ZHPDiag - Outil de diagnostic

A partir de la version 2.30, Zeb Help Process se dote de son propre outil de diagnostic avec ZHPDiag. Pourquoi un tel outil alors même que d'autres assurent une fonction quasi analogue,
la raison se résume en un seul mot l'autonomie. En effet, jusqu'aux précédentes versions, ZHP se limitait exclusivement à analyser des rapports en provenance d'autres outils de diagnostic, mais qu'adviendrait-il si tous ces outils venaient à disparaître ?, et bien la réponse est simple, ZHP serait condamné à disparaître faute de matière première. C'est donc avant tout dans un souci de pérennité
que j'ai créé cet outil. Basé en partie sur le principe d'HijackThis, l'outil scrute la Base de Registre Windows et énumère les zones sensibles qui sont susceptibles d'être piratées.

J'espère qu'il vous apportera les éléments nécessaires, voire indispensables, à la traque d'éléments nuisibles encombrant votre système d'exploitation.

L'outil est traduit en cinq langues (Allemand, Anglais, Espagnol, Français et Italien).

A Partir de la v1.24. ZHPDiag donne l'accès à son nettoyeur de rapport ZHPFix.

 

SYSTEMES COMPATIBLES

Windows 98
Windows 2000
Windows Me
Windows XP (32 et 64 bits)
Windows Vista (32 et 64 bits)
Windows 7 (32 et 64 bits)

 

Comment lancer l'outil ZHPDiag ?

Désormais ZHPDiag n'existe qu'en version autonome. Cette version est particulièrement intéressante car elle ne nécessite aucune installation et permet d'effectuer un diagnostic rapide et complet de son système d'exploitation. Cet outil peut-être lancé directement de ZHP en cliquant sur le bouton 'ZHPDiag".

Par défaut, l'outil exécute toutes les options hormis les O45, O61 et O65. Il est possible de décocher toutes les options, de cocher toutes les options ou de sélectionner n'importe quelle liste d'options avec le panel des options (Cliquer sur l'icône Tournevis). A minima, l'outil se termine au module O24.

Ensuite, cliquez soit sur le bouton en forme de loupe pour lancer le diagnostic standard soit sur le bouton avec la loupe dans le cahier pour lancer le diagnostic avec les MD5.

Enfin, à la fin de l'édition vous pouver sauvegarder le rapport en cliquant sur le bouton correspondant.

Pour obtenir une analyse de ce rapport avec ZHP, il vous suffit d'utiliser le bouton "Coller dans le Presse papier".

Pour avoir accès à l'outil ZHPFix à partir de ZHPHelper, il faut générer un rapport et lancer une analyse. Le bouton ZHPFix apparaît alors permettant
le lancement de l'outil.

 

Lancement en ligne de commande.

Il est possible de lancer l'outil en ligne de commande. v1.24.16

ZHPDiag [/Option]

Option :
B (Background) - Travaille en arrière plan sans affichage du Log v1.24.12
BL (Background/Log) - Travaille en arrière plan avec affichage du Log (Quelques modules seulement) v1.24.30
BLF (Background/Log/Full) - Travaille en arrière plan, affichage du Log, Full module (sauf O1,O45,O61,O65) v1.25.1412

Exemple :C:\Program Files\ZHPDiag\ZHPDiag.exe /BLF

- Exclus les modules O1,O45,O61,O65,
- Scanne en mode silencieux (Pas d'affichage de l'interface utilisateur),
- Affiche une icone dans le systray le temps du traitement,
- Affiche le rapport en fin de traitement dans le Notepad Windows,
- Place sur le bureau une copie du fichier rapport 'ZHPDiag.txt'.

 

Liste des boutons du panel supérieur.

Ce bouton permet de lancer l'analyse.

Ce bouton permet ce copier toute la zone rapport active dans le Presse-papier de Windows.

Ce bouton permet de sauvegarder le rapport dans un fichier ZHPDiag.txt.

Ce bouton permet de cacher le module des options.

Ce bouton permet de voir le module des options.

Ce bouton permet de sélectionner un nombre de jours de recherche dans le module de fichier ulisateur (O61).

Ce bouton permet de lancer le nettoyeur de rapport ZHPFix. Il apparaît seulement à la fin du diagnostic.

Ce bouton permet de lancer l'analyse avec affichage du MD5 du processus. V1.24.22

Ce bouton permet d'afficher le rapport de MBRCheck

Ce bouton permet de supprimer les attributs (Fonte,Style,couleur) dans le rapport. Ce procédé permet de supprimer l'erreur d'insertion dans un composant RichEdit. v1.27.170

Ce bouton permet la mise à jour automatique de version. v1.26.53

Ce bouton permet de cocher des options.

Ce bouton permet de lancer l'outil ZHPSearch. V1.24.39

Ce bouton permet de sélectionner la langue.

Ce bouton permet de voir les informations 'A Propos' de l'outil.

Aide pour les helpers.

 

L'entête du rapport

L'entête du rapport comporte la version de l'outil, la date d'enregistrement du scan, la plate forme système et la version des navigateurs Internet Explorer, Mozilla Firefox et Opera. D'autres éléments permettent de donner des renseignements sur le mode de démarrage, la RAM ou sur le disque dur système.

Rapport de ZHPDiag v1.0 par Nicolas Coolman
Enregistré le 22/07/2008 15:28:43
Platform : Microsoft Windows XP (5.1.2600) Service Pack 2
Processor: x86 Family 15 Model 67 Stepping 3, AuthenticAMD v1.25.07
Operating System: 32 Bits v1.25.07
MSIE: Internet Explorer v6.0.2900.2180
OPIE: Opera 9.51
MFIE: Mozilla Firefox (2.0.0.11)

Boot mode: Normal (Normal boot) v1.24.17
Total RAM: 3069 MB (62% free) v1.24.17
System drive C: has 185 GB (79%) free of 232 GB v1.24.17

- Ajout de la liste des unités en entête de rapport (DOS/Devices). En dehors des unités fixes, une indication sera portée permettant d'identifier les unités présentes (Inserted) ou absentes (Not Inserted). Les lignes d'unités absentes sont colorées en bleu. v1.24.44
---\\ DOS/Devices
C:\ Hard drive, Flash drive, Thumb drive (Free 134 Go of 232 Go)
E:\ CD-ROM drive (Inserted)
F:\ Hard drive, Flash drive, Thumb drive (Free 166 Go of 226 Go)
G:\ Floppy drive, Flash card reader, USB Key (Not Inserted)
K:\ Floppy drive, Flash card reader, USB Key (Inserted)

Le centre de sécurité de Windows, l'editeur de Base de Registres (BDR) et le Gestionnaires des tâches sont souvent la cible de malwares qui cherchent à réduire la protection du système. Le premier objectif du malware est de modifier ou de créer de nombreuses clés de BDR à l'insu de l'utilisateur afin de supprimer ou de réduire les protections de l'antivirus et/ou du pare-feu. Ensuite il va s'efforcer d'empecher le téléchargement et l'installation des mises à jour du système afin de pouvoir en exploiter les failles. Enfin le malware va s'attaquer à supprimer les accès au gestionnaire des tâches et à l'éditeur de Base De Registres. Afin de vérifier si le système subit une telle attaque, ZHPDiag énumère un ensemble de valeurs de BDR succeptibles d'être concernées. En fonction du cas, la valeur de clé portera la mention 'OK' ou 'Modified' dans le cas le l'action malware.

---\\ Security Center & Tools Informations v1.25.133
[HKLM\SOFTWARE\Microsoft\Security Center] AntiSpywareOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified => Infection Diverse (Disabled.SecurityCenter)
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified => Infection Diverse (Disabled.WindowsUpdate)

- Ajout du module d'entête du module 'Logged in mode'. Il permet d'avoir l'information sur le mode de connection de l'utilisateur à savoir "Utilisateur (User)" ou "Administrateur (Administrator)". Lorsque l'utilisateur n'est pas connecté en mode administrateur, les informations données par le scan de l'outil sont très limitées. v1.25.1409
---\\ Logged in mode
Computer Name: PC-DE-COOLMAN
User Name: Coolman v1.26
All Users Names: Coolman, Administrateur,
Unselected Option: O1,O45,O61,O65 v1.25.1413
Logged in as Administrator

 

Le corps du rapport

Processus lancés :
Ce module recense l'ensemble des processus qui sont lancés au démarrage du système. Il provient d'une part de données situées dans les clés Run,RunOnce ou RunServices de la Base De Registres et d'autre part de données chargées au démarrage de certains services.

