A partir de la version 2.30, Zeb Help Process se dote de son propre outil de diagnostic avec ZHPDiag. Pourquoi un tel outil alors même que d'autres assurent une fonction quasi analogue,
la raison se résume en un seul mot l'autonomie. En effet, jusqu'aux précédentes versions, ZHP se limitait exclusivement à analyser des rapports en provenance d'autres outils de diagnostic, mais qu'adviendrait-il si tous ces outils venaient à disparaître ?, et bien la réponse est simple, ZHP serait condamné à disparaître faute de matière première. C'est donc avant tout dans un souci de pérennité
que j'ai créé cet outil. Basé en partie sur le principe d'HijackThis, l'outil scrute la Base de Registre Windows et énumère les zones sensibles qui sont susceptibles d'être piratées.

J'espère qu'il vous apportera les éléments nécessaires, voire indispensables, à la traque d'éléments nuisibles encombrant votre système d'exploitation.

L'outil est traduit en cinq langues (Allemand, Anglais, Espagnol, Français et Italien).

A Partir de la v1.24. ZHPDiag donne l'accès à son nettoyeur de rapport ZHPFix.

SYSTEMES COMPATIBLES

Windows 98
Windows 2000
Windows Me
Windows XP (32 et 64 bits)
Windows Vista (32 et 64 bits)
Windows 7 (32 et 64 bits)

Comment lancer l'outil ZHPDiag ?

Désormais ZHPDiag n'existe qu'en version autonome. Cette version est particulièrement intéressante car elle ne nécessite aucune installation et permet d'effectuer un diagnostic rapide et complet de son système d'exploitation. Cet outil peut-être lancé directement de ZHP en cliquant sur le bouton 'ZHPDiag".

Par défaut, l'outil exécute toutes les options hormis les O45, O61 et O65. Il est possible de décocher toutes les options, de cocher toutes les options ou de sélectionner n'importe quelle liste d'options avec le panel des options (Cliquer sur l'icône Tournevis). A minima, l'outil se termine au module O24.

Ensuite, cliquez soit sur le bouton en forme de loupe pour lancer le diagnostic standard soit sur le bouton avec la loupe dans le cahier pour lancer le diagnostic avec les MD5.

Enfin, à la fin de l'édition vous pouver sauvegarder le rapport en cliquant sur le bouton correspondant.

Pour obtenir une analyse de ce rapport avec ZHP, il vous suffit d'utiliser le bouton "Coller dans le Presse papier".

Pour avoir accès à l'outil ZHPFix à partir de ZHPHelper, il faut générer un rapport et lancer une analyse. Le bouton ZHPFix apparaît alors permettant
le lancement de l'outil.

Lancement en ligne de commande.

Il est possible de lancer l'outil en ligne de commande. v1.24.16

L'utilisation de l'argument " /BL " permet de lancer le scan en tache de fond, donc sans affichage de l'interface utilisateur. Une icône s'affiche dans la zone de lancement et s'éfface à la fin du traitement. Le rapport s'affiche dans le bloc-note Windows. v1.24.30

L'utilisation de l'argument " /B " permet de lancer le scan en tache de fond, donc sans affichage de l'interface utilisateur. Une icône s'affiche dans la zone de lancement et s'éfface à la fin du traitement. Aucun rapport ne s'affiche en fin de scan.

Ce procédé a l'avantage de rendre le scan beaucoup plus rapide et d'occuper moins de CPU.

Exemple d'utilisation : C:\Program FIles\ZHPDiag\ZHPDiag /BL

Liste des boutons du panel supérieur.

Ce bouton permet de lancer l'analyse.

Ce bouton permet ce copier toute la zone rapport active dans le Presse-papier de Windows.

Ce bouton permet de sauvegarder le rapport dans un fichier ZHPDiag.txt.

Ce bouton permet de cacher le module des options.

Ce bouton permet de voir le module des options.

Ce bouton permet de sélectionner un nombre de jours de recherche dans le module de fichier ulisateur (O61).

Ce bouton permet de lancer le nettoyeur de rapport ZHPFix. Il apparaît seulement à la fin du diagnostic.

Ce bouton permet de lancer l'analyse avec affichage du MD5 du processus. V1.24.22

Ce bouton permet de cocher des options.

Ce bouton permet de lancer l'outil ZHPSearch. V1.24.39

Ce bouton permet de sélectionner la langue.

Ce bouton permet de voir les informations 'A Propos' de l'outil.

L'entête du rapport

L'entête du rapport comporte la version de l'outil, la date d'enregistrement du scan, la plate forme système et la version des navigateurs Internet Explorer, Mozilla Firefox et Opera. D'autres éléments permettent de donner des renseignements sur le mode de démarrage, la RAM ou sur le disque dur système.

Rapport de ZHPDiag v1.0 par Nicolas Coolman
Enregistré le 22/07/2008 15:28:43
Platform : Microsoft Windows XP (5.1.2600) Service Pack 2
Processor: x86 Family 15 Model 67 Stepping 3, AuthenticAMD v1.25.07
Operating System: 32 Bits v1.25.07
MSIE: Internet Explorer v6.0.2900.2180
OPIE: Opera 9.51
MFIE: Mozilla Firefox (2.0.0.11)

Boot mode: Normal (Normal boot) v1.24.17
Total RAM: 3069 MB (62% free) v1.24.17
System drive C: has 185 GB (79%) free of 232 GB v1.24.17

- Ajout de la liste des unités en entête de rapport (DOS/Devices). En dehors des unités fixes, une indication sera portée permettant d'identifier les unités présentes (Inserted) ou absentes (Not Inserted). Les lignes d'unités absentes sont colorées en bleu. v1.24.44
---\\ DOS/Devices
C:\ Hard drive, Flash drive, Thumb drive (Free 134 Go of 232 Go)
E:\ CD-ROM drive (Inserted)
F:\ Hard drive, Flash drive, Thumb drive (Free 166 Go of 226 Go)
G:\ Floppy drive, Flash card reader, USB Key (Not Inserted)
K:\ Floppy drive, Flash card reader, USB Key (Inserted)

Le corps du rapport

Processus lancés :
Ce module recense l'ensemble des processus qui sont lancés au démarrage du système. Il provient d'une part de données situées dans les clés Run,RunOnce ou RunServices de la Base De Registres et d'autre part de données chargées au démarrage de certains services.

