1. forum
  3. PowerShell
  5. Entraide pour les débutants
  7. recherche d'une valeur dans la base de registre

Question recherche d'une valeur dans la base de registre

Plus d'informations
il y a 13 ans 3 semaines #14730 par Matthew BETTON
Réponse de Matthew BETTON sur le sujet Re:recherche d'une valeur dans la base de registre
maiden65 écrit:

pas de chance ..
planté en cours de transfert

La pièce jointe image_registre.doc est absente ou indisponible


Ok, je comprends mieux... Le Class ID dont tu parles correspond à un malware qui utilise probablement une méthode de root kit pour cacher certaines parties au système ou bien qui utilise des permissions spécifiques.

As tu essayé de naviguer dans cette ruche sous PowerShell ?

[code:1]cd HKLM:\Software\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
cd Inst
cd Data[/code:1]

Peux tu essayer via une autre méthode d'accès au registre (WMI) :

[code:1]$hklm = 2147483650
$key = \"SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}\Instl\Data\"
$value = \"hp_url\"
$wmi = [wmiclass]\"root\default:«»stdRegProv\"
($wmi.GetStringValue($hklm,$key,$value)).svalue[/code:1]

Une autre méthode (Win32) :

[code:1]$hklm = \"HKEY_LOCAL_MACHINE\"
$key = \"SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}\Instl\Data\"
$value = \"hp_url\"
[Microsoft.Win32.Registry]::GetValue(\"$hklm\$key\",$value,$null)[/code:1]

Attention : j'ai pu me tromper en recopiant le CLSID depuis ta capture d'écran :)

Pour supprimer ce malware, il vaut mieux passer par un outil tiers. (ex. : Junkware Removal Tool , peut être aussi Spybot ... Utilises en tout cas le RootKitRevealer de Sysinternals pour \"y voir plus clair\").

Connexion ou Créer un compte pour participer à la conversation.

  • maiden65
  • Auteur du sujet
  • Visiteur
  • Visiteur
il y a 13 ans 3 semaines #14743 par maiden65
Réponse de maiden65 sur le sujet Re:recherche d'une valeur dans la base de registre
Bon alors voici le résultat des commandes

1)
[code:1]
PS > cd HKLM:\Software\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Set-Location : Impossible de trouver un paramètre positionnel acceptant l'argument « C26644C4-2A12-4CA6-8F2E-0EDE6CF018
F3 ».
Au niveau de ligne : 1 Caractère : 3
+ cd <<<< HKLM:\Software\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
+ CategoryInfo : InvalidArgument: (:«») [Set-Location], ParameterBindingException
+ FullyQualifiedErrorId : PositionalParameterNotFound,Microsoft.PowerShell.Commands.SetLocationCommand

PS > cd HKLM:\Software\Classes\AppID\
PS HKLM:\Software\Classes\AppID\> cd {C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Set-Location : Impossible d'évaluer le paramètre « LiteralPath », car son argument est spécifié en tant que bloc de scr
ipt et qu'il n'y a pas d'entrée. Un bloc de script ne peut pas être évalué sans entrée.
Au niveau de ligne : 1 Caractère : 3
+ cd <<<< {C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
+ CategoryInfo : MetadataError: (:«») [Set-Location], ParameterBindingException
+ FullyQualifiedErrorId : ScriptBlockArgumentNoInput,Microsoft.PowerShell.Commands.SetLocationCommand
[/code:1]

2)
[code:1]
PS HKLM:\Software\Classes\AppID\> $hklm = 2147483650
PS HKLM:\Software\Classes\AppID\> $key = \"SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}\Instl\Data\"
PS HKLM:\Software\Classes\AppID\> $value = \"hp_url\"
PS HKLM:\Software\Classes\AppID\> $wmi = [wmiclass]\"root\default:«»stdRegProv\"
PS HKLM:\Software\Classes\AppID\> ($wmi.GetStringValue($hklm,$key,$value)).svalue
www2.delta-search.com/?affID=121562&...rId=B0B0002421280F8A
[/code:1]

3)
[code:1]
PS HKLM:\Software\Classes\AppID\> $hklm = \"HKEY_LOCAL_MACHINE\"
PS HKLM:\Software\Classes\AppID\> $key = \"SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}\Instl\Data\"
PS HKLM:\Software\Classes\AppID\> $value = \"hp_url\"
PS HKLM:\Software\Classes\AppID\> [Microsoft.Win32.Registry]::GetValue(\"$hklm\$key\",$value,$null)
www2.delta-search.com/?affID=121562&...rId=B0B0002421280F8A
[/code:1]

Donc les 2 dernieres fonctionnent.

bon tout cela m'indique que j'ai un truc pas trop clair sur le PC. c'est bien, et maintenant je vais voir comment utiliser ces méthodes pour faire une recherche plus générale.
JE vais donc m'atteler à faire des essais avec tout cela.
Merci

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 13 ans 3 semaines #14748 par Matthew BETTON
Réponse de Matthew BETTON sur le sujet Re:recherche d'une valeur dans la base de registre
maiden65 écrit:

Bon alors voici le résultat des commandes

1)
[code:1]
PS > cd HKLM:\Software\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Set-Location : Impossible de trouver un paramètre positionnel acceptant l'argument « C26644C4-2A12-4CA6-8F2E-0EDE6CF018
F3 ».
Au niveau de ligne : 1 Caractère : 3
+ cd <<<< HKLM:\Software\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
+ CategoryInfo : InvalidArgument: (:«») [Set-Location], ParameterBindingException
+ FullyQualifiedErrorId : PositionalParameterNotFound,Microsoft.PowerShell.Commands.SetLocationCommand

PS > cd HKLM:\Software\Classes\AppID\
PS HKLM:\Software\Classes\AppID\> cd {C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Set-Location : Impossible d'évaluer le paramètre « LiteralPath », car son argument est spécifié en tant que bloc de scr
ipt et qu'il n'y a pas d'entrée. Un bloc de script ne peut pas être évalué sans entrée.
Au niveau de ligne : 1 Caractère : 3
+ cd <<<< {C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
+ CategoryInfo : MetadataError: (:«») [Set-Location], ParameterBindingException
+ FullyQualifiedErrorId : ScriptBlockArgumentNoInput,Microsoft.PowerShell.Commands.SetLocationCommand
[/code:1]


C'est de ma faute : utilises les simple ou double quotes :whistle:

[code:1]PS > cd 'HKLM:\SOFTWARE\Classes\AppID\{00f22b16-589e-4982-a172-a51d9dcceb68}'
PS HKLM:\SOFTWARE\Classes\AppID\{00f22b16-589e-4982-a172-a51d9dcceb68}>[/code:1]

;)

Connexion ou Créer un compte pour participer à la conversation.

  1. forum
  3. PowerShell
  5. Entraide pour les débutants
  7. recherche d'une valeur dans la base de registre
Temps de génération de la page : 0.045 secondes
Propulsé par Kunena