---\\ Processus lancés
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

---\\ Processus lancés v1.25.02
[MD5.21293443961A4E2597453EE7A9347F22] - (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
[MD5.7088B136BB58A5F95CF0DE8386CA6C0F] - (.Pas de propriétaire - Pas de description.) -- C:\HP\KBD\KbdStub.EXE

Ajout de la taille du fichier en fin de ligne entre crochets. L'étoile indique la présence d'un caractère inaffichable dans le nom du processus et probablement inséré par l'action d'un malware. v1.25.1337
---\\ Processus lancés
[MD5.FF473648E7B1B37C7F3249A6549FAC72] - (.Hewlett-Packard - HpqSRmon.) -- C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe [150016]
[MD5.FF473648E7B1B37C7F3249A6549FAC72] - (.Hewlett-Packard - HpqSRmon.) -- C:\Program Files\HP\Digital Imaging\bin\hpqSRMon .exe [150016]*

 

B0 - Pages de démarrage du navigateur Opera

---\\ Page de démarrage du navigateur Opera (B0)
B0 - SPO: operaprefs.ini [Coolman] Home URL=http://www.aol.fr/

 

Analyse des lignes F0, F1, F2, F3 - IniFiles, Autoloading programs
- Modification d'une valeur System.ini (F2)
- Modification d'une valeur Win.ini (F3)

Analyse des lignes M0, M1, M2, du navigateur Mozilla Firefox

M0 - Pages de démarrage de Mozilla Firefox

---\\ Page de démarrage de Mozilla Firefox (M0)
M0 - MFSP: prefs.js [Coolman - n3vs15la.default] http://www.opera.com/download/

M1 - Pages de recherche de Mozilla Firefox
Lié au module SPR (Search Page Redirection). De nombreuses extensions sont proposées pour le navigateur Firefox. Certaines d'entre elles, non désirées, peuvent provoquer une redirection de la page de recherche. Afin de pister une éventuelle redirection, l'outil énumère l'ensemble des dossiers comportant une redirection. Ensuite l'analyse de ZHP pourra déterminer la légitimité ou la nocivité de l'adresse spécifiée.

---\\ Pages de recherche de Mozilla Firefox (M1)
M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\talkback@mozilla.org

M2 - Programmes d'extension de Mozilla Firefox

---\\ Programmes d'extension pour Mozilla Firefox (M2)
M2 - MFEP: prefs.js [Coolman - n9vt152a.default\{635abd67-4fe9-1b23-4f01-e679fa7484c1}] [yahoo.ytff] Yahoo! Toolbar 2.1.4.20100423010936 (.Yahoo!.)


Analyse des lignes P1, P2 des navigateurs Opera et Firefox

P1 - Plugin de navigateur Opera
Lié au module OPN (Opera Plugin Navigator). Il permet de lister l'ensemble des plugins installés pour le navigateur Opera. Certains plugins peuvent être des programmes malwares. L'analyse de ZHP permettra de les identifier.

---\\ Plugin de navigateur Opera (P1)
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\npdsplay.dll
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\NPSWF32.dll
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\NPSWF32_FlashUtil.exe
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\npwmsdrm.dll

---\\ Plugin de navigateur Opera (P1) v1.25.02
P1 - OPN:Opera Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Opera\Program\Plugins\npqtplugin.dll

---\\ Plugins de navigateurs Opera/Firefox(P1/P2) v1.26.23
P1 - OPN:Opera Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Opera\Program\Plugins\npqtplugin.dll

P2 - Plugin de navigateur Firefox v1.25.23
Lié au module FPN (Firefox Plugin Navigator). Il permet de lister l'ensemble des plugins installés pour le navigateur Mozilla Firefox. Certains plugins peuvent être des programmes malwares. L'analyse de ZHP permettra de les identifier.

---\\ Plugins de navigateurs Opera/Firefox(P1/P2) v1.26.23
P2 - FPN:Firefox Plugin Navigator . (.RealNetworks, Inc. - RealJukebox Netscape Plugin.) -- C:\Program Files\Mozilla Firefox\Plugins\nprjplug.dll
P2 - FPN:Firefox Plugin Navigator . (.RealNetworks, Inc. - 6.0.12.448.) -- C:\Program Files\Mozilla Firefox\Plugins\nprpjplug.dll

---\\ Plugins de navigateurs Opera/Firefox(P1/P2) v1.26.24
P2 - FPN: [HKLM] [@real.com/nprpjplug;version=6.0.12.448] - (.RealNetworks, Inc. - 6.0.12.448.) -- c:\program files\real\realplayer\Netscape6\nprpjplug.dll


Analyse des lignes R0, R1, R3 - Internet Explorer Start/Search pages URLs

R0 - Pages de démarrage d'Internet Explorer
Ce module recherche les paramètres de la page de démarrage par défaut du navigateur Microsoft Internet Explorer. Le piratage de la page de démarrage permet notamment l'affichage de popups indésirables

---\\ Pages de démarrage d'Internet Explorer (R0)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - Pages de recherche d'Internet Explorer
Ce module recherche les paramètres de la page de recherche par défaut du navigateur Microsoft Internet Explorer

---\\ Pages de recherche d'Internet Explorer (R1)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - Internet Explorer URLSearchHook
Ce module recherche les paramètres URLSearchHook du navigateur Microsoft Internet Explorer.
Prise en compte de la branche HKLM. v.1.22

---\\ Internet Explorer URLSearchHook (R3)
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\System32\ieframe.dll

---\\ Internet Explorer URLSearchHook (R3) v1.25.02
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Microsoft Corporation - Navigateur Internet.) (8.00.7600.16385 (win7_rtm.090713-1255)) -- C:\Windows\System32\ieframe.dll

Analyse des autres lignes (Others)

O1 - Redirection du fichier Hosts
Ce module recherche les détournements du fichier HOSTS qui contient les mappages de noms d'hôtes en adresses IP.

O2 - Browser Helper Objects de navigateur
Ce module recherche l'ensemble des Browser Helper Objects (BHO) installés. Un BHO est une application qui ajoute certaines fonctionnalités au navigateur Web.

---\\ Browser Helper Objects de navigateur (O2)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

---\\ Browser Helper Objects de navigateur (O2) v1.25.02
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O3 - Internet Explorer Toolbars
- Ce module liste l'ensemble des barres d'outils (Toolbars) du navigateur Microsoft Internet Explorer.
- Ajout de la Branche HKCU v1.23

---\\ Internet Explorer toolbars (O3)
O3 - Toolbar: ALOT Toolbar - {5AA2BA46-9913-4dc7-9620-69AB0FA17AE7} - C:\Program Files\alot\bin\alot.dll

---\\ Internet Explorer toolbars (O3) v1.25.02
O3 - Toolbar: ALOT Toolbar - {5AA2BA46-9913-4dc7-9620-69AB0FA17AE7} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\alot\bin\alot.dll

O4 - Applications démarrées automatiquement par le registre
- Ce module énumère l'ensemble des applications lancées au démarrage du système. Le traitement se fait à partir des clés de Base De Registres Run, RunOnce et RunServices.
- Traitement des branches HKUS v1.23
- Traitement des branches HKUS\..\Policies\Explorer v1.24.27

---\\ Applications démarrées automatiquement par le registre (O4)
O4 - HKLM\..\Run: [HFFSRV] - c:\windows\hffext\hffsrv.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] - C:\Program Files\Windows Sidebar\Sidebar.ex

---\\ Applications démarrées automatiquement par le registre (O4) v1.25.02
O4 - HKLM\..\Run: [HFFSRV] . (.Pas de propriétaire - Pas de description.) -- c:\windows\hffext\hffsrv.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files\Windows Sidebar\Sidebar.exe

---\\ Applications démarrées automatiquement par le registre (O4) v1.25.1436
O4 - HKLM\..\Wow6432Node\Run: [KBD] . (.Microsoft - Kbd Stub.) -- C:\Program Files (x86)\Hewlett-Packard\KBD\KbdStub.exe

O4 - Applications lancées au démarrage du système v1.24.12
Ce module énumère l'ensemble des raccourcis d'applications placées dans le dossier de démarrage de Windows.

O5 - Invisibilité de l'icône d'options IE dans le panneau de Configuration
- Ce module affiche les paramètres contenus dans le fichier control.ini et correspondant au panneau de contrôle d'Internet Explorer.
- Ajout d'une information spécifique dans le module O5 pour distinguer les environnements système. v1.23

Nouveau format : v1.24
O5 - control.ini: [HKLM\..\Control Panel] inetcpl.cpl=no

O6 - Restriction de l'accès aux options IE par l'Administrateur
Ce module permet de rechercher dans la Base De Registres s'il y a restriction sur l'accès aux options d'Internet Explorer. A côté de la restriction faite par l'Administrateur, certains logiciels comme Spybot S&D peuvent provoquer la création de cette ligne lorsque l'option Verrouiller la page de démarrage est activée.

O7 - Restriction de l'accès à Regedit par l'Administrateur
Ce module permet de rechercher la valeur de clé de registre DisableRegedit. Selon la donnée de cette valeur de clé, l'accès à la Base De Registres peut être totalement verrouillé.

O8 - Lignes supplémentaires dans le menu contextuel d'Internet Explorer
Ce module énumère les lignes supplémentaires dans le menu contextuel d'Internet Explorer. Cette action ajoute des éléments au menu contextuel lorsque l'on fait un clic droit sur une page Web.

---\\ Lignes supplémentaires dans le menu contextuel d'Internet Explorer (O8)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE

---\\ Lignes supplémentaires dans le menu contextuel d'Internet Explorer (O8) v1.25.02
O8 - Extra context menu item: E&xporter vers Microsoft Excel . (.Microsoft Corporation - Microsoft Excel.) -- C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE

O9 - Boutons situés sur la barre d'outils principale d'Internet Explorer
Ce module liste les éléments ajoutés dans la barre d'outils d'Internet Explorer ou dans le menu Outils d'IE

---\\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

---\\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9) v1.25.02
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} . (.Hewlett-Packard Co. - HP Smart Web Printing add-on for Internet Explorer.) -- C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O10 - Piratages de Winsock LSP (Layered Service Provider) v1.24.26
Ce module liste toutes les ressources se trouvant dans les sous-clés Winsock2. L'analyseur de ZHP permettra de définir la légitimité ou la nocivité des ressources.

---\\ Winsock hijacker (Layered Service Provider) (O10)
O10 - WLSP:\000000000004\Winsock LSP File - C:\Windows\system32\pnrpnsp.dll

---\\ Winsock hijacker (Layered Service Provider) (O10) v1.25.02
O10 - WLSP:\000000000004\Winsock LSP File . (.Microsoft Corporation - Fournisseur d’espace de noms PNRP.) -- C:\Windows\system32\pnrpnsp.dll
O10 - Broken Internet access because of LSP provider (.no file.) -- C:\WINDOWS\system32\winrnr.dll

 

O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer
Ce module traite des Onglets supplémentaires dans les options avancées d'Internet Explorer. Le traitement se fait par lecture de clés de Registre.

---\\ Onglet supplémentaire dans les options avancées d'Internet Explorer (O11)
O11 - Options group: [accessibility] Accessibility - C:\Windows\SysWOW64\inetcpl.cpl
O11 - Options group: [browse] Browsing - C:\Windows\SysWOW64\inetcpl.cpl

---\\ Onglet supplémentaire dans les options avancées d'Internet Explorer (O11) v1.25.05
O11 - Options group: [accessibility] Accessibility .(.Microsoft Corporation - Element du panneau de congiguration .) -- C:\Windows\SysWOW64\inetcpl.cpl
O11 - Options group: [browse] Browsing .(.Microsoft Corporation - Element du panneau de congiguration .) - - C:\Windows\SysWOW64\inetcpl.cpl

 

O12 - Internet Explorer Plugins
Ce module énumère les programmes d'extension (plugins) d'Internet Explorer. Ces plugins sont lancés au démarrage du navigateur.

---\\ Internet Explorer Plugins (O12)
O12 - Plugin for OAD - C:\Windows\system32\dance.dll

 

O13 - Piratage des préfixes d'URL d'Internet Explorer
Ce module recherche la valeur de la clé de Registre DefaultPrefix. Toutes les URL sont par défaut préfixées avec http://. Des pirates comme CoolWebSearch sont connus pour modifier ce préfixe.

 

O14 - Paramètres par défaut des options Internet Explorer
Ce module recherche les paramètres du fichier ereset.inf qui contient des options de Microsoft Internet Explorer.
Les lignes légitimes suivantes ne sont pas affichées :

O14 - IERESET.INF: START_PAGE_URL=START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
O14 - IERESET.INF: SEARCH_PAGE_URL=SEARCH_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
O14 - IERESET.INF: SAFESITE_VALUE=SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"


O15 - Site dans la Zone de confiance d'Internet Explorer
Ce module recherche les sites indésirables placés dans la Zone de confiance d'Internet Explorer. Souvent AOL et CoolWebSearch s'insèrent silencieusement dans cette zone.
Prise en charge de la branche HKLM.
Prise en compte de la clé EscDomains et nouveau format d'affichage. v1.23

---\\ Site dans la Zone de confiance d'Internet Explorer (O15)
O15 - Trusted Zone: [HKCU]0007ideal.com
O15 - Trusted Zone: [HKLM]0007ideal.com v1.22

---\\ Site dans la Zone de confiance d'Internet Explorer (O15) v1.23
O15 - Trusted Zone: [HKCU\...\Domains] 0007ideal.com
O15 - Trusted Zone: [HKCU\...\EscDomains] 0007ideal.com

 

O16 - Objets ActiveX (Downloaded Program Files)
Ce module permet d'énumérer les objets ActiveX.
Les lignes légitimes issues de Java Runtime Environment ne sont pas affichées.

---\\ Objets ActiveX (Downloaded Program Files)(O16)
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - C:/Program Files/Jigsaw Puzzle Platinum/Images/stg_drm.ocx

---\\ Objets ActiveX (Downloaded Program Files)(O16 ) v1.25.04
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - (.No file.) - C:/Program Files/Jigsaw Puzzle Platinum/Images/armhelper.ocx

 

O17 - Modification Domaine/Adresses DNS
Ce module liste les modifications des serveurs DNS qui peuvent permettre une redirection vers un site malveillant.

---\\ Lop.com/Domain Hijackers (O17)
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CC1\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: NameServer = 69.57.146.14,69.57.147.175

---\\ Lop.com/Domain Hijackers (O17) v1.26.30
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 69.57.146.14,69.57.147.175

---\\ Lop.com/Domain Hijackers (O17) v1.26.39
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 93.188.166.105

 

O18 - Protocole additionnel et piratage de protocole
- Ce module recense les modifications des protocoles par défaut pour pister les connexions.
- Traitement dans le module O18 de nouvelles clés de registre "deflate", "gzip" (Vista) v1.23
- Traitement du propriétaire et de la description du fichier. v1.25.02

---\\ Protocole additionnel et piratage de protocole (O18)
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O18 - Protocol: msnim - {008030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll"

---\\ Protocole additionnel et piratage de protocole (O18) v1.23
O18 - Filter: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\system32\urlmon.dll
O18 - Filter : gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\system32\urlmon.dll

---\\ Protocole additionnel et piratage de protocole (O18) v1.25.02
O18 - Handler: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} . (.Microsoft Corporation - Extensions OLE32 pour Win32.) -- C:\Windows\system32\urlmon.dll

 

O19 - Piratage de feuille de style Utilisateur
Ce module permet de rechercher un éventuel piratage de la feuille de style de l'utilisateur. Le détournement d'une feuille de style peut être utilisé pour l'affichage de popups.

 

O20 - Valeur de sous-clés Winlogon Notify
Ce module se charge d'énumérer les fichiers chargés via les sous-clés Winlogon Notify. Ces fichiers peuvent provenir d'infection Vundo.

O20 - Winlogon Notify: Notify2 - C:\Windows\System32\Erdtet.dll

---\\ Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20) v1.25.02
O20 - Winlogon Notify: AtiExtEvent . (.ATI Technologies Inc. - ATI External Event Utility DLL Module.) -- C:\WINDOWS\System32\Ati2evxx.dll
O20 - Winlogon Notify: dimsntfy . (.Pas de propriétaire - Pas de description.) -- (no file)

 

O20 - Valeur de Registre AppInit_DLLs
Ce module se charge d'énumérer les fichiers chargés via la valeur de Registre AppInit_DLLs.

---\\ AppInit_DLLs Registry value Autorun (O20)
O20 - AppInit_DLLs: C:\Windows\System32\dance.exe

---\\ AppInit_DLLs Registry value Autorun (O20) v1.25.02
O20 - AppInit_DLLs: .(.Pas de propriétaire - Pas de description.) - C:\Windows\System32\dance.exe (Not file)

 

O21 - Clé de Registre autorun ShellServiceObjectDelayLoad et ShellServiceObject
Lié au module SSODL (Shell Service Object Delay Load).
Il permet de lister les fichiers chargés via la clé de Registre ShellServiceObjectDelayLoad.
Il permet de lister sous Windows Vista les fichiers chargés via la clé de Registre ShellServiceObjects. v1.23

---\\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21)
O21 - SSODL: Start - {00F043EF-A974-49B3-8322-B853CF1E5EC5} - c:\windows\system32\reactif.dll

---\\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21) v1.23
O21 - SSO: Start - {00F043EF-A974-49B3-8322-B853CF1E5EC5} - c:\windows\system32\reactif.dll

---\\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21) v1.25.02
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} . (.Microsoft Corporation - DLL commune du shell Windows.) -- C:\WINDOWS\system32\SHELL32.dll

---\\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21) v1.25.1282
Le CLSID et/ou le fichier est absent :
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
Le CLSID est présent, le fichier est absent :
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED}. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\SHELL321.dll (.not file.)
Le CLSID et le fichier sont présents :
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} . (.Microsoft Corporation - DLL commune du shell Windows.) -- C:\WINDOWS\system32\SHELL32.dll

 

O22 - Clé de Registre autorun SharedTaskScheduler
Ce module recense les éléments de la clé de Registre SharedTaskScheduler. Ces éléments sont lancés au démarrage du système et sont souvent le résultat d'une infection SmitFraud. Les lignes suivantes légitimes de Windows ne sont pas affichées :

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {...}
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {...}

---\\ SharedTaskScheduler (O22) v1.24
O22 - SharedTaskScheduler: Constaner - {CLSID} - C:\WINDOWS\system32\dance.exe

---\\ SharedTaskScheduler (O22) v1.25.04
O22 - SharedTaskScheduler: Constaner - {CLSID} .(.Proprietaire - Description.) -- C:\WINDOWS\system32\dance.exe

O23 - Services NT non Microsoft et non désactivés
Ce permet énumère l'ensemble des services lancés au démarrage du système. Les services génériques Microsoft et les services désactivés sont volontairement exclus de cette énumération.

---\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 - Service: Google Updater Protocol (gusvc) - C:\Windows\system32\drivers\TDSSserv.sys

---\\ Liste des services NT non Microsoft et non désactivés (O23) v1.25.02
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) . (.Avira GmbH.) - C:\Program Files\Avira\AntiVir Desktop\sched.exe

---\\ Liste des services NT non Microsoft et non désactivés (O23) v1.25.04
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) . (.Avira GmbH - Antivirus Scheduler.) - C:\Program Files\Avira\AntiVir Desktop\sched.exe

 

O24 - Énumération des composants Active Desktop
Ce module recense tous les composants Active Desktop. Ces ajouts de composants se rencontrent par exemple lors d'infections de type SmitFraud, mais pas seulement.
La ligne légitime par défaut "Ma page d'accueil" n'est pas affichée.

---\\ Énumération des composants Active Desktop (O24)
O24 - Desktop Component 0: Ma page d'accueil - file:About:Home
O24 - Desktop Component 1: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

---\\ Énumération Active Desktop & MHTML Editor (O24) v1.26.43
O24 - Default MHTML Editor: Last - .(.Microsoft Corporation - Microsoft Word.) - C:\Program Files\Microsoft Office\Office10\WINWORD.exe

 

Les options de recherche

A côté du rapport de base, l'outil dispose d'un module permettant la sélection d'un ou plusieurs compléments de rapport. Il démarre à partir des lignes de rapport O39.

O39 - Tâches planifiées en automatique
Lié au module APT (Automatic Planified Task). De nombreux logiciels ont pour fonction la surveillance ou la mise à jour du système. Pour chacun d'eux, une tâche planifiée peut être créée et se déclencher en fonction d'une périodicité établie. Ce procédé de tâche planifiée pouvant être détourné par certains malwares, l'outil permet l'affichage de l'ensemble de ces événements. Ensuite une analyse de ZHP pourra déterminer la légitimité ou la nocivité d'une telle tâche.

---\\ Tâches planifiées en automatique (O39) (Zone Dossier)
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\desktop.ini
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\SA.DAT

A partir de la v1.24.10, une recherche complèmentaire s'effectue dans la clé de registre "Schedule". Toutefois pour être opérationnelle, cette fonction nécessite d'avoir une autorisation spéciale sur cette clé car le "contrôle total" est insuffisant.

---\\ Tâches planifiées en automatique (O39) (Zone Registre) v1.24.10
O39 - APT:Automatic Planified Task - HP Health Check-{68E466FA-9D76-4933-A129-4D820A742903}
O39 - APT:Automatic Planified Task - JavaUpdateCoolman-{1528AC0D-E72B-4827-9B35-FEB41AB55464}

O40 - Composants installés (ActiveSetup Installed Components)
Lié au module ASIC (ActiveSetup Installed Components). Il permet de lister tous les composants Active Setup énumérés dans la Base De Registres.

---\\ Composants installés (ActiveSetup Installed Components) (040)
O40 - ASIC: Lecteur Windows Media - {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
O40 - ASIC: Internet Explorer - {26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE
O40 - ASIC: Personnalisation du navigateur - {60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

---\\ Composants installés (ActiveSetup Installed Components) (O40) v1.25.03
O40 - ASIC: Browser Customizations - >{60B49E34-C7CC-11D0-8953-00A0C90347FF} . (.Microsoft Corporation - Personnalisation d’IEAK.) -- C:\Windows\System32\iedkcs32.dll
O40 - ASIC: Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - (not file)

O41 - Pilotes lancés au démarrage
Ce module liste tous les pilotes (drivers) de périphériques qui sont lancés au démarrage du système.

---\\ Pilotes lancés au démarrage (O41)
O41 - Driver: Suppresseur d'écho acoustique (Noyau Microsoft) (aec) - C:\WINDOWS\system32\drivers\aec.sys
O41 - Driver: Environnement de prise en charge de réseau AFD (AFD) - C:\WINDOWS\System32\drivers\afd.sys
O41 - Driver: Pilote de processeur AMD K7 (AmdK7) - C:\WINDOWS\System32\DRIVERS\amdk7.sys
O41 - Driver: Protocole client ARP 1394 (Arp1394) - C:\WINDOWS\System32\DRIVERS\arp1394.sys

---\\ Pilotes lancés au démarrage (O41) v1.25.03
O41 - Driver: avgio (avgio) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
O41 - Driver: FDCENT (FDCENT) . (.Pas de propriétaire - Pas de description.) - C:\Windows\system32\drivers\FDCENT.SYS

O42 - Logiciels installés
Ce module liste tous les logiciels installés en excluant les mises à jour et correctifs Microsoft Windows.

---\\ Logiciels installés (O42)
O42 - Logiciel: Adobe Flash Player Plugin
O42 - Logiciel: Adobe Photoshop 7.0
O42 - Logiciel: Avira AntiVir Personal - Free Antivirus
O42 - Logiciel: CCleaner (remove only)

---\\ Logiciels installés (O42) v1.25.03
O42 - Logiciel: 32 Bit HP CIO Components Installer - (.Hewlett-Packard.)
O42 - Logiciel: 7-Zip 4.57 - (.Pas de propriétaire.)

- Certains programmes malwares ne sont pas listés dans le module O42 qui se réfère aux clés de désinstallation logicielle enregistrées par le système. L' ajout d'un module permettant d'énumérer les clés softwares système et utilisateurs va permettre de dépister plus efficacement ces programmes malwares. Cette liste s'affiche seulement avec la sélection du module O42.

---\\ HKCU & HKLM Software Keys v1.25.1346
[HKCU\Software\Adobe]
[HKLM\SOFTWARE\Bifrost]

---\\ HKCU & HKLM Software Keys v1.26.19
[HKCU\Software\AppDataLow\Software\Microsoft]
[HKCU\Software\AppDataLow\Software\pdfforge]
[HKCU\Software\AppDataLow\pdfforge]

---\\ Logiciels installés (O42) v1.26.43
O42 - Logiciel: Google Update Helper - (.Google Inc..) [HKLM] -- {A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
O42 - Logiciel: Grisbi 0.5.9 - (.grisbi.org.) [HKLM] -- GRISBI

 

O43 - Contenu des dossiers Fichiers Communs
Lié au module CFD (Common File Directory). Il permet de lister tous les sous-dossiers Fichiers Communs et Common Files du dossier %ProgramFiles%

---\\ Contenu des dossiers Fichiers Communs (O43)
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\ACD Systems
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Adobe
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Borland Shared
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Microsoft Shared

 

O44 - Derniers fichiers modifiés ou créés sous System32
Lié au module LFC (Last File Created). Il permet de lister tous les fichiers créés ou modifiés dans les dossiers System32 et System32\Drivers. La période de recherche est limitée aux 3 derniers mois.

Une recherche complémentaire s'effectue au niveau du root système v1.24.30

---\\ Derniers fichiers modifiés ou créés sous System32 (O44)
O44 - LFC:Last File Created - C:\WINDOWS\System32\dnsapi.dll -->20/06/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\java.exe -->10/06/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\avipbb.sys -->19/07/2008
O44 - LFC:Last File Created - C:\\avipbb.exe -->22/11/2009

---\\ Derniers fichiers modifiés ou créés sous System32 (O44) v1.24.41
O44 - LFC:[MD5.C1EE8AA735160B2CCB1DADAA2913564E]- 06/01/2010 - 10:40:36 R---- C:\WINDOWS .scr

---\\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44) v1.25.03
O44 - LFC:[MD5.0C49B3DA1924FF4B74694C24A45DC7E5] - 23/01/2010 - 18:10:49 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\PDOXUSRS.NET
O44 - LFC:[MD5.6626F8DF052DF5252673E9380CEEFEC8] - 04/01/2010 - 16:17:48 ---A- . (.Microsoft Corporation - Outil de suppression de logiciels malveilla.) -- C:\Windows\System32\MRT.exe

Ajout de la taille du fichier en fin de ligne entre crochets. L'étoile indique la présence d'un caractère inaffichable dans le nom du processus et probablement inséré par l'action d'un malware. v1.25.1337
---\\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)
O44 - LFC:[MD5.DA1919D896DBD5895E138932AE9E398B] - 07/03/2010 - 18:09:08 ---A- . (.Microsoft Corporation - Choix de navigateur .) -- C:\Windows\System32\browserchoice.exe [293376]
O44 - LFC:[MD5.DA1919D896DBD5895E138932AE9E398B] - 07/03/2010 - 18:09:08 ---A- . (.Microsoft Corporation - Choix de navigateur .) -- C:\Windows\System32\browserchoice .exe [293376]*

 

O45 - Derniers fichiers créés dans Windows Prefetcher
Lié au module LFP (Last File Create Prefetch). Il permet de lister tous les fichiers créés ou modifiés dans le dossier Prefetcher. La période de recherche est limitée aux 3 derniers mois.

---\\ Derniers fichiers créés par Windows Prefetcher (O45)
045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ACDSEE8.EXE-2C7AF977.pf -->24/07/2008
045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ADDALIAS.EXE-184750BD.pf -->19/07/2008
045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ADDALIAS.EXE-2B12A6B4.pf -->23/07/2008

 

O46 - ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer.
Lié au module SEH (Shell Execute Hooks). Il permet de recenser toutes les opérations et fonctions au démarrage de Windows Explorer.

---\\ ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer (O46)
O46 - SEH:ShellExecuteHooks - URL Exec Hook - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - shell32.dll

 

O47 - Export de clé d'application autorisée
Lié au module AAKE (Authorized Application Key Export). Il permet de lister toutes les valeurs et données pour les applications autorisées pour les deux clés suivantes :
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

---\\ Export de clé d'application autorisée (O47)
047 - AAKE:Key Export - "C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorateur Windows"

Ajout d'une information spécifique pour distinguer les lignes issues de clés Standard Profile ou DomaineProfile v1.23
---\\ Export de clé d'application autorisée (O47)
O47 - AAKE:Key Export SP - "%windir%\system32\zPharaoh.exe"="%windir%\system32\zPharaoh.exe:*:Enabled:dance"
O47 - AAKE:Key Export DP - "%windir%\system32\dance.exe"="%windir%\system32\dance.exe:*:enabled:dance"

Équivalence dans les rapports DiagHelp, SDFix
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorateur Windows"

---\\ Export de clé d'application autorisée (ECAA) (O47) v1.25.06
O47 - AAKE:Key Export SP - "%windir%\system32\zPharaoh.exe" [Enabled] .(.changelog.fr - OAD.) -- C:\Windows\system32\zPharaoh.exe
O47 - AAKE:Key Export DP - "%windir%\system32\dance.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Windows\system32\dance.exe

 

O48 - Déni du service Local Security Authority (LSA)
Lié au module LSA. Pour son fonctionnement, Microsoft Windows NT utilise un service d'autorité Locale de sécurité ou LSA (Local Security Authority). Une requête au service LSA peut être utilisée afin d'exploiter une vulnérabilité de sécurité du système. Une utilisation abusive de cette vulnérabilité permet l'exécution d'un programme en provoquant un déni de service. Ainsi, le service LSA cesse de répondre et demande le démarrage de l'ordinateur. Au redémarrage la ressource malware installée sera automatiquement chargée afin de poursuivre son action.

- Les attaques portent sur la clé de Base de Registres [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA], avec remplacement de la donnée des valeurs Notification Packages et Authentication Packages.

- La donnée par défaut de la valeur Authentication Packages est msv1_0 et fait référence à la ressource système %System32%\msv1_0.dll (Microsoft Authentication Package v1.0)

- La donnée par défaut de la valeur Notification Packages est scecli et fait référence à la ressource système %System32%\scecli.dll (Microsoft Moteur du client de l'Éditeur de configuration)

- L'infection Vundo utilise cette vulnérabilité de sécurité et installe sa propre ressource. MalwareByte's AntiMalware (MBAM) recense ce type d'attaque de service LSA.

Aperçu dans le rapport en mode Helper (ces deux lignes sont bien sûr traitées légitimes/génériques lors de l'analyse générale de ZHP)
---\\ Dénis de service Local Security Authority (LSA) (O48)
O48 - LSA:Local Security Authority Authentication Packages - C:\WINDOWS\System32\msv1_0.dll => Microsoft Authentication Package v1.0
O48 - LSA:Local Security Authority Notification Packages - C:\WINDOWS\System32\scecli.dll => Microsoft Moteur du client de l'Éditeur de configuration

---\\ Déni du service (Local Security Authority) (LSA) (O48) v1.25.02
[MD5.90691014D96030B69D7B8D6A0967FC67] - (.Microsoft Corporation - Microsoft Authentication Package v1.0.) -- C:\Windows\System32\msv1_0.dll

 

O49 - Contrôle Safe Boot (CSB)
Lié au module CSB (Contrôle Safe Boot). Il permet de lister toutes les sous-clés de registre des clés SafeBoot\Minima et SafeBoot\Network pour CurrentControlSet et ControlSetxxx. Généralement rencontré dans les infections Haxdoor.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx\Control\SafeBoot\Network

Aperçu dans le rapport :
---\\ Contrôle du Safe Boot (CSB) (O49)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\dmboot.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\dmio.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Networkl\dmload.sys

---\\ Contrôle du Safe Boot (CSB) (O49) v1.25.03
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\sermouse.sys . (.Microsoft Corporation - Pilote de filtre souris série.) -- C:\Windows\System32\Drivers\sermouse.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\vga.sys . (.Microsoft Corporation - VGA/Super VGA Video Driver.) -- C:\Windows\System32\Drivers\vga.sys

O50 - Image File Execution Options (IFEO) v1.16
Lié au module IFEO (Image File Execution Options). Il permet de lister toutes les sous-clés de registre des clés IFEO. Cette clé peut-être utilisée pour rediriger des processus légitimes à des fins infectieuses.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Aperçu dans le rapport :
---\\ Image File Execution Options (IFEO) (O50)
O50 - IFEO:Image File Execution Options - guard.exe - C:\Windows\System32\delrodRR.exe

---\\ Image File Execution Options (IFEO) (O50)
O50 - IFEO:Image File Execution Options - Your Image File Name Here without a path - ntsd -d

 

O51 - MountPoints2 Search Key (MPSK) v1.18, v1.20.2
Lié au module MPSK (MountPoints2 Search Key). Il permet de traquer les infections en provenance des ports USB. Il recherche la présence de données dans les sous-clés de registre :
- "AutoRun\command",
- "explore\command",
- "open\command"
- "Browser\command", v1.20.2
- "Auto\command", v1.20.2
des clés HKCU\...\MountPoints2\{CLSID}\shell.

Aperçu dans le rapport :
---\\ MountPoints2 Shell Key (MPSK) (O51)
O51 - MPSK:{7fd09aec-e17a-11dd-9618-001bb9f21385}\Shell\AutoRun\command - L:\Launch.exe /run
O51 - MPSK:{264723e8-89aa-11dd-b05d-4d6564696130}\Shell\explore\command - H:\helper.exe
O51 - MPSK:{492c038b-8707-11dd-b055-4d6564696130}\Shell\open\command - RavMon.exe

---\\ MountPoints2 Shell Key (MPSK) (O51) v1.25.02
O51 - MPSK:{88888888-51ce-11de-96a5-001060d14950}\Shell\AutoRun\command. (.changelog.fr - OAD.) -- c:\zPharaoh.exe

Affichage de l'absence du fichier (.not file).
---\\ MountPoints2 Shell Key (MPSK) (O51) v1.25.05
O51 - MPSK:{88888888-51ce-11de-96a5-001060d14950}\Shell\AutoRun\command. (.changelog.fr - OAD.) -- c:\zPharaoh.exe
O51 - MPSK:{88888888-51ce-11de-96a5-001060d14950}\Shell\explore\command. (.Pas de propriétaire - Pas de descrïption.) -- c:\zPharaoh.exe (.not file.)

 

O52 - Trojan Driver Search Data (HKLM) (TDSD) v1.18
Lié au module TDSD (Trojan Driver Search Data). Il permet de traquer les infections en provenance de trojans drivers. C'est le cas notamment du trojan Daonol qui s'incruste en tant que pseudo driver ou pseudo ressource dynamique sous couvert d'extensions multiples (ide,svy,dql,xoo,...). Ce module scrute la clé de Base de Registre "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers et Drivers32" afin de rechercher des valeurs de clés permettant l'exécution de données malwares. Ces données sont généralement exécutées via des processus installés sous %USERPROFILE% ou %SYSTEM32%. Dans la pratique, Daonol est un trojan qui provoque des redirections lors de recherches avec le moteur Google (Détournement de DNS) afin de promouvoir des rogues. ComboFix et MBAM permettent l'éradication de ce malware.
Traitement de la valeur "drivers.desc" sous environnement Vista. v1.22

Aperçu dans le rapport :
---\\ Trojan Driver Search Data (TDSD) (O52)
O52 - TDSD:HKLM\...\Drivers\"timer"="timer.drv"
O52 - TDSD:HKLM\...\Drivers32\"msacm.l3acm"="C:\Windows\System32\l3codeca.acm"
O52 - TDSD:HKLM\...\drivers.desc\"wdmaud.drv"="Realtek High Definition Audio" v1.22

---\\ Trojan Driver Search Data (TDSD) (O52) v1.25.03
O52 - TDSD:HKLM\...\Drivers\"timer"="timer.drv" . (.Microsoft Corporation - Timer driver for PC compatibles.) -- C:\Windows\System32\timer.drv
O52 - TDSD:HKLM\...\Drivers32\"vidc.mrle"="msrle32.dll" . (.Microsoft Corporation - Microsoft RLE Compressor.) -- C:\Windows\System32\msrle32.dll

---\\ Trojan Driver Search Data (TDSD) (HKLM) (O52) v1.25.04
O52 - TDSD: \Drivers\"timer"="timer.drv" . (.Microsoft Corporation - Timer driver for PC compatibles.) -- C:\Windows\System32\timer.drv
O52 - TDSD: \Drivers32\"vidc.mrle"="msrle32.dll" . (.Microsoft Corporation - Microsoft RLE Compressor.) -- C:\Windows\System32\msrle32.dll

 

O53 - ShareTools MSconfig StartupReg (SMSR) v1.20
Lié au module SMSR (ShareTools MSconfig StartupReg). Il permet de lister les valeurs et données de la clé startupreg :
[HKLM\software\microsoft\shared tools\msconfig\startupreg].

Aperçu dans le rapport :
---\\ ShareTools MSconfig StartupReg (SMSR) (O53)
O53 - SMSR:HKLM\...\startupreg\iTunesHelper - C:\Program Files\iTunes\iTunesHelper.exe
O53 - SMSR:HKLM\...\startupreg\msnmsgr - C:\Program Files\MSN Messenger\MsnMsgr.Exe /background

---\\ ShareTools MSconfig StartupReg (SMSR) (O53) v1.25.03
O53 - SMSR:HKLM\...\startupreg\CloneDVD2 . (.Elaborate Bytes AG - CloneDVD Application.) - C:\Program Files\Elaborate Bytes\CloneDVD\CloneDVD2.exe

- Analyse complémentaire des sous-clés de la clé "StartupReg". Il est inséré la chaîne de caractère "[Key]" nécessaire au traitement par ZHPFix.
---\\ ShareTools MSconfig StartupReg (SMSR) (O53) v1.25.123
O53 - SMSR:HKLM\...\startupreg\HPADVISOR [Key] . (.Hewlett-Packard - HP Advisor.) -- C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

O54 - Microsoft Control Security Providers (MCSP) v1.20
O54 Microsoft Control Security Providers (MCSP) v1.20
Lié au module MCSP (Microsoft Control Security Providers). Il permet de lister les valeurs et données des clés SecurityProviders :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
[HKEY_LOCAL_MACHINE\SYSEM\ControlSet001\Control\SecurityProviders]
Ces clés peuvent être le siège de ressources dynamiques malwares Trojan.Agent comme par exmple digiwet.dll ou mcenspc.dll.

Aperçu dans le rapport :
---\\ Microsoft Control Security Providers (MCSP) (O54)
O54 - MCSP:[HKLM\...\CurrentControlSet\Control] - "SecurityProviders"=credssp.dll
O54 - MCSP:[HKLM\...\ControlSet001\Control] - "SecurityProviders"=credssp.dll (Légitime)
O54 - MCSP:[HKLM\...\ControlSet001\Control] - "SecurityProviders"=msapsspc.dll, digiwet.dll (malware)

 

O55 - Microsoft Windows Policies System (MWPS) v1.20
Lié au module MWPS (Microsoft Windows Policies System). Il permet de lister de nombreux paramètres énumérés sous la clé :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] v1.23

Aperçu dans le rapport :
---\\ Microsoft Windows Policies System (MWPS) (O55)
O55 - MWPS:[HKLM\...\Policies\System] - "dontdisplaylastusername"=0
O55 - MWPS:[HKLM\...\Policies\System] - "legalnoticecaption"=
O55 - MWPS:[HKCU\...\Policies\System] - "legalnoticecaption"=

 

O56 - Microsoft Windows Policies Explorer (MWPE) v1.20
Lié au module MWPE (Microsoft Windows Policies Explorer). Il permet de lister de nombreux paramètres énumérés sous les clés :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

Aperçu dans le rapport :
---\\ Microsoft Windows Policies Explorer (MWPE) (O56)
O56 - MWPE:[HKLM\...\Policies\Explorer] - "NoDriveTypeAutoRun"=145
O56 - MWPE:[HKCU\...\Policies\Explorer] - "HonorAutoRunSetting"=

 

O57 - Recherche de Drivers Rootkit (SDR) v1.21
Lié au module Search Drivers Rootkit (SDR).Il s'appuie d'une part sur un fichier de rootkits identifiés et d'autre
part sur plusieurs masques basés sur des rootkits connus comme par exemple Seneka{}, UAC{}, Gaopdx{}, ou Tdss{}.

Aperçu dans le rapport :
---\\ Recherche de Drivers Rootkit (SDR) (O57)
O57 - SDR:Search Drivers Rootkit - C:\Windows\system32\drivers\TDSSserv.sys

---\\ Recherche de Drivers Rootkit (SDR) (O57) v1.25.03
O57 - SDR:Search Drivers Rootkit . (.Propriétaire - Description.) -- C:\Windows\system32\drivers\senekadance.sys

O58 - System Drivers List (SDL) v1.21
Lié au module System Drivers List (SDL). Il scrute en totalité le dossier "system32" de windows pour éditer la liste
des pilotes (drivers sys).

Aperçu dans le rapport :
---\\ Liste des Drivers Système (SDL) (O58)
O58 - SDL:System Drivers List - C:\Windows\system32\drivers\1394bus.sys

Ajout de la date, de l'heure et du MD5. Aperçu dans le rapport: v1.24.42
---\\ Liste des Drivers Système (SDL) (O58)
O58 - SDL:[MD5.FBCE2F43185104AE8BF4D32571B19203] - 14/07/2009 - 00:51:21 ---A- C:\Windows\system32\drivers\1394bus.sys

---\\ Liste des Drivers Système (SDL) (O58) v1.25.03
O58 - SDL:[MD5.F0E07D144C8685B8774BC32FC8DA4DF0] - 14/07/2009 - 02:26:15 ---A- . (.Microsoft Corporation - Pilote ACPI pour NT.) -- C:\Windows\system32\drivers\acpi.sys

O59 - Recherche heuristique Magic.control (HSMI) v1.21
Lié au module Heuristic Search MagicControl Infection (HSMI). Il recherche les infections Magic.control (NaviPromo) et EGDAcces.
Cette recherche s'effectue dans les dossiers "système" (%SYSTEM32%) et "utilisateurs" (%USERPROFILE%). Magic.control (Navipromo) est un adware succeptible de provoquer l'affichage de fenêtres publicitaires intempestives.

Aperçu dans le rapport :
---\\ Recherche d'infection Magic.control (O59)
O59 - HSMI:Heuristic Search MagicControl Infection - C:\Windows\system32\a8clients_nav.dat

---\\ Recherche heuristique Magic.control (HSMI) (O59)
O59 - HSMI:Heuristic Search MagicControl Infection - C:\Documents and Settings\ORENGO\Local Settings\Application Data\daancbqh_nav.dat
O59 - HSMI:Heuristic Search MagicControl Infection - C:\Documents and Settings\ORENGO\Local Settings\Application Data\daancbqh_navps.dat

O60 - Détournement de DNS (DDNS) v1.21
Lié au module Diversion Of DNS (DDNS). Il traque les détournements de DNS (Domain Name System). La recherche s'effectue sur les valeurs NameServer des clés Tcpip de Base de Registre..

Aperçu dans le rapport :
---\\ Détournement de DNS (DDNS) (O60)
O60 - DNS:Diversion Of DNS - HKLM\System\CS1\Services\Tcpip\..\{Oa539854-6a70-11db-887c-806e6f6e6963}\ NameServer=85.255.210.12,85.255.210.12

 

O61 - Derniers fichiers modifiés ou créés (Utilisateur) v1.23
Lié au module LFC (Last File Created). Il permet de lister tous les fichiers créés ou modifiés dans les dossiers %Userprofile% ("Documents And Settings" ou "Users". La période de recherche est limitée à 10 jours..

---\\ Derniers fichiers modifiés ou créés (Utilisateur) (O61)
O61 - LFC:Last File Created 10/07/2009 - 15:58:43 --HA- C:\Users\Coolman\AppData\Local\IconCache.db
O61 - LFC:Last File Created 10/07/2009 - 19:04:34 ---A- C:\Users\Coolman\AppData\Local\Temp\alm.log

---\\ Derniers fichiers modifiés ou créés (Utilisateur) (O61) v1.25.1343
O61 - LFC:Last File Created 10/07/2009 - 15:58:43 ---A- C:\Users\Coolman\AppData\Local\Temp\alm.log [293376]

 

O62 - Alternate Data Stream File (ADS) v1.23.19
Lié au module ADS (Alternate Data Stream). Ce module est basé sur l'utilisation de LADS développé par Franck Heyne. La recherche pour les drivers mode-kernel et les exécutables s'effectue dans certains dossiers système comme %System32%.

Aperçu dans le rapport :
---\\ Alternate Data Stream File (ADS) (O62)
O62 - ADS:Alternate Data Stream File - F:\Windows\System32\hsc1.txt:keylogger.exe

 

O63 - List All Tools Cleaner (LATC) v1.24.06
Lié au module LATC (List All Tools Cleaner. Il permet de lister les logiciels usuels qui servent à la désinfecttion d'un système.

Aperçu dans le rapport :
---\\ Liste des outils de nettoyage (LATC) (O63)
O63 - Logiciel: WareOut Removal Tool

---\\ Liste des outils de nettoyage (LATC) (O63) v1.25.03
O63 - Logiciel: HijackThis 2.0.2 - (.TrendMicro.)

 

O64 - List All Legacy Service (LALS) v1.24.12
Lié au module LALS (List All Legacy Service). Il permet de lister tous les services legacy de la branche "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root."
Les clés Legacy énumèrent une partie des services que l'on peut activer ou désactiver dans le Gestionnaire de services. Il est donc très intéressant d'avoir la liste exhaustive de toutes ces clés. D'une part parce qu'il arrive que certains services soient toujours présents dans la Base De Registres après la désinstallation du logiciel dont ils sont issus. D'autre part parce que certaines infections, comme celles de type SmitFraud, utilisent ces clés légacy pour activer leur propre service malware.

Aperçu dans le rapport :
---\\ Liste tous les services legacy (LALS) (O64)
O64 - Services: CurCS - Avira AntiVir MailGuard (AntiVirMailService) LEGACY_ANTIVIRMAILSERVICE
O64 - Services: CS010 - Avira AntiVir MailGuard (AntiVirMailService) LEGACY_ANTIVIRMAILSERVICE

---\\ Liste des services Legacy (LALS) (O64) v1.25.04
O64 - Services: CurCS - C:\Windows\system32\drivers\afd.sys (AFD) .(.Microsoft Corporation - Ancillary Function Driver for WinSock.) - LEGACY_AFD
O64 - Services: CurCS - C:\Windows\system32\Drivers\AVGNTFLT.sys - avgntflt (avgntflt) .(.Avira GmbH - Avira Minifilter Driver.) - LEGACY_AVGNTFLT

 

O65 - List Files Unsigned v1.24.34
Lié au module LUF (List Filles Unsigned). Il permet de lister tous les fichiers non signés et sans éditeur dans le dossier ':\Windows\system32' et ':\Windows\system32\Driver'.

---\\ Liste des fichiers non signés (LUF) (O65)
O65 - LUF:26/08/2007 CodeGear Borland Package Library v11.0.2804.9245 - c:\windows\system32\adortl100.bpl
O65 - LUF:22/01/2001 Microsoft Corporation MSSearch v10.145.3722.0 - c:\windows\system32\ATHPRXY.DLL

 

O66 - Observateur Evènement Application (OEA) v1.25.13
Lié au module OEA (Observateur d'évèvement d'application). Il permet d'énumérer les erreurs d'applications recencées par l'observateur d'évènements Windows. Une erreur d'application qui porte sur la même application et le même ID n'est citée qu'une seule et unique fois.

---\\ Observateur d'évènement d'application (OEA) (O66)
O66 - EventLog: ID=63 (SideBySide) - (.DelphiZip - Freeware Zip/Unzip.) -- c:\program files\spybot - search & destroy\DelZip179.dll
O66 - EventLog: ID=1000 (Application Error) - (.RealNetworks, Inc. - RealPlayer.) -- c:\program files\real\realplayer\realplay.exe
O66 - EventLog: ID=1002 (Application Hang) - (.Opera Software - Opera Internet Browser.) -- C:\Program Files\Opera\opera.exe

 

O67 - File Association Shell Spawning (FASS) v1.25.133
Lié au module FASS File Association Shell Spawing).Il permet d'énumerer les extensions de fichiers succeptibles d'être détournés par des malwares. Ce module s'interesse particulièrement aux extensions de fichier capables de démarrer un processus comme par exemple les extensions ".com" ou ".exe". Certains malwares détournent les extensions de fichier vers leur propre processus malware. C'est le cas notamment de certains rogues qui remplacent la valeur par défaut 'exefile' de la clé de BDR au profit de leur propre valeur "{Random}file". Ensuite une clé du même nom est crée afin de pointer vers l'exécution d'un processus malware par le biais d'un "ShellOpenCommand". Ainsi l'utilisateur est systèmatiquement rédirigé à chaque lancement d'une application.

---\\ File Association Shell Spawning (FASS) (O67)
O67 - Shell Spawning: <.exe> <exefile>[HKLM\..\open\Command] "%1" %* (.not file.)
O67 - Shell Spawning: <.html> <htmlfile>[HKLM\..\open\Command] (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\IEXPLORE.exe

 

O68 - Start Menu Internet (SMI) v1.25.1331
Lié au module SMI (Start Menu Internet). Il permet d'énumérer les navigateurs installés. Certains malwares détournent le lancement d'un navigateur internet afin de lancer leur propre processus malware. C'est le cas notamment de certains rogues qui remplacent la valeur par défaut de la clé de Base de Registres au profit de leur propre valeur afin de pouvoir lancer une commande de type "ShellOpenCommand". Ainsi l'utilisateur est systèmatiquement rédirigé à chaque lancement de son navigateur. C'est généralement Microsoft Internet Explorer qui en est la cible.

---\\ Start Menu Internet (SMI) (O68)
O68 - StartMenuInternet: <IEXPLORE.EXE> <Internet Explorer>[[HKLM\..\Shell\open\Command] (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe
O68 - StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[[HKLM\..\Shell\open\Command] (.Mozilla Corporation - Firefox.) -- C:\Program Files\Mozilla Firefox\firefox.exe

 

O69 - Recherche Infection Navigateur (SBI) v1.25.1343
Lié au module SBI (Search Browser Infection). L'adware Yoog se propage via l'exécution de fichiers téléchargés sur les réseaux de partage PeerToPeer généralement après l'installation de l'adware AdRotator. Il remplace le moteur de recherche des navigateurs Mozilla Firefox et Microsoft Internet Explorer par son propre moteur Yoog Search.
La recherche se limite au navigateur Mozilla/Firefox. elle a pour but de vérifier la présence du moteur de recherche de Yoog dans le dossier 'plugIn' le l'utilisateur ainsi que dans son fichier de préférences 'prefs.js'.

