ZHPhep - Zeb Help Process

ZHP - Zeb Help Process est l'un des outils du triplet :

1		ZHPDiag - Zeb Help Process Diagnostique Analyses d'ordinateurs et générateur de rapports d'analyse Outil à l'attention de l'utilisateur. L'utilisateur transmet le rapport à un analyste agréé
2		ZHPHep - Zeb Help Process Examinateur de rapports d'analyse d'un ordinateur Version simple à usage de tous Version Helper réservée aux analystes diplômés des groupes de sécurité et aux experts sécurité. Les analystes agréés rédigent un script et le transmettent à l'utilisateur
3		ZHPFix - Zeb Help Process Fix Applicateur de correctifs sur un ordinateur Outil à l'attention de l'utilisateur. Interprète et exécute les scripts transmis de l'analyste agréé à l'utilisateur.

ZEB

Zeb est un diminutif de Zébulon, le site et forum où l'auteur de cet outil, Nicolas Coolman, et toute une communauté, travaillent à son développement et son enrichissement.

Les outils Zeb sont connus et utilisés dans le monde entier et, essentiellement, en France, en Allemagne et aux Etats Unis.

ZHPhep - Zeb Help Process Helper est un analyseur des rapports produits par ZHPDiag - Zeb Help Process Diagnostiques.

ZHPhep - Zeb Help Process Helper est également un analyseur des rapports de plus de trente autres outils d'analyses (tableau ci-dessous).

Zeb Help Process réorganise aussi les rapports Kaspersky Antivirus Online (KAV) et Malwarebytes' Anti-Malware (MBAM).

Ne touchez pas à ZHP seul

Sauf à être un utilisateur très avancé dans les arcanes de Windows et les outils (ZHP et autres), il est fermement déconseillé de tenter de se servir seul de tels outils, sans assistance. Les assistants qui vous prennent en charge sont formés, dans des centres de formation spécialisés à l'usage de ces outils, à Windows, à la relation avec l'assisté, etc. ... durant de très longues périodes (la durée minimale de formation à ces outils est de un à deux ans) avant d'être agréés et autorisés à prendre un utilisateur en charge.

Le rapport produit par ZHPDiag décrit la totalité de votre ordinateur et 99,99% de ce qui s'y trouve est totalement légitime, nécessaire et indispensable au fonctionnement de votre système, de vos applications et de votre ordinateur.

Voici ce qui se passe lorsque l'on se croie assez malin pour utiliser ZHP seul(e) :

J'ai tout cassé 1

"Bonjour
Je n'y connais rien en pc et j'ai lancé zhpfix après avoir fait un zhpdiag j'ai tous coché puis j'ai mis nettoyé
cela fait plus de 10 mn que mon pc fait du bruit et le nettoyage est en cours,pouvez vous m'aider car je crois que j'ai fait une betise
merci"

J'ai tout cassé 2

"J'ai refait ZHPDiag et copier le rapport de celui-ci dans ZHPFix mais la je crois que j'ai fait une grosse bêtise. Mon écran et devenu tout bleu écris en gros caractère blanc avec un chrono en bas de page et il c'est éteins."

Rendez-vous sur un forum de décontamination de confiance. Demandez de l'aide avant de détruire complètement votre ordinateur. Ne touchez à rien tout seul.

Son objectif est triple :

1. Identifier chacun des processus rapportés par le journal d'analyse utilisé afin de déterminer sa nocivité ou sa légitimité.
2. Donner des informations détaillées sur chaque processus, driver ou ressource dynamique rencontrée.
3. Proposer un outil d'éradication en fonction de l'infection constatée.

Cet outil est en constante évolution pour s'adapter aux nouvelles formes d'infections. Les mises à jour sont aussi très fréquentes et intégrables via un module d'importation.

Voir la page d'origine :
Zeb Help Process par Nicolas Coolman sur Zebulon
Base de connaissance partielle de ZHPDiag sur des malwares

ZHPhep - Zeb Help Process - Mises à jour

Les mises à jour des bases de signatures de ZHPhep - Zeb Help Process sont très fréquentes (plusieurs fois par jour) et très importantes. Dans le paramétrage de ZHPhep - Zeb Help Process, il est préférable que les mises à jour soient réglées pour être détectées et proposées (si une connexion Internet est ouverte) automatiquement.