---\\ Processus lancés
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

---\\ Processus lancés v1.25.02
[MD5.21293443961A4E2597453EE7A9347F22] - (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
[MD5.7088B136BB58A5F95CF0DE8386CA6C0F] - (.Pas de propriétaire - Pas de description.) -- C:\HP\KBD\KbdStub.EXE

Analyse des lignes F0, F1, F2, F3 - IniFiles, Autoloading programs
- Modification d'une valeur System.ini (F2)
- Modification d'une valeur Win.ini (F3)

Analyse des lignes M1, du navigateur Mozilla Firefox

M1 - Pages de recherche de Mozilla Firefox
Lié au module SPR (Search Page Redirection). De nombreuses extensions sont proposées pour le navigateur Firefox. Certaines d'entre elles, non désirées, peuvent provoquer une redirection de la page de recherche. Afin de pister une éventuelle redirection, l'outil énumère l'ensemble des dossiers comportant une redirection. Ensuite l'analyse de ZHP pourra déterminer la légitimité ou la nocivité de l'adresse spécifiée.

---\\ Pages de recherche de Mozilla Firefox (M1)
M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\talkback@mozilla.org

Analyse des lignes P1, du navigateur Opera

P1 - Plugin de navigateur Opera
Lié au module OPN (Opera Plugin Navigator). Il permet de lister l'ensemble des plugins installés pour le navigateur Opera. Certains plugins peuvent être des programmes malwares. L'analyse de ZHP permettra de les identifier.

---\\ Plugin de navigateur Opera (P1)
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\npdsplay.dll
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\NPSWF32.dll
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\NPSWF32_FlashUtil.exe
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\npwmsdrm.dll

---\\ Plugin de navigateur Opera (P1) v1.25.02
P1 - OPN:Opera Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Opera\Program\Plugins\npqtplugin.dll

Analyse des lignes R0, R1, R3 - Internet Explorer Start/Search pages URLs

R0 - Pages de démarrage d'Internet Explorer
Ce module recherche les paramètres de la page de démarrage par défaut du navigateur Microsoft Internet Explorer. Le piratage de la page de démarrage permet notamment l'affichage de popups indésirables

---\\ Pages de démarrage d'Internet Explorer (R0)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - Pages de recherche d'Internet Explorer
Ce module recherche les paramètres de la page de recherche par défaut du navigateur Microsoft Internet Explorer

---\\ Pages de recherche d'Internet Explorer (R1)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - Internet Explorer URLSearchHook
Ce module recherche les paramètres URLSearchHook du navigateur Microsoft Internet Explorer.
Prise en compte de la branche HKLM. v.1.22

---\\ Internet Explorer URLSearchHook (R3)
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\System32\ieframe.dll

---\\ Internet Explorer URLSearchHook (R3) v1.25.02
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Microsoft Corporation - Navigateur Internet.) (8.00.7600.16385 (win7_rtm.090713-1255)) -- C:\Windows\System32\ieframe.dll

Analyse des autres lignes (Others)

O1 - Redirection du fichier Hosts
Ce module recherche les détournements du fichier HOSTS qui contient les mappages de noms d'hôtes en adresses IP.

O2 - Browser Helper Objects de navigateur
Ce module recherche l'ensemble des Browser Helper Objects (BHO) installés. Un BHO est une application qui ajoute certaines fonctionnalités au navigateur Web.

---\\ Browser Helper Objects de navigateur (O2)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

---\\ Browser Helper Objects de navigateur (O2) v1.25.02
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O3 - Internet Explorer Toolbars
- Ce module liste l'ensemble des barres d'outils (Toolbars) du navigateur Microsoft Internet Explorer.
- Ajout de la Branche HKCU v1.23

---\\ Internet Explorer toolbars (O3)
O3 - Toolbar: ALOT Toolbar - {5AA2BA46-9913-4dc7-9620-69AB0FA17AE7} - C:\Program Files\alot\bin\alot.dll

---\\ Internet Explorer toolbars (O3) v1.25.02
O3 - Toolbar: ALOT Toolbar - {5AA2BA46-9913-4dc7-9620-69AB0FA17AE7} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\alot\bin\alot.dll

O4 - Applications démarrées automatiquement par le registre
- Ce module énumère l'ensemble des applications lancées au démarrage du système. Le traitement se fait à partir des clés de Base De Registres Run, RunOnce et RunServices.
- Traitement des branches HKUS v1.23
- Traitement des branches HKUS\..\Policies\Explorer v1.24.27

---\\ Applications démarrées automatiquement par le registre (O4)
O4 - HKLM\..\Run: [HFFSRV] - c:\windows\hffext\hffsrv.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] - C:\Program Files\Windows Sidebar\Sidebar.ex

---\\ Applications démarrées automatiquement par le registre (O4) v1.25.02
O4 - HKLM\..\Run: [HFFSRV] . (.Pas de propriétaire - Pas de description.) -- c:\windows\hffext\hffsrv.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files\Windows Sidebar\Sidebar.exe

O4 - Applications lancées au démarrage du système v1.24.12
Ce module énumère l'ensemble des raccourcis d'applications placées dans le dossier de démarrage de Windows.

O5 - Invisibilité de l'icône d'options IE dans le panneau de Configuration
- Ce module affiche les paramètres contenus dans le fichier control.ini et correspondant au panneau de contrôle d'Internet Explorer.
- Ajout d'une information spécifique dans le module O5 pour distinguer les environnements système. v1.23

Nouveau format : v1.24
O5 - control.ini: [HKLM\..\Control Panel] inetcpl.cpl=no

O6 - Restriction de l'accès aux options IE par l'Administrateur
Ce module permet de rechercher dans la Base De Registres s'il y a restriction sur l'accès aux options d'Internet Explorer. A côté de la restriction faite par l'Administrateur, certains logiciels comme Spybot S&D peuvent provoquer la création de cette ligne lorsque l'option Verrouiller la page de démarrage est activée.

O7 - Restriction de l'accès à Regedit par l'Administrateur
Ce module permet de rechercher la valeur de clé de registre DisableRegedit. Selon la donnée de cette valeur de clé, l'accès à la Base De Registres peut être totalement verrouillé.

O8 - Lignes supplémentaires dans le menu contextuel d'Internet Explorer
Ce module énumère les lignes supplémentaires dans le menu contextuel d'Internet Explorer. Cette action ajoute des éléments au menu contextuel lorsque l'on fait un clic droit sur une page Web.

