Divers rapports

- Traitement des lignes de titres issues des rapports OTL au format :
[color=#E56717]========== Processes (SafeList) ==========

- Traitement des lignes O33/MountPoints2 issues des rapports OTL au format :
O33 - MountPoints2\{b1ea116b-66dd-11de-955f-00038a000015}\Shell\AutoRun\command - "" = ojbss9gv.com

- Traitement des lignes O6/Restriction IE issue des rapports OTL au format :
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

- Traitement de la liste "Authorized Applications" issue des rapports OTL au format :
"C:\Program Files\uTorrent\uTorrent.exe" = C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)

- Traitement de la liste "Uninstall" issue des rapports OTL aux formats :
"{0FA44E79-CD7D-4E8D-A2EE-26FE05F509B6}" = OpenOffice.org 3.1
"C-Media Audio Driver" = C-Media WDM Audio Driver

- Traitement de lignes IE issues des rapports OTL au format :
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

- Traitement de lignes Driver DRV issues des rapports OTL au format :
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)

- Traitement de lignes diverses issues des rapports OTL au format :
[2010/02/11 18:40:58 | 000,156,672 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\winzm.ime

- Traitement de lignes MOD issues des rapports OTL au format :
MOD - C:\Program Files\Goto Software\Vade Retro\VrOe_hook.dll ()

- Traitement de lignes issues de divers rapports au format :
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Everest Poker

ZHPHelper,ZHPLite

Mise en ligne de ZHPHelper et ZHPLite v2.34.68

Divers rapports

- Traitement de lignes ligitimes issues de rapports RSIT au format :
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
"ImagePath"="c:\windows\system32\GameMon.des -service"

- Traitement de lignes utilisateurs issues de rapports ZHPDiag au format :
O4 - Global Startup: winesm32.exe . () -- C:\Documents And Settings\Fr?d?ric\Menu D?marrer\Programmes\D?marrage\winesm32.exe

Divers rapports

- Traitement de lignes légitimse Symantec issues de rapports ZHPDDiag au format :
O41 - Driver: (SymIRON) . (.Symantec Corporation - Iron Driver.) - C:\WINDOWS\system32\drivers\NIS\1105000.07F\Ironx86.sys

- Traitement de lignes superflues Microsoft issues de rapports ZHPDiag au format :
O44 - LFC:[MD5.90C5547E71C8D83BFB8374657BCE5B47] - 23/02/2010 - 01:55:43 ---A- . () -- C:\Windows\SysNative\perf{ramdom}.dat

- Traitement de lignes légitimse Microsoft Update issues de divers rapports au format :
C:\WINDOWS\SoftwareDistribution\Download\{Random}\update\update.exe

Divers rapports

- Traitement de lignes issue de rapports RSIT au format
R3 WMPNetworkSvc;@%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101; C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe

- Traitement de lignes issues de rapports LOPS&D2 au format :
KEY: HKEY_CLASSES_ROOT\\*\shellex\ContextMenuHandlers\WinZixManager

- Traitement de lignes issues de rapports List'em au format :
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\xvideo]

- Traitement de lignes issues de rapports HijackThis au format :
O4 - S-1-5-18 Startup: VAIO Launcher.lnk.disabled (User 'SYSTEM')
O4 - .DEFAULT Startup: VAIO Launcher.lnk.disabled (User 'Default user')
O4 - .DEFAULT User Startup: VAIO Launcher.lnk.disabled (User 'Default user')

ZHPHelper,ZHPLite

Mise en ligne de ZHPHelper et ZHPLite v2.34.67

- Prise en charge des nouveaux formats de lignes du rapport ZHPDiag.

ZHPHelper,ZHPLite

Mise en ligne de ZHPHelper et ZHPLite v2.34.66

Divers rapports

- Traitement de lignes étrangères O43/CFD issues de rapports ZHPDiag au format :
O43 - CFD:Common File Directory ----D- C:\Archivos de programa\SRS Labs
O43 - CFD:Common File Directory ----D- C:\Arquivos de programa\SRS Labs

- Traitement de lignes issues de rapports RSIT au format :
S3 athrusb6;Atheros Wireless LAN USB device driver 6 Series; J:\Windows\system32\DRIVERS\athrxu6.sys []

- Traitement de lignes O8 issues de rapports ZHPDiag au format :
O8 - Extra context menu item: Add to Windows &Live Favorites - (No file) - http://favorites.live.com

- Correctif dans le module logiciel pour palier une erreur d'affichage

ZHPHelper,ZHPLite

Mise en ligne de ZHPHelper et ZHPLite v2.34.65

Divers rapports

- Traitement de lignes issues de rapport HjijackThis au format :
O4 - S-1-5-18 Startup: PowerReg Scheduler V3.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: PowerReg Scheduler V3.exe (User 'Default user')

Divers rapports

- Traitement de lignes issues de divers rapports au format :
C:\Windows\system32\Adobe\Shockwave 11\SwHelper_{Random}.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\system32\Adobe\Shockwave 11\SwHelper_{Random}.exe -Update -1150600

- Prise en compte des lignes d'entête "DOS/Devices" issues des rapports ZHPDiag au format :
C:\ Hard drive, Flash drive, Thumb drive (Free 134 Go of 232 Go)
E:\ CD-ROM drive (Inserted)

- Traitement de lignes O23 avec double dossier dans le script de fichier du rapport de synthèse :
O23 - Service: BrowserZinc Service (BrowserZinc Service) - C:\ProgramData\BrowserZinc\browserzinc115.exe" "C:\Program Files\BrowserZinc\browserzinc.dll" Service

Divers rapports

- ZHPLite/Helper, mise en place d'un nouveau procédé de stockage de l'information par variable globale.