---\\ Recherche Infection Yoog (SYI) (O69)
O69 - SYI: C:\Documents and Settings\{userName}\Application Data\Mozilla\Firefox\Profiles\{random}.default\searchplugins\Yoog Search.xml
O69 - SYI: C:\Users\{userName}\AppData\Roaming\Mozilla\Firefox\Profiles\{random}.default\searchplugins\Yoog Search.xml
O69 - SYI: prefs.js [{userName} - {random}.default] user_pref("browser.search.selectedEngine", "Yoog Search");

Le module change de nom pour effectuer une recherche plus large en l'étendant à d'autres moteurs de recherche :

--\\ Recherche Infection Navigateur (SBI) (O69) v1.25.1347
O69 - SBI: C:\Documents and Settings\{userName}\Application Data\Mozilla\Firefox\Profiles\{random}.default\searchplugins\askcom.xml
O69 - SBI: prefs.js [{userName} - {random}.default] user_pref("browser.search.selectedEngine", "Ask Search");

---\\ Search Browser Infection (SBI) (O69) v1.26.16
HKCU\Software\Microsoft\Internet Explorer\MenuExt\E&xporter vers Microsoft Excel
HKCU\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us

---\\ Search Browser Infection (SBI) (O69) v1.26.18
O69 - SBI: SearchScopes {CF739809-1C6C-47C0-85B9-569DBB141420}- (Ask Search) - http://toolbar.ask.com
O69 - SBI: SearchScopes {67A2568C-7A0A-4EED-AECC-B5405DE63B64} [DefaultScope] - (Google) - http://www.google.com

---\\ Search Browser Infection (SBI) (O69) v1.26.39
O69 - SBI: SearchScopes [HKCU] {00000000-3A71-45F7-AB4A-4CE80E99654C}- (Bing) - http://www.cherche.us
O69 - SBI: SearchScopes [HKCR] {933D5094-3A71-45F7-AB4A-4CE80E99654C}- (Bing) - http://www.bing.com

 

O80 - Recherche Infection Master Boot Record (MBR) v1.25.1354
Lié au module MBR (Master Boot Record). Le master boot record (MBR) est le premier secteur physique d'un disque. il est parfois appelé "Zone amorce" et contient un petit programme de 512 octets d'informations capitales sur la structure du support. Certains malwares rootkits s'attaquent au MBR du disque système afin d'alterer ce programme et de le rendre le disque illisible. Ce module s'appuie sur l'édition intégrale du rapport de l'utilitaire MBR de Gmer. A ce jour l' utilitaire MBR n'est pas compatible avec les OS 64bits (Vista & 7)

---\\ Recherche d'infection Master Boot Record (O80)
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
Run by Coolman at 01/05/2010 23:44:31 v1.25.1412
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

 

O81 - Internet Feature Controls (IFC) v1.25.1432
Lié au module IFC (Internet Feature Controls). Il permet de rechercher les infections de Microsoft Internet Explorer avec la gestion du mode de compatibilité des documents. Ce type d'attaque a été découvert sur une infection de type rootkit TDSS.

---\\ Internet Feature Controls (IFC) (O81)
O81 - IFC: Internet Feature Controls [HKLM] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (tdssserv.Root)
O81 - IFC: Internet Feature Controls [HKCU] [FEATURE_BROWSER_EMULATION] -- prevhost.exe => Microsoft Internet Explorer Feature Controls

---\\ Internet Feature Controls (IFC) (O81) v1.25.1436
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [feature_enable_ie_compression] -- svchost.exe => Infection Rootkit (tdssserv.Root)
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [feature_enable_ie_compression] -- svchost.exe => Infection Rootkit (tdssserv.Root)

 

O82 - Crack Keygen File (CKF) v1.26.0005
Lié au module CKF (Crack Keygen File). Il permet de rechercher les fichiers potentiellements dangereux issues de cracks ou keygens. Ces fichiers sont généralement transmis par les réseaux P2P.
Le scan se fait sur tous les dossiers et toutes les unités de disques connectées. Compte tenu du fait que le scan peut durer plusieurs minutes, ce module est optionnel.

---\\ Crack & Keygen Files (O82)
C:\user\...\WinRar.v3.60.(Beta.4).FR.Incl-Crack.zip

 

O83 - Search Svchost Services (SSS) v1.26.36
- Lié au module Search Svchost Services (SSS). Il permet de lister le groupe de services particuliers lancés par Svchost.exe. Ces services sont installés dans la donnée de la valeur de clé "NetSvcs" de la clé de Base de Registres :
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost].

---\\ Recherche des services démarrés par Svchost (SSS) (O83)
O83 - Search Svchost Services: AeLookupSvc (AeLookupSvc) . (.Microsoft Corporation - Service Expérience d’application.) -- C:\Windows\System32\aelupsvc.dll
O83 - Search Svchost Services: lanmanserver (lanmanserver) . (.Microsoft Corporation - DLL du service Serveur.) -- C:\Windows\system32\srvsvc.dll

SS/SR - Etat Général des Services (EGS) v1.26.52
- Lié au module Etat Général des Services (EGS). Il permet de lister le tous les services non Microsoft, qu'ils soient Démarrés ou stoppés.

---\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SR - | Auto 13/05/2009 108289 | Avira AntiVir Planificateur (AntiVirSchedulerService) . (.Avira GmbH.) - C:\Program Files\Avira\AntiVir Desktop\sched.exe
SR - | Auto 21/07/2009 185089 | Avira AntiVir Guard (AntiVirService) . (.Avira GmbH.) - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

 

Le rapport détaillé MD5

A partir de la v1.24.22, ZHPDiag se dote d'un module MD5/SHA-1. Le rapport MD5 va permettre la détection de fichiers légitimes patchés par des malwares.

Aperçu dans le rapport :
---\\ Processus lancés
[MD5.0D392EDE3B97E0B3131B2F63EF1DB94E] - C:\Program Files\Windows Defender\MSASCui.exe
[MD5.9A4322EE420D6FACD4D4B1FF6CB856B1] - c:\hp\support\hpsysdrv.exe

 

 

L'outil ZHPSearch. (v1.20)

A partir de la version 1.20, ZHPDiag se charge à partir d'un programme externe. Les modules O70 et O71 seront accessibles via l'outil ZHPSearch.

O70 - Recherche particulière de dossier, fichier ou clé de BDR
**** ZHPSearch disponible à partir de la v1.24.39 ****
Ce module complémentaire permet une recherche particulière de dossiers, de fichiers ou de clés de Base De Registres (BDR). La recherche se fait sur les unités de disque spécifiées et comprend les dossiers/fichiers cachés. La liste des fichiers, dossiers ou clés/valeurs de BDR se saisit dans la zone Rapport avec obligatoirement la chaîne ZHPDiag comme première ligne et en respectant le format ci-dessous :

ZHPDiag
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32
C:\WINDOWS\System32\upml
d:\temp\scr2.jpg
d:\temp\scr3.jpg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTim
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
C:\WINDOWS\System32\upm

Une fois cette opération réalisée, un clic sur le bouton Outils ZHPSearch lancera la recherche et intégrera ces lignes dans le rapport avec une indication de présence ou d'absence. Le lancement de l'analyse de ZHP permettra une coloration en rouge en cas de présence de ligne.

---\\ ZHPSearch, Recherche particulière de dossier, fichier ou clé de BDR (O70)
O70 - User: C:\WINDOWS\System32\alg.exe => Fichier PRESENT
O70 - User: C:\WINDOWS\System32 => Dossier PRESENT
O70 - User: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer => Valeur de clé PRESENTE
O70 - User: C:\WINDOWS\System32\upml => Dossier/Fichier ABSENT

 

O71 - ZHPSearch, Outil de recherche

ZHPSearch est un outil de recherche contenu dans ZHPDiag. Il permet d'effectuer une recherche de chaîne de caractères dans la Base de Registres et/ou dans les fichiers/Dossiers.

Télécharger

- 23/08/2011 : Intégration d'une version modifiée de ZHPFix. (v1.28.1342)
- 23/08/2011 : ZHPFix, Correctif dans la suppression de clé O69/SearchScope (1.12.3357)

 

téléchargements

 

téléchargements

 

 

 

  

© Copyright's 2008-2009 Nicolas Coolman e-mail - Tous droits réservés -