---\\ Lignes supplémentaires dans le menu contextuel d'Internet Explorer (O8)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE

---\\ Lignes supplémentaires dans le menu contextuel d'Internet Explorer (O8) v1.25.02
O8 - Extra context menu item: E&xporter vers Microsoft Excel . (.Microsoft Corporation - Microsoft Excel.) -- C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE

O9 - Boutons situés sur la barre d'outils principale d'Internet Explorer
Ce module liste les éléments ajoutés dans la barre d'outils d'Internet Explorer ou dans le menu Outils d'IE

---\\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

---\\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9) v1.25.02
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} . (.Hewlett-Packard Co. - HP Smart Web Printing add-on for Internet Explorer.) -- C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O10 - Piratages de Winsock LSP (Layered Service Provider) v1.24.26
Ce module liste toutes les ressources se trouvant dans les sous-clés Winsock2. L'analyseur de ZHP permettra de définir la légitimité ou la nocivité des ressources.

---\\ Winsock hijacker (Layered Service Provider) (O10)
O10 - WLSP:\000000000004\Winsock LSP File - C:\Windows\system32\pnrpnsp.dll

---\\ Winsock hijacker (Layered Service Provider) (O10) v1.25.02
O10 - WLSP:\000000000004\Winsock LSP File . (.Microsoft Corporation - Fournisseur d’espace de noms PNRP.) -- C:\Windows\system32\pnrpnsp.dll
O10 - Broken Internet access because of LSP provider (.no file.) -- C:\WINDOWS\system32\winrnr.dll

O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer
Ce module traite des Onglets supplémentaires dans les options avancées d'Internet Explorer. Le traitement se fait par lecture de clés de Registre.

---\\ Onglet supplémentaire dans les options avancées d'Internet Explorer (O11)
O11 - Options group: [accessibility] Accessibility - C:\Windows\SysWOW64\inetcpl.cpl
O11 - Options group: [browse] Browsing - C:\Windows\SysWOW64\inetcpl.cpl

---\\ Onglet supplémentaire dans les options avancées d'Internet Explorer (O11) v1.25.05
O11 - Options group: [accessibility] Accessibility .(.Microsoft Corporation - Element du panneau de congiguration .) -- C:\Windows\SysWOW64\inetcpl.cpl
O11 - Options group: [browse] Browsing .(.Microsoft Corporation - Element du panneau de congiguration .) - - C:\Windows\SysWOW64\inetcpl.cpl

O12 - Internet Explorer Plugins
Ce module énumère les programmes d'extension (plugins) d'Internet Explorer. Ces plugins sont lancés au démarrage du navigateur.

---\\ Internet Explorer Plugins (O12)
O12 - Plugin for OAD - C:\Windows\system32\dance.dll

O13 - Piratage des préfixes d'URL d'Internet Explorer
Ce module recherche la valeur de la clé de Registre DefaultPrefix. Toutes les URL sont par défaut préfixées avec http://. Des pirates comme CoolWebSearch sont connus pour modifier ce préfixe.

O14 - Paramètres par défaut des options Internet Explorer
Ce module recherche les paramètres du fichier ereset.inf qui contient des options de Microsoft Internet Explorer.
Les lignes légitimes suivantes ne sont pas affichées :

O14 - IERESET.INF: START_PAGE_URL=START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
O14 - IERESET.INF: SEARCH_PAGE_URL=SEARCH_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
O14 - IERESET.INF: SAFESITE_VALUE=SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

O15 - Site dans la Zone de confiance d'Internet Explorer
Ce module recherche les sites indésirables placés dans la Zone de confiance d'Internet Explorer. Souvent AOL et CoolWebSearch s'insèrent silencieusement dans cette zone.
Prise en charge de la branche HKLM.
Prise en compte de la clé EscDomains et nouveau format d'affichage. v1.23

---\\ Site dans la Zone de confiance d'Internet Explorer (O15)
O15 - Trusted Zone: [HKCU]0007ideal.com
O15 - Trusted Zone: [HKLM]0007ideal.com v1.22

---\\ Site dans la Zone de confiance d'Internet Explorer (O15) v1.23
O15 - Trusted Zone: [HKCU\...\Domains] 0007ideal.com
O15 - Trusted Zone: [HKCU\...\EscDomains] 0007ideal.com

O16 - Objets ActiveX (Downloaded Program Files)
Ce module permet d'énumérer les objets ActiveX.
Les lignes légitimes issues de Java Runtime Environment ne sont pas affichées.

---\\ Objets ActiveX (Downloaded Program Files)(O16)
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - C:/Program Files/Jigsaw Puzzle Platinum/Images/stg_drm.ocx

---\\ Objets ActiveX (Downloaded Program Files)(O16 ) v1.25.04
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - (.No file.) - C:/Program Files/Jigsaw Puzzle Platinum/Images/armhelper.ocx

O17 - Modification Domaine/Adresses DNS
Ce module liste les modifications des serveurs DNS qui peuvent permettre une redirection vers un site malveillant.

O18 - Protocole additionnel et piratage de protocole
- Ce module recense les modifications des protocoles par défaut pour pister les connexions.
- Traitement dans le module O18 de nouvelles clés de registre "deflate", "gzip" (Vista) v1.23
- Traitement du propriétaire et de la description du fichier. v1.25.02

---\\ Protocole additionnel et piratage de protocole (O18)
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O18 - Protocol: msnim - {008030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll"

---\\ Protocole additionnel et piratage de protocole (O18) v1.23
O18 - Filter: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\system32\urlmon.dll
O18 - Filter : gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\system32\urlmon.dll

---\\ Protocole additionnel et piratage de protocole (O18) v1.25.02
O18 - Handler: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} . (.Microsoft Corporation - Extensions OLE32 pour Win32.) -- C:\Windows\system32\urlmon.dll

O19 - Piratage de feuille de style Utilisateur
Ce module permet de rechercher un éventuel piratage de la feuille de style de l'utilisateur. Le détournement d'une feuille de style peut être utilisé pour l'affichage de popups.

O20 - Valeur de sous-clés Winlogon Notify
Ce module se charge d'énumérer les fichiers chargés via les sous-clés Winlogon Notify. Ces fichiers peuvent provenir d'infection Vundo.