- Traitement de lignes issues de rapports spécifiques HijackThis/Processes au format :
[pid] [full path to filename] [file version] [company name]
456 C:\WINDOWS\System32\smss.exe 5.1.2600.5512 Microsoft Corporation

- Traitement de lignes malwares issues de divers rapports au format :
c:\Documents and Settings\All Users\Start Menu\PSecurity
c:\Documents and Settings\All Users\Start Menu\PSecurity\Settings.lnk

- Traitement du nouveau format du module ZHPDiag/O58 (ajout Date,heure et MD5) au format
O58 - SDL:[MD5.FBCE2F43185104AE8BF4D32571B19203] - 14/07/2009 - 00:51:21 ---A- C:\Windows\system32\drivers\1394bus.sys

- Traitement de lignes issues de divers rapports au format :
C:\Windows\System32\prfc0816.dat
C:\Windows\System32\prfh0404.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\prfc0816.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\prfh0404.dat

Divers rapports

- Traitement de lignes "HK..\Run" issues de rapport RSIT au format :
"HP Health Check Scheduler"=[ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe []
"RegClean"=C:\Program Files\RegClean\RegClean.exe -boot []

- Traitement de lignes R1 issues de rapport RSIT au format :
R1 DfsC;@%systemroot%\system32\drivers\dfsc.sys,-101; C:\Windows\System32\Drivers\dfsc.sys [2009-07-14 78336]

- Traitement de lignes S3 issues de rapport RSIT au format :
S3 vmbus;@%SystemRoot%\system32\vmbusres.dll,-1000; C:\Windows\system32\DRIVERS\vmbus.sys [2009-07-14 175824]

- Traitement de certaines lignes d'entête de rapport OTL.

ZHPHelper,ZHPLite

Mise en ligne de ZHPHelper et ZHPLite v2.34.64

Divers rapports

-Traitement de lignes malwares issues de divers rapports au format :
O4 - HKLM\..\Policies\Explorer\Run: [Mstsc] :\Users\{UserName}\AppData\Local\Temp\mstsc.exe /waitservice
O4 - HKCU\..\policies\Explorer\Run: [DllHst] C:\WINDOWS\System32\drivers\dllhst3g.exe /waitservice
O4 - HKUS\.DEFAULT\..\Run: [ClipSrv] C:\WINDOWS\System\clipsrv.exe /waitservice
O4 - HKUS\S-1-5-XX\..\Run: [ClipSrv] C:\WINDOWS\System\clipsrv.exe /waitservice

Divers rapports

- Creation de trois nouveaux logo MD5 (Sécurité,Superflu,Généric) pour l'analyse des rapports ZHPDiag/MD5.

- Traitement du MD5 dans le rapport simplifié au format :
[MD5.07D66B0CC46D2160F0CE6EA9B7A0413A] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

- Traitement complémentaire d'infections navipromo dans le dossier utilisateur "Users" au format :
C:\Users\{UserName}\AppData\{random}_nav.dat

- Traitement de lignes de rapport ZHPDiag au format :
O4 - HKCU\..\policies\Explorer: [NoSMHelp] Data=1

Rooter

Traitement de certaines lignes "Processes" issues du rapport Rooter d'Eric_71 au format :
______ C:\WINDOWS\system32\lsass.exe (748)
______ \??\C:\WINDOWS\system32\winlogon.exe (688)
______ \SystemRoot\System32\smss.exe (600)

Divers rapports

- Correctif dans le module de reconnaissance des logiciels pour les lignes au format :
C:\Program Files\ESET
C:\ProgramData\ESET

- Traitement de ligne malware issue de divers rapports au format :
C:\Documents and Settings\All Users\Menu Démarrer\PSecurity\Help.lnk

- Traitement de lignes malwares rootkit issues de divers rapports au format :
%USERPROFILE%\{UserName}\...\H8SRT{Random}.tmp

- Traitement de lignes comportant une chaîne au format fichier dans le dossier d'installation :
O4 - HKLM\..\Run: [MCAFInstaller_mpsins.ui] %USERPROFILE%\LOCALS~1\Temp\DELL_F~1.TMP\mps\MCAPPINS.exe /v=3

- Traitement de lignes de rapport RSIT comportant des espaces devant le dossier au format :
"AppInit_DLLS"=" C:\WINDOWS\system32\guard32.dll"

Divers rapports

Traitement d'une famille de rootkit au format :
c:\windows\system32\drivers\H8SRT{ramdom}
c:\windows\system32\h8srtcfg.dat
c:\windows\system32\H8SRT{ramdom}.dll
c:\windows\system32\H8SRT{ramdom}.dat
Service_H8SRTd.sys
Legacy_H8SRTd.sys

Traitement de lignes issues de rapport GMER au format :
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xA98B76B8]

Divers rapports

Traitement de lignes malwares issues de divers rapports au format :
O4 - HKUS\S-1-5-18\..\Run: [MstInit] %USERPROFILE%\APPLIC~1\mstinit.exe /waitservice

Traitement de lignes malwares issues de divers rapports au format :
O4 - HKLM\..\Policies\Explorer\Run: [ClipSrv] %USERPROFILE%\APPLIC~1\clipsrv.exe /waitservice

ZHPHelper,ZHPLite

Mise en ligne de ZHPHelper et ZHPLite v2.34.63

Divers rapports

Traitement de lignes issues de divers rapports au format :
C:\Documents and Settings\{Username}\Datos de programa\Google
C:\Users\{Username}\Datos de programa\Google
2009-11-16 15:37:02 ----D---- C:\Documents and Settings\{Username}\Datos de programa\Google
2009-11-16 15:37:02 ----D---- C:\Users\{Username}\Datos de programa\Google

Mise en ligne de ZHPHelper v2.34.62

ZHPHelper,ZHPLite

Mise en ligne de ZHPHelper et ZHPLite v2.34.61

ZHPHelper,ZHPLite

Mise en ligne de ZHPHelper et ZHPLite v2.34.60

Divers rapports

Traitement de drivers légitimes de symantec issue de rapport ZHPDiag au format :
O64 - Services: CS003 - EraserUtilDrv{Random} (EraserUtilDrv{Random}) - LEGACY_ERASERUTILDRV{Random}

Traitement de lignes rootkit TDSS issues de divers rapports au format :
%System32%\rotscx{Random}.{sys,dat,dll,tmp,...}

Traitement de lignes issues du rapport détaillée MD5 de ZHPDiag au format :
[MD5.{Random MD5}] - {Random process}

Correctif pour le traitement de lignes RSIT au format :
"AppInit_DLLs"=c:\windows\System32\acaptuser32.dll

Divers rapports

Traitement de lignes d'infection Vundo issues de divers rapports au format
C:\WINDOWS\{Random}{Space}.INI
2009-10-11 16:08:21 ----A---- C:\WINDOWS\{Random}{Space}.INI

Traitement de lignes légitimes issues de divers rapports au format :
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Malwarebytes' Scheduled Scan for {username}.job

