Zeb Help Process | Analyseur de rapports de sécurité 
| ACCUEIL | PRESENTATION | TUTORIEL | INSTALL | ZHPHelper | ZHPDiag | ZHPFix | LIENS | MENACES | ACTUALITES | FEEDBACK | CHANGELOG |
| Général | BTFix | ComboFix | DiversFix | HaxFix | LopFix | NaviFix | SDFix | SmitFraudFix | USBFix | VundoFix | WareOutFix | DriverFix |
|
Cet outil permet de nettoyer les lignes issues de divers rapports de diagnostics mais principalement de ZHDDiag et d'HijackThis.
ZHPFix est installé en même temps que ZHPDiag et dans le même répertoire que celui-ci.
La procédure standard d'installation crée, à condition de l'activer, les 2 icônes sur le Bureau de la session d'installation.
ZHPFix peut être activé soit à partir de ZHPDiag à partir de l'icône 
soit à partir du raccourci sur le Bureau.
Il se lance par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur sous Vista et Seven.
VERSIONS
ZHPFix existe en deux versions :
- Une version ZHPFix Helper intégrée à ZHPHelper qui permet d'avoir dans ZHPFix la classification automatique des catégories non légitimes issues de l'analyse.
- Une version autonome qui ne possède pas les boutons de catégorie mais qui comporte les mêmes fonctionnalités de traitement que la version Helper.
SYSTEMES COMPATIBLES
Windows 98
Windows 2000
Windows XP (32 et 64 bits)
Windows Vista (32 et 64 bits)
Windows 7
RAPPORTS PRIS EN CHARGE
HijackThis
(Trend Micro).
Uninstall List (Trend Micro).
ZHPDiag
(Nicolas Coolman).
Pour avoir accès à l'outil ZHPFix à partir de ZHPHelper, il faut générer un rapport et lancer une analyse.
Le bouton ZHPFix apparaît alors permettant
le lancement de l'outil. L'écran suivant s'affiche :
IMPORTANT : L'utilisateur devra se conformer aux recommandations d'un expert en sécurité avant toute intervention.
LISTE DES BOUTONS DU PANEL SUPERIEUR
Ce bouton permet de cocher les lignes inutiles au démarrage du système que l'on souhaite supprimer.
Ce bouton est absent dans la version autonome (Hors ZHPHelper ou ZHPLite). (version Helper)
Ce bouton permet de cocher les lignes d'origine inconnue que l'on souhaite supprimer.
Ce bouton est absent dans la version autonome (Hors ZHPHelper ou ZHPLite). (version Helper)
Ce bouton permet de cocher les lignes dont le domaine, le site ou l'adresse IP inconnue que l'on souhaite supprimer.
Ce bouton est absent dans la version autonome (Hors ZHPHelper ou ZHPLite). (version Helper)
Ce bouton permet de cocher les lignes non traitées que l'on souhaite supprimer.
Ce bouton est absent dans la version autonome (Hors ZHPHelper ou ZHPLite). (version Helper)
Ce bouton permet de cocher les lignes variables que l'on souhaite supprimer.
Ce bouton est absent dans la version autonome (Hors ZHPHelper ou ZHPLite). (version Helper)
.
Ce bouton permet de cocher les lignes superflues que l'on souhaite supprimer.
Ce bouton est absent dans la version autonome (Hors ZHPHelper ou ZHPLite). (version Helper)
Ce bouton permet de cocher les lignes Malwares que l'on souhaite supprimer.
Ce bouton est absent dans la version autonome (Hors ZHPHelper ou ZHPLite). (version Helper)
Ce bouton permet de cocher les lignes Information que l'on souhaite modifier. (version Helper)
.
Ce bouton permet de cocher les lignes toutes catégories confondues que l'on souhaite supprimer.
Cette activation permet d'accéder au bouton "Nettoyer". (version Helper)
Ce bouton permet
de copier le rapport de suppression dans le Presse-papier de Windows.
Ce bouton permet
de coller le Presse-papier de Windows.
Ce bouton permet
d'importer un rapport.
Ce bouton permet
de supprimer certains outils de diagnostic et/ou de désinfection.