O20 - Winlogon Notify: Notify2 - C:\Windows\System32\Erdtet.dll

---\\ Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20) v1.25.02
O20 - Winlogon Notify: AtiExtEvent . (.ATI Technologies Inc. - ATI External Event Utility DLL Module.) -- C:\WINDOWS\System32\Ati2evxx.dll
O20 - Winlogon Notify: dimsntfy . (.Pas de propriétaire - Pas de description.) -- (no file)

O20 - Valeur de Registre AppInit_DLLs
Ce module se charge d'énumérer les fichiers chargés via la valeur de Registre AppInit_DLLs.

---\\ AppInit_DLLs Registry value Autorun (O20)
O20 - AppInit_DLLs: C:\Windows\System32\dance.exe

---\\ AppInit_DLLs Registry value Autorun (O20) v1.25.02
O20 - AppInit_DLLs: .(.Pas de propriétaire - Pas de description.) - C:\Windows\System32\dance.exe (Not file)

O21 - Clé de Registre autorun ShellServiceObjectDelayLoad et ShellServiceObject
Lié au module SSODL (Shell Service Object Delay Load).
Il permet de lister les fichiers chargés via la clé de Registre ShellServiceObjectDelayLoad.
Il permet de lister sous Windows Vista les fichiers chargés via la clé de Registre ShellServiceObjects. v1.23

---\\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21)
O21 - SSODL: Start - {00F043EF-A974-49B3-8322-B853CF1E5EC5} - c:\windows\system32\reactif.dll

---\\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21) v1.23
O21 - SSO: Start - {00F043EF-A974-49B3-8322-B853CF1E5EC5} - c:\windows\system32\reactif.dll

---\\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21) v1.25.02
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} . (.Microsoft Corporation - DLL commune du shell Windows.) -- C:\WINDOWS\system32\SHELL32.dll

O22 - Clé de Registre autorun SharedTaskScheduler
Ce module recense les éléments de la clé de Registre SharedTaskScheduler. Ces éléments sont lancés au démarrage du système et sont souvent le résultat d'une infection SmitFraud. Les lignes suivantes légitimes de Windows ne sont pas affichées :

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {...}
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {...}

---\\ SharedTaskScheduler (O22) v1.24
O22 - SharedTaskScheduler: Constaner - {CLSID} - C:\WINDOWS\system32\dance.exe

---\\ SharedTaskScheduler (O22) v1.25.04
O22 - SharedTaskScheduler: Constaner - {CLSID} .(.Proprietaire - Description.) -- C:\WINDOWS\system32\dance.exe

O23 - Services NT non Microsoft et non désactivés
Ce permet énumère l'ensemble des services lancés au démarrage du système. Les services génériques Microsoft et les services désactivés sont volontairement exclus de cette énumération.

---\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 - Service: Google Updater Protocol (gusvc) - C:\Windows\system32\drivers\TDSSserv.sys

---\\ Liste des services NT non Microsoft et non désactivés (O23) v1.25.02
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) . (.Avira GmbH.) - C:\Program Files\Avira\AntiVir Desktop\sched.exe

---\\ Liste des services NT non Microsoft et non désactivés (O23) v1.25.04
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) . (.Avira GmbH - Antivirus Scheduler.) - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O24 - Énumération des composants Active Desktop
Ce module recense tous les composants Active Desktop. Ces ajouts de composants se rencontrent par exemple lors d'infections de type SmitFraud, mais pas seulement.
La ligne légitime par défaut "Ma page d'accueil" n'est pas affichée.

---\\ Énumération des composants Active Desktop (O24)
O24 - Desktop Component 0: Ma page d'accueil - file:About:Home
O24 - Desktop Component 1: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

Les options de recherche

A côté du rapport de base, l'outil dispose d'un module permettant la sélection d'un ou plusieurs compléments de rapport. Il démarre à partir des lignes de rapport O39.

O39 - Tâches planifiées en automatique
Lié au module APT (Automatic Planified Task). De nombreux logiciels ont pour fonction la surveillance ou la mise à jour du système. Pour chacun d'eux, une tâche planifiée peut être créée et se déclencher en fonction d'une périodicité établie. Ce procédé de tâche planifiée pouvant être détourné par certains malwares, l'outil permet l'affichage de l'ensemble de ces événements. Ensuite une analyse de ZHP pourra déterminer la légitimité ou la nocivité d'une telle tâche.

---\\ Tâches planifiées en automatique (O39) (Zone Dossier)
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\desktop.ini
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\SA.DAT

A partir de la v1.24.10, une recherche complèmentaire s'effectue dans la clé de registre "Schedule". Toutefois pour être opérationnelle, cette fonction nécessite d'avoir une autorisation spéciale sur cette clé car le "contrôle total" est insuffisant.

---\\ Tâches planifiées en automatique (O39) (Zone Registre) v1.24.10
O39 - APT:Automatic Planified Task - HP Health Check-{68E466FA-9D76-4933-A129-4D820A742903}
O39 - APT:Automatic Planified Task - JavaUpdateCoolman-{1528AC0D-E72B-4827-9B35-FEB41AB55464}

O40 - Composants installés (ActiveSetup Installed Components)
Lié au module ASIC (ActiveSetup Installed Components). Il permet de lister tous les composants Active Setup énumérés dans la Base De Registres.

---\\ Composants installés (ActiveSetup Installed Components) (040)
O40 - ASIC: Lecteur Windows Media - {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
O40 - ASIC: Internet Explorer - {26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE
O40 - ASIC: Personnalisation du navigateur - {60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

---\\ Composants installés (ActiveSetup Installed Components) (O40) v1.25.03
O40 - ASIC: Browser Customizations - >{60B49E34-C7CC-11D0-8953-00A0C90347FF} . (.Microsoft Corporation - Personnalisation d’IEAK.) -- C:\Windows\System32\iedkcs32.dll
O40 - ASIC: Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - (not file)

O41 - Pilotes lancés au démarrage
Ce module liste tous les pilotes (drivers) de périphériques qui sont lancés au démarrage du système.

---\\ Pilotes lancés au démarrage (O41)
O41 - Driver: Suppresseur d'écho acoustique (Noyau Microsoft) (aec) - C:\WINDOWS\system32\drivers\aec.sys
O41 - Driver: Environnement de prise en charge de réseau AFD (AFD) - C:\WINDOWS\System32\drivers\afd.sys
O41 - Driver: Pilote de processeur AMD K7 (AmdK7) - C:\WINDOWS\System32\DRIVERS\amdk7.sys
O41 - Driver: Protocole client ARP 1394 (Arp1394) - C:\WINDOWS\System32\DRIVERS\arp1394.sys

---\\ Pilotes lancés au démarrage (O41) v1.25.03
O41 - Driver: avgio (avgio) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
O41 - Driver: FDCENT (FDCENT) . (.Pas de propriétaire - Pas de description.) - C:\Windows\system32\drivers\FDCENT.SYS

O42 - Logiciels installés
Ce module liste tous les logiciels installés en excluant les mises à jour et correctifs Microsoft Windows.