ZHPHelper,ZHPLite

Mise en ligne de ZHPHelper et ZHPLite v2.34.59

Divers rapports

Traitement de lignes de drivers légitimes Symantec issues de certains rapports au format :
C:\WINDOWS\System32\Drivers\N360\0305020.00B\SYMTDI.SYS
R1 SYMTDI;Symantec Network Dispatch Driver; C:\WINDOWS\System32\Drivers\N360\0305020.00B\SYMTDI.SYS []

Divers rapports

Traitement de lignes issue de rapport RSIT au format
"PlayerKiosquePlus"=C:\Program Files\Lecteur CANALPLAY\PlayerKiosquePlus.exe /iconic []

Traitement de lignes malwares issues de divers rapport au format
R2 AlerterALG;Avertissement AlerterALG; E:\WINDOWS\TEMP\{Random}.exe [2009-08-20 30720]
S2 AlerterAlerterALG;Avertissement AlerterAlerterALG; E:\WINDOWS\TEMP\{Random}.exe [2009-09-12 33792]
O23 - Service: Avertissement AlerterALG (AlerterALG) - Unknown owner - C:\ WINDOWS\TEMP\{Random}.exe

Divers rapports

Traitement de lignes MBAM Légitimes issue de plusieurs rapports au format :
C:\WINDOWS\tasks\Malwarebytes' Scheduled Update for {UserName}.job

Traitement de lignes O16/DPF issue de plusieurs rapports au format :
O16 - DPF: {CLSID} (ZPA_SHVL Object) - http://zone.msn.com/bingame/zpagames/zpa_shvl.cab55579.cab

Divers rapports

Traitement de lignes O20 issues de divers rapports au format :
O20 - AppInit_DLLs: c:\progra~1\bandoo\bndhook.dll

Traitement d'une nouvelle famille de rootkit issue de divers rapports au format :
%System32%\drivers\gasfky{Random}.sys
-------\Service_gasfky{Random}

Traitement de ligne O52 sans driver issue de rapport ZHPDiag
O52 - TDSD:HKLM\...\Drivers32\"vidc.3ivx"=""

ZHPHelper,ZHPLite

Mise en ligne de ZHPHelper et ZHPLite v2.34.58

ZHPDiag, RSIT

- Mise en place d'un filtre pour le traitement de lignes Kaspersky Update distribution pour le module O61 au format :
O61 - LFC:Last File Created 31/08/2009 - 10:55:42 ---A- C:\Users\All Users\Kaspersky Mise a jour\Update distribution\AutoPatches\kav9exec\9.0.0.459\avpgui.ppl

- Traitement de lignes R1 issues de rapports RSIT au format :
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = <http://go.microsoft.com/fwlink/?LinkId=54896>

ZHPHelper,ZHPLite

Mise en ligne de ZHPHelper et ZHPLite v2.34.56

Divers rapports

- Traitement de ligne d'infection Rogue issue de divers rapports au format :
O4 - HKLM\..\Run: [16396564] C:\Documents and Settings\All Users\Application Data\16396564\16396564.exe
- Traitement de lignes O43 issues de ZHPDiag au format :
O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\ISTool

Divers rapports

Traitement de lignes issues de divers rapports au format :
C:\Windows\SysWow64\Macromed\Flash\FlashUtil10c.exe

Traitement de lignes d'infection WareOut issues de rapports ZHPDiag au format :
O60 - DNS:Diversion Of DNS:HKLM\System\CCS\Services\Tcpip\..\{CLSID}\NameServer = 85.255.112.136,85.255.112.145

Traitement d'une famille d'infection Rootkit issue de divers rapports au format :
c:\windows\system32\drivers\kbiwkm{random}.sys

Divers rapports

Traitement de lignes d'infection provenant de divers rapports au format :
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL,C:\Windows\System32\ctapo3232.dll
"AppInit_DLLS"="C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL,C:\Windows\System32\ctapo3232.dll"

ZHPFix

Mise en ligne du nettoyeur de rapports ZHPFix. Cet outil permet de nettoyer les lignes issues de divers rapports de diagnostics mais principalement de ZHDDiag et d'HijackThis.

ZHPHelper,ZHPLite

Mise en ligne de ZHPHelper et ZHPLite v2.34.55

Divers rapports

Traitement de lignes d'infection rootkit issues de rapport ZHPDiag au format :
O41 - Driver: Pilote de filtre Microsoft SideWinder Value Add (geyekrquovkbeg) - C:\WINDOWS\system32\DRIVERS\GcKernel.sys

Traitement de lignes superflues issues de divers rapports au format :
2009-07-18 18:03:49 ----N---- C:\WINDOWS\system32\SET7ED.tmp
C:\WINDOWS\system32\SET1AD.tmp

- Ajout en entête ZHPDiag des informations RAM (Totale,disponible) au format
Total RAM: 2048,0 Mb (68 % free)
- Ajout en entête ZHPDiag des informations Disque système (Total,libre) au format
System drive C: 232 Go (136 Go free)

Divers rapports

Traitement de lignes malwares issues de divers rapports au format :
F3 - REG:win.ini: load=C:\DOCUME~1\papaye\LOCALS~1\APPLIC~1\ieudinit.exe

Traitement de lignes légitimes au format :
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-{random}.job

Prise en compte de l'outil EXE_List de g3n-h@ckm@n

Sortie de la qualification "Non-Traité" de la ligne "[]" dans les rapports RSIT

ZHPHelper,ZHPLite

- Mise en ligne de ZHPHelper et ZHPLite v2.34.54

ZHPDiag,ZHPFix,ZHPLite,ZHPHelper

Création du module O62 pour la recherche de fichiers ADS (Alternate Data Stream)
O62 - ADS:Alternate Data Stream File - F:\Windows\System32\hsc1.txt:keylogger.exe

Traitement par ZHPFix des lignes ZHPDiag O62.

Création dans ZHPDiag d'un bouton 'ZHPFix' pour permettre le traitement de son rapport par ce nettoyeur de rapport.

Traitement des lignes O62 par l'analyseur de ZHPLite et ZHPHelper.

