ZHPDiag – Module O22 – SharedTaskScheduler
Ce module recense les valeur CLSID de la clé de Registre SharedTaskScheduler. Ces éléments sont lancés au démarrage du système et sont souvent le résultat d’une infection par des rogues.
La recherche s »effectue sur les valeurs des clés de Base de Registres suivantes :
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
– Les lignes suivantes légitimes de Windows ne sont pas affichées :
O22 – SharedTaskScheduler: Pré-chargeur Browseui – {…}
O22 – SharedTaskScheduler: Démon de cache des catégories de composant – {…}
Les détections SharedTaskScheduler ont pratiquement disparu de nos jours, d’ailleurs Windows 10 ne référence plus cette clé de registre.
Aperçu ZHPDiag
—\\ SharedTaskScheduler (O22)
O22 – SharedTaskScheduler: Pré-chargeur Browseui – {438755C2-A8BA-11D1-B96B-00A0C90312E1} – C:\WINDOWS\System32\browseui.dll
O22 – SharedTaskScheduler: Démon de cache des catégories de composant – {8C7461EF-2B13-11d2-BE35-3078302C2030} – C:\WINDOWS\System32\browseui.dll
—\\ SharedTaskScheduler (O22) v1.25.04
O22 – SharedTaskScheduler: (no name) – {8C7461EF-2B13-11d2-BE35-3078302C2030} . (.Microsoft Corporation – Bibliothèque de l’interface utilisateur du.) — C:\WINDOWS\system32\browseui.dll
Equivalence OTL
O22 – SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} – Component Categories cache daemon – C:\Windows\System32\browseui.dll (Microsoft Corporation)
Action ZHPFix
O22 – SharedTaskScheduler: {Startup} – {CLSIDValue} – {FileName}
{Key} : Clé de Base de Registres[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
{Startup} : Donnée de la valeur {CLSIDValue}
{CLSIDValue} : Valeur CLSID de la Clé {Key}
{FileName} : Donnée de la valeur par défaut de la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CLSIDValue}\InProcServer32]
1) L’outil supprime la valeur de clé {CLSIDValue}
2) L’outil supprime la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CLSIDValue}]
3) L’outil supprime la clé [HKEY_CLASSES_ROOT\CLSID\{CLSIDValue}]
4) L’outil supprime le fichier {FileName}
Exemple de détection
O22 – SharedTaskScheduler: coexpire – {d4c4bc43-0974-4dec-a669-9f7bfcb3503d} – (.Microsoft Corp – Multiple Interface User) — C:\WINDOWS\system32\vmlwp.dll =>Trojan.FakeAlert
O22 – SharedTaskScheduler: andropogon – {655560a9-3ca8-4509-9632-6abbef21426b} – (.Microsoft Corp – Multiple Interface User) — C:\WINDOWS\system32\lgaac.dll =>Trojan.FakeAlert
O22 – SharedTaskScheduler: bund – {27882a9f-8937-4ae4-87ab-ed669c8b6d7a} – (.Microsoft Corp – Multiple Interface User) — C:\WINDOWS\system32\iheuv.dll =>Trojan.FakeAlert