---\\ Logiciels installés (O42)
O42 - Logiciel: Adobe Flash Player Plugin
O42 - Logiciel: Adobe Photoshop 7.0
O42 - Logiciel: Avira AntiVir Personal - Free Antivirus
O42 - Logiciel: CCleaner (remove only)

---\\ Logiciels installés (O42) v1.25.03
O42 - Logiciel: 32 Bit HP CIO Components Installer - (.Hewlett-Packard.)
O42 - Logiciel: 7-Zip 4.57 - (.Pas de propriétaire.)

O43 - Contenu des dossiers Fichiers Communs
Lié au module CFD (Common File Directory). Il permet de lister tous les sous-dossiers Fichiers Communs et Common Files du dossier %ProgramFiles%

---\\ Contenu des dossiers Fichiers Communs (O43)
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\ACD Systems
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Adobe
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Borland Shared
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Microsoft Shared

O44 - Derniers fichiers modifiés ou créés sous System32
Lié au module LFC (Last File Created). Il permet de lister tous les fichiers créés ou modifiés dans les dossiers System32 et System32\Drivers. La période de recherche est limitée aux 3 derniers mois.

Une recherche complémentaire s'effectue au niveau du root système v1.24.30

---\\ Derniers fichiers modifiés ou créés sous System32 (O44)
O44 - LFC:Last File Created - C:\WINDOWS\System32\dnsapi.dll -->20/06/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\java.exe -->10/06/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\avipbb.sys -->19/07/2008
O44 - LFC:Last File Created - C:\\avipbb.exe -->22/11/2009

---\\ Derniers fichiers modifiés ou créés sous System32 (O44) v1.24.41
O44 - LFC:[MD5.C1EE8AA735160B2CCB1DADAA2913564E]- 06/01/2010 - 10:40:36 R---- C:\WINDOWS .scr

---\\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44) v1.25.03
O44 - LFC:[MD5.0C49B3DA1924FF4B74694C24A45DC7E5] - 23/01/2010 - 18:10:49 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\PDOXUSRS.NET
O44 - LFC:[MD5.6626F8DF052DF5252673E9380CEEFEC8] - 04/01/2010 - 16:17:48 ---A- . (.Microsoft Corporation - Outil de suppression de logiciels malveilla.) -- C:\Windows\System32\MRT.exe

O45 - Derniers fichiers créés dans Windows Prefetcher
Lié au module LFP (Last File Create Prefetch). Il permet de lister tous les fichiers créés ou modifiés dans le dossier Prefetcher. La période de recherche est limitée aux 3 derniers mois.

---\\ Derniers fichiers créés par Windows Prefetcher (O45)
045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ACDSEE8.EXE-2C7AF977.pf -->24/07/2008
045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ADDALIAS.EXE-184750BD.pf -->19/07/2008
045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ADDALIAS.EXE-2B12A6B4.pf -->23/07/2008

O46 - ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer.
Lié au module SEH (Shell Execute Hooks). Il permet de recenser toutes les opérations et fonctions au démarrage de Windows Explorer.

---\\ ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer (O46)
O46 - SEH:ShellExecuteHooks - URL Exec Hook - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - shell32.dll

O47 - Export de clé d'application autorisée
Lié au module AAKE (Authorized Application Key Export). Il permet de lister toutes les valeurs et données pour les applications autorisées pour les deux clés suivantes :
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

---\\ Export de clé d'application autorisée (O47)
047 - AAKE:Key Export - "C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorateur Windows"

Ajout d'une information spécifique pour distinguer les lignes issues de clés Standard Profile ou DomaineProfile v1.23
---\\ Export de clé d'application autorisée (O47)
O47 - AAKE:Key Export SP - "%windir%\system32\zPharaoh.exe"="%windir%\system32\zPharaoh.exe:*:Enabled:dance"
O47 - AAKE:Key Export DP - "%windir%\system32\dance.exe"="%windir%\system32\dance.exe:*:enabled:dance"

Équivalence dans les rapports DiagHelp, SDFix
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorateur Windows"

---\\ Export de clé d'application autorisée (ECAA) (O47) v1.25.06
O47 - AAKE:Key Export SP - "%windir%\system32\zPharaoh.exe" [Enabled] .(.changelog.fr - OAD.) -- C:\Windows\system32\zPharaoh.exe
O47 - AAKE:Key Export DP - "%windir%\system32\dance.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Windows\system32\dance.exe

O48 - Déni du service Local Security Authority (LSA)
Lié au module LSA. Pour son fonctionnement, Microsoft Windows NT utilise un service d'autorité Locale de sécurité ou LSA (Local Security Authority). Une requête au service LSA peut être utilisée afin d'exploiter une vulnérabilité de sécurité du système. Une utilisation abusive de cette vulnérabilité permet l'exécution d'un programme en provoquant un déni de service. Ainsi, le service LSA cesse de répondre et demande le démarrage de l'ordinateur. Au redémarrage la ressource malware installée sera automatiquement chargée afin de poursuivre son action.

- Les attaques portent sur la clé de Base de Registres [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA], avec remplacement de la donnée des valeurs Notification Packages et Authentication Packages.

- La donnée par défaut de la valeur Authentication Packages est msv1_0 et fait référence à la ressource système %System32%\msv1_0.dll (Microsoft Authentication Package v1.0)

- La donnée par défaut de la valeur Notification Packages est scecli et fait référence à la ressource système %System32%\scecli.dll (Microsoft Moteur du client de l'Éditeur de configuration)

- L'infection Vundo utilise cette vulnérabilité de sécurité et installe sa propre ressource. MalwareByte's AntiMalware (MBAM) recense ce type d'attaque de service LSA.

Aperçu dans le rapport en mode Helper (ces deux lignes sont bien sûr traitées légitimes/génériques lors de l'analyse générale de ZHP)
---\\ Dénis de service Local Security Authority (LSA) (O48)
O48 - LSA:Local Security Authority Authentication Packages - C:\WINDOWS\System32\msv1_0.dll => Microsoft Authentication Package v1.0
O48 - LSA:Local Security Authority Notification Packages - C:\WINDOWS\System32\scecli.dll => Microsoft Moteur du client de l'Éditeur de configuration

---\\ Déni du service (Local Security Authority) (LSA) (O48) v1.25.02
[MD5.90691014D96030B69D7B8D6A0967FC67] - (.Microsoft Corporation - Microsoft Authentication Package v1.0.) -- C:\Windows\System32\msv1_0.dll

O49 - Contrôle Safe Boot (CSB)
Lié au module CSB (Contrôle Safe Boot). Il permet de lister toutes les sous-clés de registre des clés SafeBoot\Minima et SafeBoot\Network pour CurrentControlSet et ControlSetxxx. Généralement rencontré dans les infections Haxdoor.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx\Control\SafeBoot\Network

Aperçu dans le rapport :
---\\ Contrôle du Safe Boot (CSB) (O49)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\dmboot.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\dmio.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Networkl\dmload.sys

---\\ Contrôle du Safe Boot (CSB) (O49) v1.25.03
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\sermouse.sys . (.Microsoft Corporation - Pilote de filtre souris série.) -- C:\Windows\System32\Drivers\sermouse.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\vga.sys . (.Microsoft Corporation - VGA/Super VGA Video Driver.) -- C:\Windows\System32\Drivers\vga.sys

O50 - Image File Execution Options (IFEO) v1.16
Lié au module IFEO (Image File Execution Options). Il permet de lister toutes les sous-clés de registre des clés IFEO. Cette clé peut-être utilisée pour rediriger des processus légitimes à des fins infectieuses.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Aperçu dans le rapport :
---\\ Image File Execution Options (IFEO) (O50)
O50 - IFEO:Image File Execution Options - guard.exe - C:\Windows\System32\delrodRR.exe

---\\ Image File Execution Options (IFEO) (O50)
O50 - IFEO:Image File Execution Options - Your Image File Name Here without a path - ntsd -d

O51 - MountPoints2 Search Key (MPSK) v1.18, v1.20.2
Lié au module MPSK (MountPoints2 Search Key). Il permet de traquer les infections en provenance des ports USB. Il recherche la présence de données dans les sous-clés de registre :
- "AutoRun\command",
- "explore\command",
- "open\command"
- "Browser\command", v1.20.2
- "Auto\command", v1.20.2
des clés HKCU\...\MountPoints2\{CLSID}\shell.

Aperçu dans le rapport :
---\\ MountPoints2 Shell Key (MPSK) (O51)
O51 - MPSK:{7fd09aec-e17a-11dd-9618-001bb9f21385}\Shell\AutoRun\command - L:\Launch.exe /run
O51 - MPSK:{264723e8-89aa-11dd-b05d-4d6564696130}\Shell\explore\command - H:\helper.exe
O51 - MPSK:{492c038b-8707-11dd-b055-4d6564696130}\Shell\open\command - RavMon.exe

---\\ MountPoints2 Shell Key (MPSK) (O51) v1.25.02
O51 - MPSK:{88888888-51ce-11de-96a5-001060d14950}\Shell\AutoRun\command. (.changelog.fr - OAD.) -- c:\zPharaoh.exe

Affichage de l'absence du fichier (.not file).
---\\ MountPoints2 Shell Key (MPSK) (O51) v1.25.05
O51 - MPSK:{88888888-51ce-11de-96a5-001060d14950}\Shell\AutoRun\command. (.changelog.fr - OAD.) -- c:\zPharaoh.exe
O51 - MPSK:{88888888-51ce-11de-96a5-001060d14950}\Shell\explore\command. (.Pas de propriétaire - Pas de descrïption.) -- c:\zPharaoh.exe (.not file.)

O52 - Trojan Driver Search Data (HKLM) (TDSD) v1.18
Lié au module TDSD (Trojan Driver Search Data). Il permet de traquer les infections en provenance de trojans drivers. C'est le cas notamment du trojan Daonol qui s'incruste en tant que pseudo driver ou pseudo ressource dynamique sous couvert d'extensions multiples (ide,svy,dql,xoo,...). Ce module scrute la clé de Base de Registre "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers et Drivers32" afin de rechercher des valeurs de clés permettant l'exécution de données malwares. Ces données sont généralement exécutées via des processus installés sous %USERPROFILE% ou %SYSTEM32%. Dans la pratique, Daonol est un trojan qui provoque des redirections lors de recherches avec le moteur Google (Détournement de DNS) afin de promouvoir des rogues. ComboFix et MBAM permettent l'éradication de ce malware.
Traitement de la valeur "drivers.desc" sous environnement Vista. v1.22

Aperçu dans le rapport :
---\\ Trojan Driver Search Data (TDSD) (O52)
O52 - TDSD:HKLM\...\Drivers\"timer"="timer.drv"
O52 - TDSD:HKLM\...\Drivers32\"msacm.l3acm"="C:\Windows\System32\l3codeca.acm"
O52 - TDSD:HKLM\...\drivers.desc\"wdmaud.drv"="Realtek High Definition Audio" v1.22

---\\ Trojan Driver Search Data (TDSD) (O52) v1.25.03
O52 - TDSD:HKLM\...\Drivers\"timer"="timer.drv" . (.Microsoft Corporation - Timer driver for PC compatibles.) -- C:\Windows\System32\timer.drv
O52 - TDSD:HKLM\...\Drivers32\"vidc.mrle"="msrle32.dll" . (.Microsoft Corporation - Microsoft RLE Compressor.) -- C:\Windows\System32\msrle32.dll

---\\ Trojan Driver Search Data (TDSD) (HKLM) (O52) v1.25.04
O52 - TDSD: \Drivers\"timer"="timer.drv" . (.Microsoft Corporation - Timer driver for PC compatibles.) -- C:\Windows\System32\timer.drv
O52 - TDSD: \Drivers32\"vidc.mrle"="msrle32.dll" . (.Microsoft Corporation - Microsoft RLE Compressor.) -- C:\Windows\System32\msrle32.dll

O53 - ShareTools MSconfig StartupReg (SMSR) v1.20
Lié au module SMSR (ShareTools MSconfig StartupReg). Il permet de lister les valeurs et données de la clé startupreg :
[HKLM\software\microsoft\shared tools\msconfig\startupreg].