Divers Rapports

Traitement de lignes issues de rapport HiJackThis au format :
C:\Windows\SysWow64\Macromed\Flash\FlashUtil10b.exe

Traitement de lignes issues de rapport RSIT au format :
C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM= []
C:\Program Files\Paltalk Messenger\paltalk.exe nas []

Divers Rapports

18/07/2009
Traitement des familles de lignes d'infection rootkit au format
c:\windows\system32\drivers\geyekr{Random c}.sys
c:\windows\system32\ESQUL{Random c}.sys

- Traitement de lignes légitimes issues de divers rapport au format :
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\Norton Security Scan for {UserName}.job
C:\Windows\Tasks\Norton Security Scan for {UserName}.job

- Correctif pour la prise en charge de certaines lignes du module O61 au format
O61 - LFC:Last File Created 14/07/2009 - 21:25:18 --HA- C:\Users\...\AppData\Local\IconCache.db

ZHPHelper,ZHPLite

- Traitement de la famille d'infection rootkit au format :
c:\windows\system32\drivers\hjgrui{random C}

ZHPHelper,ZHPLite

- Mise en ligne de ZHPHelper et ZHPLite v2.34.4

ZHPDiag

- Mise en ligne de ZHPDiag v1.23

ZHPDiag,HijackThis

- Traitement de lignes d'infections issues de divers rapports au format.
O4 - HKCU\..\Run: [dm{random 3c}.tmp] C:\Windows\system32\dm{random 3c}.tmp
O4 - HKCU\..\Run: [dmequ.tmp] C:\Windows\system32\dmequ.tmp

ZHPDiag

- Ajout d'une information spécifique dans le module O47 pour distinguer les lignes issues de clés Standard Profile ou DomaineProfile
- Prise en charge des lignes O21 au format ShellServiceObject (Vista)
- Traitement dans le module O18 des clés de registre "deflate" et "gzip" (Vista)
- Modification dans le module O20 dans la prise en compte de la clé de registre startup.
- Ajout de la clé Vista 'Préfixes' lors du traitement du module O13.
- Traitement de la clé EscDomains dans le module O15 et nouvel affichage.
- Traitement du module LSA (Local Sécurity Authority sous Vista (nouveau format de valeur de clé).
- Ajout des attributs de fichiers dans les modules O43,O44 et O45.
- Trie par Date/heure des modules O44 et O45
- Ajout dans le module O44 de la recherche dans le dossier 'Windows'.
- Modification dans le traitement du module O5 sur l'invisibilité des options IE.
O5 - control.ini: [HKCU...\Control Panel] inetcpl.cpl=no
O5 - control.ini: [HKLM...\Control Panel] inetcpl.cpl=no
- Traitement de toutes les sous-clés Protocol Handler et Filter dans le module 018
- Création du module O61 pour lister les derniers fichiers modifiés ou créés sous %USERPROFILE%.
O61 - LFC:Last File Created 11/07/2009 - 08:33:13 ---A- C:\Users\Coolman\AppData\Roaming\Opera\Opera\mail\omailbase.dat

Tous rapports

Traitement de lignes d'infectiondriver rootkit issues de divers rapports
c:\windows\system32\drivers\gxvxc{Random C}.sys
c:\windows\system32\drivers\gxvxc{Random C}.dll

ZHPHelper,ZHPLite

- Prise en compte de la catégorie 'Information' pour le transfert de rapport vers ZHPFix.
- Suppression du bouton "Lignes à traiter" (Version Helper)
- Modification de l'affichage après un clic sur le bouton Zoom réduit.
- Légende catégorie remplacée par une série de boutons.
- Traitement de lignes O21/SSO "ShellServiceObjects" sur les environnements Windows Vista.
- Traitement de lignes O45 et O48 spécifiques issues de rapport ZHPDiag avec "WINDOWS.0"

- Traitement de lignes processus au format :
<Drive>:\<User>\Profil.Windows\Application Data\Skype

ZHPDiag

- Ajout d'un bouton d'options pour accéder au tableau de sélection de lignes complémentaires.
- Activation du module de Tâches planifiées en automatique (O39).
- Traitement de la Branche HKCU dans le module O55.
- Correction du module O59 sur la prise en charge de lignes Magic.control.

Tous rapports

Traitement de lignes d'infection driver rootkit issues de divers rapport au format :
c:\windows\system32\drivers\MSIVX{random}.sys
c:\windows\system32\MSIVX{random}
c:\windows\system32\MSIVX{random}.dll
-------\Service_MSIVXserv.sys

ZHPDiag

Traitement de la Branche HKCU dans le module Toolbar O3
Traitement des branches HKUS dans le module Applications O4

Traitement des lignes Global Startup Vista issues de lignes ZHPDiag au format :
O4 - Global Startup: Microsoft Office.lnk.disabled - NOT a shortuct by extension!

ZHPDiag 1.22

- Mise en ligne de ZHPDiag v1.22

ZHPDiag

Correctif dans le module O4 Application issues des rapport ZHPDiag au format.
O4 - HKCU\..\Run: [dance] C:\Windows\dance.exe
O4 - HKLM\..\Run: [dance] C:\Windows\dance.exe

ZHP,ZHPDiag

Traitement de lignes O17 issues de rapports ZHPDiag au format :
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C731342-D6B8-46A3-A9F7-AC146F632E2A}: 80.10.246.134 80.10.246.7

Traitement de lignes d'infection LOP issues de divers rapports au format :
C:\WINDOWS\tasks\AED9E13292F696A7.job

ZHPHelper,ZHPFix

- Mise en ligne de la version v2.34 Helper pour les tests du nouveau plugin ZHPFix.

Tous rapports

Traitement d'une infection Rootkit issues de rapports ComboFix au format :
c:\windows\system32\drivers\SKYNETenpfuaum.sys
\service_skynetbitovpjq

ZHPDiag

Traitement de la valeur "drivers.desc" sous environnement Vista pour les lignes ZHPDiag au format :

O52 - TDSD:HKLM\...\drivers.desc\"msacm.l3acm"="C:\Windows\System32\l3codeca.acm"

ZHPFix,ZHPDiag,ZHPComp,
ZHPCanned,ZHPHelper,
ZHPLite

Rectification du cadrage des applications pour un affichage haute résolution. Supprime le positionnement sur bord supérieur gauche.

Traitement de la branche HKLM dans le module R3 URLSearchHook pour les lignes de rapport ZHPDiag au format :

R3 - URLSearchHook: (no name) - {0FBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\System32\IniLoad.dll

Traitement d'une famille d'infection rootkit au format "kungsf{random}"
c:\windows\system32\drivers\kungsfsmkvyqqu.sys
c:\windows\system32\kungsfttologom.dat
c:\windows\system32\kungsfydkmvsly.dll
service_kungsfidltowqp

Traitement de la clé de Registre autorun Vista ShellServiceObjects pour le module ZHPDiag O21.

Suppression d'affichage des lignes O51 sans processus issues de rapports ZHPDiag au format :
O51 - MPSK:{492c038b-8707-11dd-b055-4d6564696130}\Shell\open\command -

Traitement de lignes d'infection Vundo issues de rapport ComboFix au format :
2009-05-03 18:31 . 2009-05-03 18:31 237568 ----a-w c:\windows\system32\rqRHaYrp.VIR

- Correctif dans l'affichage de la donnée par défaut dans le module Toolbar O3
O3 - Toolbar: &Google Toolbar - {CLSID} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

- Optimisation de la détection d'infection Magic.control dans les rapports RSIT.
C:\Users\KRISKA\AppData\Local\ywwse.exe
O4 - HKCU\..\Run: [ywwse] "c:\users\kriska\appdata\local\ywwse.exe" ywwse
"ywwse"=c:\users\...\appdata\local\ywwse.exe [2009-05-19 282624]

- Lorsque ZHPDiag sera lancé depuis ZHP, le rapport généré sera automatiquement tranféré dans la zone Rapport de ZHP et prêt à être analysé. Donc plus aucune intervention de l'utilisateur par copier/coller.

- Pour ZHPDiag en version autonome, le rapport généré sera sauvegargé automatiquement dans un fichier "ZHPDiag.txt" dans le dossier d'installation de l'outil.

- Traitement de lignes malwares issues de divers rapports au format :
"C:\WINDOWS\System32\{random 2c}.scr"="C:\WINDOWS\System32\{random 2c}.scr:*:Microsoft Enabled"
C:\WINDOWS\System32\{random 2c}.scr

- Traitement de lignes rootkit issues de rapports ComboFix au format :
-------\Legacy_OVFSYH{random}
-------\Service_ovfsth{random}

- Prise en charge de la sous clés "AutoPlaY" dans le module O51 MPSK de ZHPDiag au format :
O51 - MPSK:{7fd09aec-e17a-11dd-9618-001bb9f21385}\Shell\AutoplaY\command - yjvswc.exe

- Traitement de lignes issues de rapports RSIT au format :
shell\AutoplaY\command - yjvswc.exe

- Traitement de lignes ussues de rapports ComboFix au format :
\shell\AutoplaY\command - yjvswc.exe

- Modification du script de synthèse pour le traitement de lignes malwares

- Traitement de ligne d'infection Rootkit issues de rapports multiples au format :
c:\windows\system32\drivers\UACootarwtkoflpoup.sys
c:\windows\system32\UACaxrmmxrsjrjmhmu.dll

- Mise en ligne de la version v2.33.12.1 Helper et Lite.

Correctif sur la mise à jour de certaines tables.

Traitement de lignes link.disabled issues de rapport RSIT au format :
[HKLM\software\microsoft\...\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BlueSoleil.lnk.disabled]
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\BlueSoleil.lnk.disabled []

Traitement de lignes link.disabled issues de rapport HijackThis au format :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http

- Mise en ligne de la version v2.33.12 Helper.

- Mise en ligne de la version v2.33.12 Lite.

- Mise en ligne de ZHPDiag v1.21

O58 - Liste de Drivers système (SDL)
Lié au module System Drivers List (SDL). Il scrute en totalité le dossier %system32% de windows pour éditer la liste des pilotes (drivers sys).

O59 - Recherche Heuristique d'infection Magic.control (HSNI)
Lié au module Heuristic Search MagicControl Infection (HSMI). Il recherche les infections Magic.control, NaviPromo et EGDAcces.

O60 - Détournement de DNS (DDNS)
Lié au module Diversion Of DNS (DDNS). Il traque les détournements de DNS (Domain Name System). La recherche s'effectue sur les valeurs NameServer des clés Tcpip de Base de Registre.

O57 - Recherche de drivers Rootkit (SDR)
Lié au module Search Drivers Rootkit (SDR).Il s'appuie d'une part sur un fichier de rootkits identifiés et d'autre part sur plusieurs masques basés sur des rootkits connus comme par exemple Seneka{}.

Traitement des lignes de services issues de rapports Gmer au format :
SCardSvr@ = %SystemRoot%\System32\SCardSvr.exe
winvnc@ = "C:\Program Files\TightVNC\WinVNC.exe" -service

Traitement de lignes IAT d'infection Rootkit issues de rapports Gmer au format :
IAT \SystemRoot\System32\Drivers\aclysq2r.SYS[ntoskrnl.exe!IoAllocateIrp] 001CBB86

Traitement des lignes Services (SRV) et Drivers (DRV) issues de rapport OTListIt2 au format :
SRV - [2008/10/15 14:30:02 | 00,151,297 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe -- (AntiVirService [Auto | Running])
DRV - [2005/11/09 15:44:48 | 00,024,288 | ---- | M] (Alpha Networks Inc.) -- C:\WINDOWS\system32\ANIO.SYS -- (ANIO [Auto | Running])

Traitement pour la prise en charge de lignes O51 MPSK issues de rapports ZHPDiag au format
O51 - MPSK:{afc00b76-1764-11dd-990c-000fea1e2265}\Shell\Browser\command - 6fnlpetp.exe
O51 - MPSK:{afc00b76-1764-11dd-990c-000fea1e2265}\Shell\auto\command - 6fnlpetp.exe

Prise en charge de nouvelle sous clés "Auto" et "Browser" dans le module O51 MPSK de ZHPDiag au format :
shell\Auto\command - F:\RECYCLER\S-1-5-21-1078073611-1993962763-839522115-1003\mmc32.EXE
shell\Browser\command - F:\RECYCLER\S-1-5-21-1078073611-1993962763-839522115-1003\mmc32.EXE

Ajout de l'heure de création/modification dans le Module ZHPDiag O44 Last File Created
O44 - LFC:Last File Created - C:\Windows\System32\amxread.dll -->17/03/2009 - 04:38:44

Ajout de l'heure de création/modification dans le ModuleZHPDiag O45 Last File Created Prefetch
O45 - LFCP:Last File Created Prefetch - C:\Windows\Prefetch\AgCx_SC1.db.trx -->02/05/2009 - 18:24:12

Prise en compte des paramètres de la version française d'Avira Antivir Premium.

- Mise en ligne de la version v2.33.11 Helper.

Remplacement de l'outil AnotB par mon propre module de comparaison de rapports avec l'outil ZHPComp.

- Mise en ligne de la version v2.33.10 Helper.

Création d'un nouveau bouton pour le lancement de l'outil de comparaison de fichier AnotB Log Comparator (askey127)

Traitement de lignes issues de rapport RSIT au format :
Planning Manager (C:\Program Files\Planning Manager\)-->C:\WINDOWS\st6unst.exe -n "C:\Program Files\Planning Manager\ST6UNST.000"

Traitement de lignes issues de rapport RSIT au format :
"LXCRCATS"=rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16 []

Correctif sur le module O50(IEFO:Image File Execution Options) pour la prise en charge par l'analyseur de ZHP.

Traitement de ligne d'infection Vundo issues de divers rapports au format :
%SYSTEM32%\__c00[ramdom].exe

Traitement de lignes malwares issues de rapports RSIT,ComboFix au format :
shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com x:

- Mise en ligne de la version v2.33.8 Lite.

- Mise en ligne de la version v2.33.9 Helper.

Zeb Help Process accède maintenant en externe à outil ZHPDiag (plus facile pour la maintenance). L'icône d'options complémentaires de ZHPDiag est réutilisée pour l'outil ZHPSearch et l'affichage des modules O70 et O71.

* Prise en compte de l'analyse des six nouveaux modules O52 à O56 issus de ZHPDiag v1.20.

* Intégration de 3200 nouveaux processus malwares du trojan Vundo (Hors mise à jour auto)

* Intégration de 1100 processus malwares du changelog USB (Merci Chiquitine29)

Création de 4 nouveaux modules :

O53 - ShareTools MSconfig StartupReg (SMSR)
O54 Microsoft Control Security Providers (MCSP)
O55 Microsoft Windows Policies System (MWPS)
O56 Microsoft Windows Policies Explorer (MWPE)

Traitement de lignes avec le processus wscript.exe issues de divers rapports au format :
shell\AutoRun\command - wscript.exe antinul.vbe
shell\explore\command - wscript.exe antinul.vbe
shell\open\command - wscript.exe antinul.vbe

Traitement de lignes issues de rapports DiagHelp 1.4 au format :
22.10.2005 18:04 <REP> $NtUninstallKB902400$
27.09.2005 12:08 <REP> $NtUninstallQ329170$

Traitement de lignes issues de rapport ComboFix au format :
uDefault_Search_URL = hxxp://www.google.com/ie

Traitement de lignes d'infection USB issues de rapport RSIT au format :
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\m.exe /s

Trie par ordre croissant du module Logiciel O42 de l'outil ZHPDiag.

Traitement de lignes issues de rapports RSIT au format :
"BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent []

Traitement de lignes issues de rapports RSIT au format :
\shell\explore\command\H:\helper.exe h:
\shell\AutoRun\command\e:\helper.exe e:
\shell\open\command\h:\helper.exe f:

Traitement de lignes Winsock issues du rapport ComboFix au format :
LSP: %SYSTEMROOT%\system32\nvLsp.dll

Traitement de lignes mStart issues du rapport ComboFix au format :
mStart Page = hxxp://fr.fr.acer.yahoo.com

Traitement de lignes spécifiques issues de divers rapports, dont ComboFix, au format :
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-03-26 5369856]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe []

Traitement de lignes d'infection Vundo au format :
C:\WINDOWS\system32\jfmchtpp.#ll
C:\WINDOWS\system32\cfytrq.#ll

- Mise en ligne de la version v2.33.8 Helper.

O52 - Trojan Driver Search Data (TDSD)
Lié au module TDSD (Trojan Driver Search Data). Il permet de traquer les infections en provenance de trojans drivers. C'est le cas notamment du trojan Daonol.

Aperçu dans le rapport :
---\\ Trojan Driver Search Data (TDSD) (O52)
O52 - TDSD:HKLM\...\Drivers\"vidc.yvu9"="tsbyuv.dll"
O52 - TDSD:HKLM\...\Drivers32\"msacm.l3acm"="C:\Windows\System32\l3codeca.acm"

Ajout d'une ligne 'Balise Autre' dans le menu contextuel pour le traitement de balises particulières. Prise en charge des balises particulières du forum CCM.

Traitement de lignes d'infection Bagle au format.
C:\Users\...\AppData\Roaming\drivers\downld\{Random number}.exe

Menu contextuel de la Zone Résultat : Ajout de la recherche dans les sites ThreatExpert et Whois.

Ajout d'un nouveau bouton 'Balise' et d'un menu contextuel offrant la possibilité de sélectionner des délimiteurs de balise (Crochet ou signe inférieur/supérieur).

O51 - MountPoints2 Search Key (MPSK)
Lié au module MPSK (MountPoints2 Search Key). Il permet de traquer les infections en provenance des ports USB.

Aperçu dans le rapport :
---\\ MountPoints2 Shell Key (MPSK) (O51)
O51 - MPSK:{7fd09aec-e17a-11dd-9618-001bb9f21385}\Shell\AutoRun\command - L:\Launch.exe /run
O51 - MPSK:{264723e8-89aa-11dd-b05d-4d6564696130}\Shell\explore\command - H:\helper.exe
O51 - MPSK:{492c038b-8707-11dd-b055-4d6564696130}\Shell\open\command - RavMon.exe

Nouveau

Ce nouveau module de ZHP permet de gérer ses discours en conserve ou canned speech. Actuellement en tests.

Traitement de lignes infectées par le rootkit ovfsth.sys au format :
c:\windows\system32\ovfsthmnvxaetasrfuxrsbwvbrfolwowrlxbfd.dat
c:\windows\system32\ovfsthbwbsmaaqwxfikjcrhnmmyqsalhrhrpfj.dll
C:\Windows\System32\drivers\ovfsth.sys

Traitement de lignes infectées par le rootkit gaopdxserv.sys au format :
c:\windows\system32\drivers\gaopdxrgixurrvmkolovodpqmqsnsqtoblhtpj.sys
c:\windows\system32\gaopdxbhpaeujkvwtmevdlvcitrafnsbavetkw.dll
c:\windows\system32\gaopdxcounter

Traitement de lignes issues de rapport ComboFix au format :
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk] => Adobe Acrobat Reader
path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

Par défaut, l'installation de l'outil se fera avec le mode Edition de la Zone Résultat désactivé. Les utilisateurs qui le souhaitent devront utiliser le menu contextuel pour le réactiver. Ce paramètre sera conservé au prochain redémarrage de ZHP..

Menu Contextuel de la zone Résultat (Clic droit) :
- Nouvelle ligne "Autoriser le mode Edition."

Traitement dans le module d'importation des lignes de la table Vundo
O2 - BHO: (no name) - {f3ce92c3-e612-4370-bfbe-d19c0ce2d438} - C:\WINDOWS\system32\siruguhu.dll

Traitement des lignes d'infection Vundo au format :
c:\documents and settings\All Users\Application Data\vekesuwo

Ajout d'une nouvelle famille d'infection : Infection Rogue

- Mise en ligne de la version v2.33.7 Lite

Rectification d'une inversion entre AOL et Yahoo! dans le menu contextuel de la zone Résultat. (Clic Droit). Ceci peut être provisoirement corrigé en modifiant le fichier config.ini de ZHP comme ceci :

;-------------------- Menu contextuel Résultat
Menu_Res02=Rechercher la sélection avec AOL
Menu_Res03=Rechercher la sélection avec Yahoo!

Traitement de lignes issues de rapport ComboFix au format :
FF - prefs.js: browser.search.defaulturl - hxxp://www5.yoog.com/search.php?q=
FF - prefs.js: keyword.URL - hxxp://www5.yoog.com/search.php?q=
FF - user.js: keyword.URL - hxxp://www5.yoog.com/search.php?q=
FF - prefs.js: browser.search.selectedEngine - Yoog Search

- Mise en ligne de la version v2.33.7 Helper.

Traitement de lignes RSIT au format :
C:\Program Files\FlashGet\FlashGet.exe /min []
VTTimer.exe []
2009-03-11 09:36:14 ----HDC---- C:\WINDOWS\$MSI31Uninstall_KB893803v2$

Traduction en cinq langues du script de synthèse.

Menu Contextuel de la zone Résultat (Clic droit) :
- Nouvelle ligne "Rechercher la sélection avec Google."
- Nouvelle ligne "Rechercher la sélection avec Yahoo."

Choix de la langue par menu (suppression du mode ComboBox).

Saisie directe des identifiants de version Helper (Clic droit sur A propos).

Menu Contextuel de la zone Résultat (Clic droit) :
- Activation de la ligne "Coller la sélection dans le Presse-Papier."
- Nouvelle ligne "Enregistrer le rapport dans un fichier."

Correction pour le traitement d'un dépassement de lignes O4 comportant plus de 1300 clés. (Remontée de Booddha de Zebulon). Lignes au format :
O4 - HKLM\..\Run: [Random number] c:\vbrmoj.exe

Traitement de lignes génériques d'imprimantes Sony/Ericsson au format :
S3 a016bus;Sony Ericsson Device A016 driver (WDM); C:\WINDOWS\system32\DRIVERS\a016bus.sys [2008-01-18 83880]

Correctif portant sur l'affichage Analyse Détaillée de lignes O42 Logicels issus de rapport ZHPDiag. (Remontée d'australien de PCA). Lignes au format :

O42 - Logiciel: Acronis True Image Home

Traitement de lignes de rapport RSIT au format :
C:\WINDOWS\system32\bthprops.cpl [2004-08-05 110592]

- Mise en ligne de la version v2.33.7 Helper de tests.
Mise en place de l'accès aux mises à jour automatiques par passage de Proxy HTTP (IP/Port).

Disparition de l'icône d'import des mises à jour automatique. Désormais cette mise à jour se fera sans l'intervention de l'utilisateur. Dans la pratique, c'est lorsqu'une demande d'analyse sera lancé que l'outil ira rechercher, si présente, la dernière mise à jour placées sur le serveur.

Traitement de lignes O15 issues de rapport HijackTjis au format :
O15 - Trusted Zone: artic.ac-besancon.fr...

Traitement générique des imprimantes Lexmark Series au format :
O4 - HKLM\..\Run: [lxdfmon.exe] "%PROGRAMFILES%\Lexmark XXXX Series\lxdfmon.exe"
O23 - Service: lxdk_device - - %SYSTEM32%\lxdkcoms.exe

Traitement des lignes génériques des drivers EPSON SXxx Series issues des rapports HijackThis au format :
O4 - HKCU\..\Run: [EPSON SX100 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE

Traitement de lignes R1 issues de rapport HijackThis au format :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = actsvr.comcastonline.com

- Mise en ligne de la version v2.33.6 Lite.

Traitement de lignes sans dossier du nouveau module O50/IEFO de ZHPDiag au format
O50 - IEFO:Image File Execution Options - Your Image File Name Here without a path - ntsd -d

- Mise en ligne de la version de tests v2.33.6 Lite.

Prise en compte de lignes avec la chaine '*isabled' issues de rapport ZHPDiag au format :
O47 - AAKE:Key Export - "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"="C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe:*isabled:Update Spybot-S&D"

- Mise en ligne de la version v2.33.6 Helper.

Résolution de l'installation de l'outil dans une autres unité que celle proposée par défaut lors du setup d'installation... en tests

Traitement générique de lignes malwares provevant du driver seneka dans les rapports RSIT au format
S1 seneka;seneka; C:\WINDOWS\system32\drivers\senekaettimovr.sys []

Traitement de lignes RSIT malwares d'infection possible MagicControl/Navipromo
"uuimo"=c:\windows\system32\uuimo.exe [2009-02-18 314368]

à partir de lignes HijackThis au format :
O4 - HKCU\..\Run: [uuimo] "%SYSTEM32%\uuimo.exe" uuimo

Traitement de lignes de processus temporaires au format :
c:\windows\system32\REN{random 2c}.tmp

Correctif d'affichage de lignes Trend Micro/TrendSecure identifiées à tort à HijackThis :
C:\Program Files\Trend Micro\TrendSecure\TSCFCommander.exe
C:\Program Files\Trend Micro\TrendSecure\TSCFPlatformCOMSvr.exe

Pour un meilleur dépistage des infections Vundo, Intégration de plus de 20000 références Vundo (Hors mise à jour automatique).

