O51 – MountPoints2 Shell Key (MPSK)




ZHPdiag_051


ZHPDiag – Module O51 (MPSK)

Caractéristiques

Le module MPSK (MountPoints2 Search Key) permet de traquer les infections en provenance des ports USB. La recherche se fait sur la clé utilisateur suivante :

Puis scanne la présence de données dans les diverses sous-clés de registre suivantes:

– "AutoRuncommand",
– "explorecommand",
– "opencommand"
,
– "Browsercommand",
– "Autocommand",

Aperçu ZHPDiag

—\ MountPoints2 Shell Key (MPSK) (O51)
O51 – MPSK:{7fd09aec-e17a-11dd-9618-001bb9f21385}ShellAutoRuncommand – L:Launch.exe /run
O51 – MPSK:{264723e8-89aa-11dd-b05d-4d6564696130}Shellexplorecommand – H:helper.exe
O51 – MPSK:{492c038b-8707-11dd-b055-4d6564696130}Shellopencommand – RavMon.exe

Affichage en cas d’absence du fichier (.not file).
—\ MountPoints2 Shell Key (MPSK) (O51)
O51 – MPSK:{88888888-51ce-11de-96a5-001060d14950}Shellexplorecommand. (…) — c:zPharaoh.exe (.not file.)

Equivalence USBFix

################## | Registre # Mountpoints2 |
HKCU….ExplorerMountPoints2{15327bc2-9cc6-11de-87ae-00138f9e1612}
ShellAutoRuncommand =F:10nb.exe
ShellopenCommand =F:10nb.exe

Equivalence RSIT

shellAutocommand – RavMonE.exe e
shellAutoRuncommand – C:Windowssystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e

Equivalence OTL

O33 – MountPoints2{fa822622-d60e-11db-a583-00038a000015}ShellAutoRuncommand – "" = E:LinksysConnectPC.exe — File not found

Exemple d’infection

O4 – HKLM..Run: . (.Pas de propriétaire – Pas de description.) — C:WINDOWSsystem32windowsUpdat.exe
O4 – HKCU..Run: . (.Pas de propriétaire – Pas de description.) — C:WINDOWSsystem32windowsUpdat.exe
O4 – HKLM..policiesExplorerRun: . (.Pas de propriétaire – Pas de description.) — C:WINDOWSsystem32windowsUpdat.exe
O4 – HKCU..policiesExplorerRun: . (.Pas de propriétaire – Pas de description.) — C:WINDOWSsystem32windowsUpdat.exe
O40 – ASIC: (no name) – {VYUB2383-G80U-N0Y5-U671-073O66S8110I} . (.Pas de propriétaire – Pas de description.) — C:WINDOWSsystem32windowsUpdat.exe
O51 – MPSK:{702b8093-821b-11df-8c79-0016e697a35e}ShellAutoRuncommand. (.) — C:WINDOWSsystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLERS-1-5-21-1482476501-3352491937-682996330-1013Updat.exe
O51 – MPSK:{b5c559b4-645d-11df-8c3e-0016e697a35e}ShellAutoRuncommand. (.) — C:WINDOWSsystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLERS-1-5-21-1482476501-3352491937-682996330-1013Updat.exe
O51 – MPSK:{b5c559b5-645d-11df-8c3e-0016e697a35e}ShellAutoRuncommand. (.) — C:WINDOWSsystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLERS-1-5-21-1482476501-3352491937-682996330-1013Updat.exe
O51 – MPSK:{d7d9c9af-5aaa-11df-8c29-0016e697a35e}ShellAutoRuncommand. (.) — C:WINDOWSsystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLERS-1-5-21-1482476501-3352491937-682996330-1013Updat.exe
O53 – SMSR:HKLM…startupregupdat . (.Pas de propriétaire – Pas de description.) — C:WINDOWSsystem32windowsUpdat.exe
O53 – SMSR:HKLM…startupregwindows . (.Pas de propriétaire – Pas de description.) — C:WINDOWSsystem32windowsUpdat.exe

 

Action ZHPFix

O51 – MPSK:{CLSIDKey}Shellexplorecommand. (..) — {FileName}

{Key} : Clé de Base de Registres
{CLSIDKey} : Sous-clé de la clé {Key}
{FileName} : Valeur par défaut de la clé

1) L’outil supprime la clé CLSID {CLSIDKey}.
2) L’outil supprime le fichier {FileName}.

 

Rapport ZHPFix

O51 – MPSK:{08781a01-244b-11dd-997c-001d6080d73c}ShellAutoRuncommand. (…) — c:windowssystem32xls.exe

Rapport de ZHPFix 1.12.32 par Nicolas Coolman, Update du 25/09/2010

========== Clé(s) du Registre ==========
O51 – MPSK:{08781a01-244b-11dd-997c-001d6080d73c}ShellAutoRuncommand. (…) — C:WINDOWSsystem32xls.exe => Clé supprimée avec succès

========== Fichier(s) ==========
c:windowssystem32xls.exe => Supprimé et mis en quarantaine

========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Fichier(s)

Liens :

Nettoyer votre station avec USBFix


Rate this post

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut