administrator]: Google Chrome.lnk . (.Google Inc. – Google Chrome.) C:\Program Files\Google\Chrome\Application\chrome.exe %SNP%disable-quic
O4 – GSTaskBar [Administrator]: Google Chrome.lnk . (.Google Inc. – Google Chrome.) C:\Program Files\Google\Chrome\Application\chrome.exe %SNP%disable-quic
O4 – GSQuicklaunch [Coolman]: Google Chrome.lnk . (.Google Inc. – Google Chrome.) C:\Program Files\Google\Chrome\Application\chrome.exe %SNP%disable-quic

Action ZHPFix

O4 – Global Startup: {LinkName}.lnk .(…). — {FileName}

{FileName} : Name of the file.
{LinkName} : Nom du raccourci vers lequel pointe le fichier {FileName}.

1) L’outil supprime le fichier de raccourci {LinkName]
2) The tool deletes the file {FileName]

Action ZHPFix (Case of an orphan key)

O4 – Global Startup: {LinkName}.lnk – An orphan key

{FileName} : Name of the file.

L’outil supprime le fichier de raccourci {LinkName]


Total views 803 (Today 1 )