Aperçu dans le rapport :
---\\ ShareTools MSconfig StartupReg (SMSR) (O53)
O53 - SMSR:HKLM\...\startupreg\iTunesHelper - C:\Program Files\iTunes\iTunesHelper.exe
O53 - SMSR:HKLM\...\startupreg\msnmsgr - C:\Program Files\MSN Messenger\MsnMsgr.Exe /background

---\\ ShareTools MSconfig StartupReg (SMSR) (O53) v1.25.03
O53 - SMSR:HKLM\...\startupreg\CloneDVD2 . (.Elaborate Bytes AG - CloneDVD Application.) - C:\Program Files\Elaborate Bytes\CloneDVD\CloneDVD2.exe

O54 - Microsoft Control Security Providers (MCSP) v1.20
O54 Microsoft Control Security Providers (MCSP) v1.20
Lié au module MCSP (Microsoft Control Security Providers). Il permet de lister les valeurs et données des clés SecurityProviders :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
[HKEY_LOCAL_MACHINE\SYSEM\ControlSet001\Control\SecurityProviders]
Ces clés peuvent être le siège de ressources dynamiques malwares Trojan.Agent comme par exmple digiwet.dll ou mcenspc.dll.

Aperçu dans le rapport :
---\\ Microsoft Control Security Providers (MCSP) (O54)
O54 - MCSP:[HKLM\...\CurrentControlSet\Control] - "SecurityProviders"=credssp.dll
O54 - MCSP:[HKLM\...\ControlSet001\Control] - "SecurityProviders"=credssp.dll (Légitime)
O54 - MCSP:[HKLM\...\ControlSet001\Control] - "SecurityProviders"=msapsspc.dll, digiwet.dll (malware)

O55 - Microsoft Windows Policies System (MWPS) v1.20
Lié au module MWPS (Microsoft Windows Policies System). Il permet de lister de nombreux paramètres énumérés sous la clé :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] v1.23

Aperçu dans le rapport :
---\\ Microsoft Windows Policies System (MWPS) (O55)
O55 - MWPS:[HKLM\...\Policies\System] - "dontdisplaylastusername"=0
O55 - MWPS:[HKLM\...\Policies\System] - "legalnoticecaption"=
O55 - MWPS:[HKCU\...\Policies\System] - "legalnoticecaption"=

O56 - Microsoft Windows Policies Explorer (MWPE) v1.20
Lié au module MWPE (Microsoft Windows Policies Explorer). Il permet de lister de nombreux paramètres énumérés sous les clés :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

Aperçu dans le rapport :
---\\ Microsoft Windows Policies Explorer (MWPE) (O56)
O56 - MWPE:[HKLM\...\Policies\Explorer] - "NoDriveTypeAutoRun"=145
O56 - MWPE:[HKCU\...\Policies\Explorer] - "HonorAutoRunSetting"=

O57 - Recherche de Drivers Rootkit (SDR) v1.21
Lié au module Search Drivers Rootkit (SDR).Il s'appuie d'une part sur un fichier de rootkits identifiés et d'autre
part sur plusieurs masques basés sur des rootkits connus comme par exemple Seneka{}, UAC{}, Gaopdx{}, ou Tdss{}.

Aperçu dans le rapport :
---\\ Recherche de Drivers Rootkit (SDR) (O57)
O57 - SDR:Search Drivers Rootkit - C:\Windows\system32\drivers\TDSSserv.sys

---\\ Diag_SDR=Recherche de Drivers Rootkit (SDR) (O57) v1.25.03
O57 - SDR:Search Drivers Rootkit . (.Propriétaire - Description.) -- C:\Windows\system32\drivers\senekadance.sys

O58 - System Drivers List (SDL) v1.21
Lié au module System Drivers List (SDL). Il scrute en totalité le dossier "system32" de windows pour éditer la liste
des pilotes (drivers sys).

Aperçu dans le rapport :
---\\ Liste des Drivers Système (SDL) (O58)
O58 - SDL:System Drivers List - C:\Windows\system32\drivers\1394bus.sys

Ajout de la date, de l'heure et du MD5. Aperçu dans le rapport: v1.24.42
---\\ Liste des Drivers Système (SDL) (O58)
O58 - SDL:[MD5.FBCE2F43185104AE8BF4D32571B19203] - 14/07/2009 - 00:51:21 ---A- C:\Windows\system32\drivers\1394bus.sys

---\\ Liste des Drivers Système (SDL) (O58) v1.25.03
O58 - SDL:[MD5.F0E07D144C8685B8774BC32FC8DA4DF0] - 14/07/2009 - 02:26:15 ---A- . (.Microsoft Corporation - Pilote ACPI pour NT.) -- C:\Windows\system32\drivers\acpi.sys

O59 - Recherche heuristique Magic.control (HSMI) v1.21
Lié au module Heuristic Search MagicControl Infection (HSMI). Il recherche les infections Magic.control (NaviPromo) et EGDAcces.
Cette recherche s'effectue dans les dossiers "système" (%SYSTEM32%) et "utilisateurs" (%USERPROFILE%). Magic.control (Navipromo) est un adware succeptible de provoquer l'affichage de fenêtres publicitaires intempestives.

Aperçu dans le rapport :
---\\ Recherche d'infection Magic.control (O59)
O59 - HSMI:Heuristic Search MagicControl Infection - C:\Windows\system32\a8clients_nav.dat

---\\ Recherche heuristique Magic.control (HSMI) (O59)
O59 - HSMI:Heuristic Search MagicControl Infection - C:\Documents and Settings\ORENGO\Local Settings\Application Data\daancbqh_nav.dat
O59 - HSMI:Heuristic Search MagicControl Infection - C:\Documents and Settings\ORENGO\Local Settings\Application Data\daancbqh_navps.dat

O60 - Détournement de DNS (DDNS) v1.21
Lié au module Diversion Of DNS (DDNS). Il traque les détournements de DNS (Domain Name System). La recherche s'effectue sur les valeurs NameServer des clés Tcpip de Base de Registre..

Aperçu dans le rapport :
---\\ Détournement de DNS (DDNS) (O60)
O60 - DNS:Diversion Of DNS - HKLM\System\CS1\Services\Tcpip\..\{Oa539854-6a70-11db-887c-806e6f6e6963}\ NameServer=85.255.210.12,85.255.210.12

O61 - Derniers fichiers modifiés ou créés (Utilisateur) v1.23
Lié au module LFC (Last File Created). Il permet de lister tous les fichiers créés ou modifiés dans les dossiers %Userprofile% ("Documents And Settings" ou "Users". La période de recherche est limitée à 10 jours..