* Ad-Fix (Gchris)
* Ad-remover (C_XX)
* catchme (Gmer)
* Clean (Malekal Morte)
* ComboFix (sUBs)
* Diaghelp (Malekal Morte)
* Dial-a-fix (Djlizard)
* FindyKill (Chiquitne29)
* Fix IE Utility v1.12.20
* GenProc (Jean-chretien 1 & Narco4)
* GMER (Gmer)
* HijackThis (Trend Micro)
* JavaRa (Paul McLain)
* List'em (gen-hackman)
* Lop SD (AngelDark & Eric71)
* Navilog1 (IL-MAFIOSO)
* OAD (!aur3n7)
* OTL (OldTimer)
* OTM (OldTimer)
* RHosts (S!ri)
* Rooter (IDN) v1.12.13
* RootRepeal v1.12.21
* RSIT (random/random)
* RustbFix (ejvindh)
* SDFix (Andy Manchesta)
* SF (C_XX) v1.12.17
* SmitFraudFix (S!ri)
* SysProt (swatkat)
* Toolbar SD (IDN Team)
* ToolsCleaner (A.Rothstein & dj QUIOU)
* UsbFix(Chiquitne29)
* WareOut Removal Tool (WORT) (dj QUIOU)
* Win32kDiag v1.12.14
* YoogFix (Batch_Man)
* ZHPFix (Nicolas Coolman)
* ZHPDiag (Nicolas Coolman)
Ce bouton permet
de supprimer une liste de lignes (rapport) fournie par un helper (aidant) de forum sécurité.
Ce bouton permet de restaurer la quarantaine de ZHPFix.
Ce bouton permet de vider la quarantaine de ZHPFix.
Ce bouton permet le chargement d'un fichier registre provenant d'un helper ou provenant d'un ancien export de clé. Il permet aussi de supprimer
les fichiers de sauvegarde registres générés par l'outil.
Ce bouton permet de visualiser le rapport de suppression ou de coller un rapport d'un fichier en provenance d'un helper de forum sécurité.
Ce bouton permet
de sélectionner la langue.
(Allemand, Français, Espagnol, Italien, Anglais).
"A Propos" de l'outil..
DETAIL DE L'ACTION PAR LIGNE DE RAPPORT :
REG:{Random}.reg v1.12.16
L'outil permet de lancer la fusion d'un fichier de script registre avec votre Base De Registres (BDR).
* Aucun backup de BDR n'est effectué par l'outil, si vous utilisez un tel script, il est recommandé d'effectuer une sauvegarde des clés de BDR, ou de créer un point de restauration du système.
* La fusion du fichier registre s'effectue sans confirmation de l'utilisateur (Mode silencieux).
* Le fichier registre doit être placé dans le dossier d'installation de l'outil.
* Le rapport d'exécution de l'outil mentionne la ligne 'Script de registre fusionné' ou "Fichier absent" en cas d'absence du fichier registre.
{Random} = Nom de fichier aléatoire.
Aperçu dans le rapport :
Script Registre :
REG:EssaiRegistre.reg => Script de registre fusionné
REG:EssaiRegistre1.reg => Fichier absent
Processus ou Module mémoire :
L'outil supprime le processus lancé au démarrage ou le module chargé en mémoire.
F2 - Modification d'une valeur System.ini :
L'outil restaure les valeurs par défaut des clés de registre.
F3 - Modification d'une valeur Win.ini :
L'outil supprime le fichier et les éléments de données des valeurs de clés de Registre.
M1 - Pages de recherche de Mozilla Firefox :
L'outil supprime les pages de recherche du navigateur Mozilla Firefox.
P1 - Plugin de navigateur Opera :
L'outil supprime le processus Plugin du navigateur Opera.
R0 - Pages de démarrage d'Internet Explorer :
L'outil supprime la page de démarrage du navigateur Microsoft Internet Explorer.
R1 - Pages de recherche d'Internet Explorer :
L'outil supprime la page de recherche du navigateur Microsoft Internet Explorer.
R3 - Internet Explorer URLSearchHook :
L'outil supprime la clé CLSID de Base de Registres.
O2 - Browser Helper Objet de navigateur :
L'outil supprime la clé de Base de Registres.
O3 - Internet Explorer Toolbars :
L'outil supprime la valeur de clé de Base de Registres.
O4 - Applications démarrées automatiquement par le registre :
L'outils supprime la valeur clé de Base de Registres.Il supprime aussi le processus associé lorsqu'il existe.
O4 - Applications lancées au démarrage du système v1.12.13
Supprime le fichier de raccourci et le fichier vers lequel il pointe.
O5 - Invisibilité de l'icône d'options IE dans le panneau de Configuration :
L'outil supprime la valeur de clé de Base de Registres.
O6 - Restriction de l'accès aux options IE par l'Administrateur :
L'outil restaure l'élément de donnée par défaut de clés de Base de Registres.
O7 - Restriction de l'accès à Regedit par l'Administrateur :
L'outil restaure l'élément de donnée par défaut de clés de Base de Registres.
O8 - Lignes supplémentaires dans le menu contextuel MSIE :
L'outil supprime la valeur clé de Base de Registres.
O9 - Boutons situés sur la barre d'outils principale MSIE :
L'outil supprime la clé CLSID de la Base de Registres.
O11 - Onglet supplémentaire dans les options avancées MSIE :
L'outil supprime la clé de Base de Registres.
O12 - Plugins de navigateur MSIE :
L'outil supprime le processus et la clé de Base de Registre du plugin.