Traitement de lignes génériques temporaires des updates Java au format :
2009-01-26 17:30:36 ----RA---- C:\WINDOWS\SET8.tmp

Traitement de lignes Startup/Processus de rapport RSIT au format :
"NDSTray.exe"=NDSTray.exe []
"HWSetup"=\HWSetup.exe hwSetUP []

Traitement de lignes d'infection LOP dans HKLM pour les rapports HijackThis et ZHPDiag.
O4 - HKLM\..\Run: [Frag Keep] "C:\ProgramData\licensecopycopy.8bz9xrz"

Traitement de lignes O8 Extra context de rapport HijackThis au format :
O8 - Extra context menu item: Convertir en Adobe PDF - C:\Program... Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

Traitement le lignes O4 Global Startup Disabled de rapport HijackThis au format :
O4 - Global Startup: Adobe Reader Synchronizer.lnk.disabled

Traitement général des lignes de drivers Sony Ericsson dans les rapports RSIT au format
S3 se58bus;Sony Ericsson Device 088 driver (WDM); C:\WINDOWS\system32\DRIVERS\se58bus.sys [2006-09-05 61536]

Traitement de lignes S3 double dossiers issues de rapports RSIT au format :
S3 KProcWatch;KProcWatch;\??\c:\windows\system32\drivers\KProcWatch.sys --> c:\windows\system32\drivers\KProcWatch.sys [?]

Pour un meilleur dépistage des infections Vundo, Intégration de 8600 références Vundo (Hors mise à jour automatique).

Pour un meilleur dépistage des infection LOP, integration de 840 programmes issues du changelog LOP S&D (Merci à la Team IDN). (Hors mise à jour automatique).

Prise en compte de nombreuses lignes et titres de rapports FindyKill.

Correctif dans le module feedback et l'affichage erroné de lignes "logiciels" à traiter alors même que celle-ci étaient traitées par l'analyse générale.
Tests du membre "australien" de PCA.

Traitement de lignes S3 drivers issues de rapport RSIT au format :
S3 wemqifpm;wemqifpm;\??\wemqifpm.sys --> wemqifpm.sys [?]

Traitement de lignes issues de rapport RSIT au format :
"C:\Nexon\Combat Arms\Engine.exe"="C:\Nexon\Combat Arms\Engine.exe:*Enabled:Engine.exe"

Optimisation dans le repérage de lignes infectieuses Vundo aux formats :
O20 - Winlogon Notify: mlJYrrPp - mlJYrrPp.dll (file missing)
O2 - BHO: (no name) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - %SYSTEM32%\mlJYrrPp.dll (file missing)

Traitement de lignes de rapport Spyware Terminator au format :
%PROGRAMFILES%\Dell\Dell Photo Printer 720\dlbcserv.exe {CLSID} MD5= SIZE=

Pose d'un filtre pour le traitement des lignes d'infection rootkit originaires du driver seneka au format :
C:\WINDOWS\system32\senekabrfjdfnu.dll
C:\WINDOWS\system32\drivers\senekavamtnowc.sys

Création du module optionnel O50 pour le traitement des clès "Image File Execution Options". le format d'édition sera le suivant :
50 - IEFO:Image File Execution Options - Spooler.exe - %STEME32%\spoolsv.exe

- Prise en compte de lignes légitime du module O10 d'hijackThis au format:
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

- Prise en compte de lignes malwares au format :
O20 - AppInit_DLLs:funmab.dll

- Reconnaissance d'infection Rootkit par le driver UAC8c.sys (variante TDSS) au format :
c:\windows\system32\drivers\UACptklrxhx.sys
c:\windows\system32\UAC{Random 8c}.{Ext}

- Prise en compte de lignes de rapport ComboFix au format :
"german.exe"="c:\\WINDOWS\\system32\\wintems.exe"

- Prise en compte de ligne malwares de rapport RSIT au format :
"qqmio"=%USERPROFILES%\appdata\local\qqmio.exe qqmio []

- Traitement de lignes de rapport HijackThis au format :
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = g.msn.fr...

- Traitement des lignes malwares d'infection SD de rapport RSIT au format :
"CPM77b5f781"=c:\windows\system32\suhahebu.dll

- Traitement des lignes d'infection IRCBot.Troj de rapport RSIT au format :
2009-01-03 17:12:55 ----A---- C:\WINNT\system32\jw.exe.exe

Evolution

Correctif

13/01/2009

HijackThis, RSIT, ZHPDiag, SmitFraudFix, DiagHelp,

Correctif d'analyse dans le traitement de lignes infectieuses provenant de rapports smitfraudfix au format :
127.0.0.1 bin.errorprotector.com ## added by CiD

Reconnaissance de lignes d'infection SD au format
O23 - Service: {Random} - Unknown owner - C:\WINDOWS\system32\{Random}.exe.exe:ext.exe

Optimisation de la reconnaissance de lignes softwares avec la création d'une table Logiciel . Cette table recense à ce jour plus de 350 Logiciels les plus connus et permet de faire abstraction des numéros de version. Cette modification concerne les rapports HJT (Uninstall List), DiagHelp, RSIT et ZHPDiag.

Prise en compte des lignes de services Vista au format :
O23 - Service: @%windir%\system32\inetsrv\iisres.dll,-30011 (AppHostSvc) - Unknown owner - %windir%\system32\svchost.exe

Modification dans le module de ligne à traiter pour la prise en compte de lignes malwares issues du rapport ZHPDiag (O42)
O42 - Logiciel: Performance Center

Prise en compte de lignes d'infection Vundo au format
O4 - HKUS\S-1-5-21-...\Run: [Random] rundll32.exe C:\DOCUME~1\...\LOCALS~1\Temp\Random.dll,#1 (User '...')
O20 - Winlogon Notify: {Random} - C:\WINDOWS\

Reconnaissance des lignes de détournement de DNS (WareOut) dans les rapport SmitFraudFix pour les lignes au format
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CLSID}: DhcpNameServer=85.255.113.124,85.255.112.82
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CLSID}: NameServer=85.255.113.124,85.255.112.82
DNS Server Search Order: 85.255.113.124