---\\ Derniers fichiers modifiés ou créés (Utilisateur) (O61)
O61 - LFC:Last File Created 10/07/2009 - 15:58:43 --HA- C:\Users\Coolman\AppData\Local\IconCache.db
O61 - LFC:Last File Created 10/07/2009 - 19:04:34 ---A- C:\Users\Coolman\AppData\Local\Temp\alm.log

O62 - Alternate Data Stream File (ADS) v1.23.19
Lié au module ADS (Alternate Data Stream). Ce module est basé sur l'utilisation de LADS développé par Franck Heyne. La recherche pour les drivers mode-kernel et les exécutables s'effectue dans certains dossiers système comme %System32%.

Aperçu dans le rapport :
---\\ Alternate Data Stream File (ADS) (O62)
O62 - ADS:Alternate Data Stream File - F:\Windows\System32\hsc1.txt:keylogger.exe

O63 - List All Tools Cleaner (LATC) v1.24.06
Lié au module LATC (List All Tools Cleaner. Il permet de lister les logiciels usuels qui servent à la désinfecttion d'un système.

Aperçu dans le rapport :
---\\ Liste des outils de nettoyage (LATC) (O63)
O63 - Logiciel: WareOut Removal Tool

---\\ Liste des outils de nettoyage (LATC) (O63) v1.25.03
O63 - Logiciel: HijackThis 2.0.2 - (.TrendMicro.)

O64 - List All Legacy Service (LALS) v1.24.12
Lié au module LALS (List All Legacy Service). Il permet de lister tous les services legacy de la branche "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root."
Les clés Legacy énumèrent une partie des services que l'on peut activer ou désactiver dans le Gestionnaire de services. Il est donc très intéressant d'avoir la liste exhaustive de toutes ces clés. D'une part parce qu'il arrive que certains services soient toujours présents dans la Base De Registres après la désinstallation du logiciel dont ils sont issus. D'autre part parce que certaines infections, comme celles de type SmitFraud, utilisent ces clés légacy pour activer leur propre service malware.

Aperçu dans le rapport :
---\\ Liste tous les services legacy (LALS) (O64)
O64 - Services: CurCS - Avira AntiVir MailGuard (AntiVirMailService) LEGACY_ANTIVIRMAILSERVICE
O64 - Services: CS010 - Avira AntiVir MailGuard (AntiVirMailService) LEGACY_ANTIVIRMAILSERVICE

---\\ Liste des services Legacy (LALS) (O64) v1.25.04
O64 - Services: - C:\Windows\system32\drivers\afd.sys (AFD) .(.Microsoft Corporation - Ancillary Function Driver for WinSock.) - LEGACY_AFD
O64 - Services: - C:\Windows\system32\Drivers\AVGNTFLT.sys - avgntflt (avgntflt) .(.Avira GmbH - Avira Minifilter Driver.) - LEGACY_AVGNTFLT

O65 - List Files Unsigned v1.24.34
Lié au module LUF (List Filles Unsigned). Il permet de lister tous les fichiers non signés et sans éditeur dans le dossier ':\Windows\system32' et ':\Windows\system32\Driver'.

---\\ Liste des fichiers non signés (LUF) (O65)
O65 - LUF:26/08/2007 CodeGear Borland Package Library v11.0.2804.9245 - c:\windows\system32\adortl100.bpl
O65 - LUF:22/01/2001 Microsoft Corporation MSSearch v10.145.3722.0 - c:\windows\system32\ATHPRXY.DLL

Le rapport détaillé MD5

A partir de la v1.24.22, ZHPDiag se dote d'un module MD5/SHA-1. Le rapport MD5 va permettre la détection de fichiers légitimes patchés par des malwares.

Aperçu dans le rapport :
---\\ Processus lancés
[MD5.0D392EDE3B97E0B3131B2F63EF1DB94E] - C:\Program Files\Windows Defender\MSASCui.exe
[MD5.9A4322EE420D6FACD4D4B1FF6CB856B1] - c:\hp\support\hpsysdrv.exe

L'outil ZHPSearch. (v1.20)

A partir de la version 1.20, ZHPDiag se charge à partir d'un programme externe. Les modules O70 et O71 seront accessibles via l'outil ZHPSearch.

O70 - Recherche particulière de dossier, fichier ou clé de BDR
**** ZHPSearch disponible à partir de la v1.24.39 ****
Ce module complémentaire permet une recherche particulière de dossiers, de fichiers ou de clés de Base De Registres (BDR). La recherche se fait sur les unités de disque spécifiées et comprend les dossiers/fichiers cachés. La liste des fichiers, dossiers ou clés/valeurs de BDR se saisit dans la zone Rapport avec obligatoirement la chaîne ZHPDiag comme première ligne et en respectant le format ci-dessous :

ZHPDiag
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32
C:\WINDOWS\System32\upml
d:\temp\scr2.jpg
d:\temp\scr3.jpg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTim
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
C:\WINDOWS\System32\upm

Une fois cette opération réalisée, un clic sur le bouton Outils ZHPSearch lancera la recherche et intégrera ces lignes dans le rapport avec une indication de présence ou d'absence. Le lancement de l'analyse de ZHP permettra une coloration en rouge en cas de présence de ligne.

---\\ ZHPSearch, Recherche particulière de dossier, fichier ou clé de BDR (O70)
O70 - User: C:\WINDOWS\System32\alg.exe => Fichier PRESENT
O70 - User: C:\WINDOWS\System32 => Dossier PRESENT
O70 - User: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer => Valeur de clé PRESENTE
O70 - User: C:\WINDOWS\System32\upml => Dossier/Fichier ABSENT

O71 - ZHPSearch, Outil de recherche d'infection de Base de Registres
*** ZHPSearch disponible seulement avec Zeb Help Process ***
Lié au module BDRI (Base De Registres Infections). ZHPSearch est un module complémentaire de ZHPDiag. Il permet la recherche d'infections BT, MagicControl/Navipromo, MSN, USB, ou SmitFraud directement dans la Base De Registres Windows. Ce module repose sur plusieurs dizaines de millier de clés/valeurs de BDR. Généralement ce module permet de découvrir des restes d'infections mal nettoyées.

---\\ ZHPSearch, Outil de recherche d'infection de Base de Registres (O71)
O71 - BDRI:[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:kxvo
O71 - BDRI:[HKLM\software\microsoft\shared tools\msconfig\startupreg\kamsoft]

Télécharger

téléchargements