O13 - Piratage des préfixes d'URL MSIE :
L'outil restaure la valeur par défaut de la clé de Base de Registres.
O15 - Site dans la Zone de confiance MSIE :
L'outil supprime la clé de Base de Registres.
Volontairement, ZHPFix ne recoche pas la case "Nécessite un serveur sécurisé (https) pour tous les sites de cette zone". Suivant les cas de figure,
c'est à vous de recocher manuellement cette option. D'ailleurs, vider cette zone est généralement une amélioration de la sécurité
O16 - Objets ActiveX :
L'outil supprime la clé CLSID de Base de Registres.
O17 - Modification Domaine/Adresses DNS :
L'outil supprime la donnée de la valeur de clé de la Base de Registres.
O18 - Protocole additionnel et piratage de protocole :
L'outil supprime la valeur CLSID de clé de Base de Registres.
O19 - Piratage de feuille de style Utilisateur :
L'outil supprime l'élément de donnée de la valeur de clé "User stylesheets" de la Base de Registres.
O20 - Valeur de sous-clés Winlogon Notify :
L'outil supprime la clé de Base de Registre.
O20 - Valeur de Registre AppInit_DLLs :
L'outil supprime l'élément de donnée de la valeur de clé de la Base de Registres.
O21 - Clé de Registre autorun ShellServiceObjectDelayLoad :
L'outil supprime la clé CLSID de Base de Registres.
O22 - Clé de Registre autorun SharedTaskScheduler :
L'outil supprime le fichier et les clés CLSID de Base de Registres.
O23 - Services NT non Microsoft et non désactivés :
L'outil arrête le service et supprime le processus.
O24 - Énumération des composants Active Desktop :
L'outil restaure les valeurs par défaut des clés Components.
O39 - Tâches planifiées en automatique :
L'outil supprime le fichier.
O40 - Composant ActiveSetup Installés :
L'outil supprime le fichier et la clé CLSID de Base de Registres.
O41 - Pilotes lancés au démarrage :
L'outil supprime le pilote (driver) et sa clé de Base De Registres.
O42 - Logiciels installés :
L'outil désinstalle complétement le programme.
Il repose sur le principe de désinstallation logicielle de Microsoft Windows.
Aussi, les logiciels qui ne sont pas installés ne seront pas traités par ce module.
O43 - Contenu des dossiers Fichiers Communs :
L'outil supprime le dossier qui se trouve sous 'Program Files\Fichiers Communs" ou "Programmes\Common Files"
O44 - Derniers fichiers modifiés ou crées sous Windows et Windows\System32 :
L'outil supprime le fichier.
O45 - Derniers fichiers créés dans Windows Prefetcher :
L'outil supprime le fichier.
O46 - ShellExecuteHooks :
L'outil supprime la valeur CLSID de la Base de Registres.
O47 - Export de clé d'application autorisée :
L'outil supprime la valeur de clé de Base de Registres.
L'outil supprime le processus. v1.12.30
O48 - Déni du service Local Security Authority :
L'outil restaure les éléments de données par défaut des valeurs de clé "Notification Packages" et "Authentication Packages".
O49 - Contrôle Safe Boot :
L'outil supprime les clés de Base de Registres.
O50 - Image File Execution Options :
L'outil supprime le fichier et la clé de Base de Registres
O51 - MountPoints2 Search Key :
L'outil supprime l'élément de donnée de la valeur par défaut de la Base de Registres
O52 - Trojan Driver Search Data :
L'outil supprime le fichier et la valeur de clé de Base de Registres.
O53 - ShareTools MSconfig StartupReg :
L'outil supprime la valeur de clé de Base de Registres.
Dans Windows 7, la clé "StartupReg" peut comporter des sous-clés, dans ce cas :
L'outil supprime la clé de Base de Registres. v.12.304
L'outil supprime le processus. v.12.304
O54 - Microsoft Control Security Providers :
L'outil supprime l'élément de donnée de la valeur par défaut de la Base de Registres
O55 - Microsoft Windows Policies System :
L'outil supprime la valeur de clé de Base de Registres.
O56 - Microsoft Windows Policies Explorer :
L'outil supprime la valeur de clé de Base de Registres.
O57 - Recherche de Drivers Rootkit :
L'outil supprime le pilote (driver).
O58 - Liste des Drivers Système :
L'outil supprime le pilote (driver). Dans le cas d'un pilote chargé au démarrage, c'est le module O41 qui le prend en charge.
O59 - Recherche heuristique Magic.control :
L'outil supprime le processus ou fichier malware d'infection Magic.control (Navipromo) et EGDAcces..
O60 - Détournement de DNS :
L'outil supprime l'élément de donnée de la valeur de clé de la Base de Registres. Ce module recense les détournements de DNS.
Il correspond au sous-ensemble malware du module O17.
O61 - Derniers fichiers créés dans les dossiers utilisateur :
L'outil supprime le fichier.
O62 - Alternate Data Stream File (ADS) :
L'outil supprime le fichier.
O63 - List All Tools Cleaner (LATC) : v1.12.10
L'outil supprime tous les logiciels utilisés par le helper (aidant) pour la désinfection.
O64 - List All Legacy Service (LALS): v1.12.12
L'outil supprime le service legacy.
DOSSIER DE QUARANTAINE et FICHIER REGISTRE,
Un dossier de quarantaine est créé dans le dossier d'installation de ZHP. Ce dossier correspond à une mise en quarantaine des processus nettoyés. Tous les fichiers comportent
une extension supplémentaire ".VIR". Tous les dossiers comportent une extension supplémentaire ".DIR". Le dossier de Quarantaine peut-être vider avec le bouton correspondant du panel supérieur.
Le fichier Registre se somme "ZHPExportRegistry-Date.txt" et se situe dans le root de l'installation de l'outil.
LE RAPPORT DE SUPPRESSION :
A la fin du nettoyage des lignes, un rapport de suppression s'affiche. Ce rapport permet à l'utilisateur d'avoir l'image du travail effectué par l'outil. Il peut aussi être envoyé à un helper
pour analyse et action éventuelle. Ce rapport est constitué de plusieurs familles, à chaque catégorie de ligne correspond une couleur.
Le fichier contenant le rapport de suppression se somme "ZHPReport.txt"
Processus mémoire :
Ligne dont le processus est chargé en mémoire. Chaque fin de ligne est accompagnée d'un commentaire en français ou en anglais.
=> File not removed : Le processus n'est pas déplacé.
=> Quarantined and Deleted successfully : Le processus est mis en quarantaine et déplacé avec succès.
=> File not found : Le processus n'est pas trouvé.
=> File delete on reboot : Le processus sera supprimé au redémarrage du système.
Module mémoire :
Ligne dont la ressource dynamique (DLL) est chargée en mémoire.
=> File not removed : La ressource n'est pas déplacée.
=> Quarantined and Deleted successfully : La ressource est mise en quarantaine et déplacée avec succès.
=> File not found : La ressource n'est pas trouvée.
=> File delete on reboot : La ressource sera supprimée au redémarrage du système.
Clé du Registre :
Ligne qui correspond à une clé de Base de Registres.
=> Registry key not removed : La clé de registre n'est pas supprimée.
=> Registry key removed successfully : La clé de registre est sauvegardée et supprimée avec succès.
=> Registry key not found : La clé de registre n'est pas trouvée.
=> Registry key already cleaned : La clé de registre a déjà été nettoyée.
Valeur du Registre :
Ligne qui correspond à une clé de Base de Registres.
=> Registry key value not removed : La valeur de clé de registre n'est pas suprimée.
=> Registry key value removed successfully : La valeur de clé de registre est sauvegardée et supprimée avec succès.
=> Registry key value not found : La valeur clé de registre n'est pas trouvée.
Ligne qui correspond à un élément de donnée de valeur de clé de Base de Registres.
=> Registry key value data not removed : L'élément de donnée de la valeur de clé de registre n'est pas suprimé.
=> Registry key value data removed successfully : L'élément de donnée de la valeur de clé de registre est sauvegardé et supprimé avec succès.
=> Registry key value data not found : L'élément de donnée de la valeur de clé de registre n'est pas trouvé.
Logiciel :
Ligne qui correspond à un logiciel.
=> Software not removed : Le logiciel n'est pas désinstallé.
=> Software removed successfully : Le logiciel est désinstallé avec succès.
=> Software not found : Le logiciel n'est pas trouvé.
Fichier :
Ligne qui correspond à un fichier.
=> File not removed : Le fichier n'est pas déplacé.
=> Quarantined and Deleted successfully : Le fichier est mis en quarantaine et déplacé avec succès.
=> File not found : Le fichier n'est pas trouvé.
=> File delete on reboot : Le fichier sera supprimé au redémarrage du système.
Dossier :
Ligne qui correspond à un dossier.
=> File not removed : Le fichier n'est pas déplacé.
=> Quarantined and Deleted successfully : Le fichier est mis en quarantaine et déplacé avec succès.
=> File not found : Le fichier n'est pas trouvé.
=> File delete on reboot : Le fichier sera supprimé au redémarrage du système.
Script registre :
Ligne qui correspond à la fusion d'un fichier registre avec la base de Registres.
=> Registry Script OK : Le Script de registre est fusionné
=> File not found : Le fichier registre n'est pas trouvé.
Autre :
Ligne non supportée par l'outil.
=> Not supported : L'objet n'est pas traité car il est issu d'un rapport actuellement non pris en charge.
Télécharger
téléchargements