Liste des outils dont ZHPhep (Zeb Help Process Helper) reconnaît et analyse les rapports

Page d'origine

#	Outils de diagnostic dont ZHPhep reconnaît le format de leurs rapports
		Boot Log Drivers Microsoft Windows XP > Démarrer > msconfig.exe > onglet boot > cocher la case "boot log" > redémarrer > Lancer l'explorateur Windows > Se rendre dans C:\Windows\ et ouvrir le fichier fichier ntbtlog.txt ou bootlog.txt. Microsoft Windows Vista, 7 > Démarrer > msconfig.exe > onglet Démarrer > cocher la case "Journaliser le démarrage" > redémarrer > Lancer l'explorateur Windows > Se rendre dans %SystemRoot% (généralement C:\Windows\) et ouvrir le fichier ntbtlog.txt ou bootlog.txt Voir Boot Log Drivers
		DSS - Deckard's System Scanner (Formellement Comboscan). N'existe plus. Retiré le 17.08.2008. ATTENTION : DSS interagit avec un rootkit spécifique (tdssserv) d'une manière qui peut rendre votre système inutilisable (modification de l'entrée svchost netsvcs du Registre ). DSS est abadonné par son auteur. Ne pas tenter de le trouver ni de l'utiliser.
		DDS (sUBs)
		DiagHelp (Malekal). N'existe plus.
		FindyKill (El Desaparecido alias Chiquitine29). N'existe plus. Développement arrêté le 31.08.2013.
		HijackThis (Merijn Bellekom puis Trend Micro puis Open Source).
		OAD - Outil Aide Diagnostic (!aur3n7). N'existe plus.
		PCA Sécurité. (Evosla.com). N'existe plus.
		RSIT (Random's system information tool) (random/random). Tuto
		RunScanner.
		Spyware Terminator (Crawler) Tuto Faq
		UsbFix (El Desaparecido alias Chiquitine29). Impossible à télécharger - bloquer par les antivirus.
		ZHPDiag (Nicolas Coolman).
	Rapports d'antivirus
		Antivir (Avira) + Version française
		BitDefender Internet Security (BIS)
		Kaspersky Antivirus OnLine (KAV).
		Malwarebytes Anti-Malwares (MBAM)
		SUPERAntiSpyware (SAS).
	Rapports d'outils de désinfection
		ComboFix (sUBs).
		EliBagle (S.G.H./Satinfo S.L).
		GMER (GMER).
		Lop S&D Search/Clean (Angeldark et Eric71).
		LopxpMH2.
		Navilog1 (Il mafioso).
		SDFix (AndyManchesta).
		SmitFraudFix (S!ri).
		System Repair Engineer (SREng) (Smallfrogs).
		TDSSKiller (Kaspersky).
		Toolbar S&D Clean (Equipe IDN).
		Toolbar S&D Search (Equipe IDN).
		VirtumondeBegone.
		VundoFix (Atribune)

Références

ZHPDiag : Modules d'entête (13)

• Web Browser : Enumère les navigateurs Internet installés.
• Windows Product Information (WPI) : Informations sur l'identification du système d'exploitation Windows.
• System Protection : Liste les logiciels de protection installés.
• System Optimizer : Enumère les logiciels d'optimisation installés sur le système.
• Peer To Peer (P2P) : Liste les logiciels de partage Peer To Peer installés.
• Software Update : Cible certains logiciels installés dont la mise à jour est nécessaire (Java, Adobe, ...)
  
• System Information (SI) : Donne diverses informations sur le système d'exploitation et la mémoire.
• Environnement Variables : Enumère certaines variables d'environnement du système.
• DOS/Devices : Détaille les unités de stockage fixes et amovibles.
• Security Center & Tools Information (SCTI) : Informations sur la sécurité et la protection du système.
• Message d'alerte (MEAL) : Enumère les messages d'alerte.
• Recherche particulière de fichiers génériques : Porte sur les fichiers système susceptibles d'être infectés.
• Etat des fichiers cachés (Caché/Total) : Permet de vérifier la présence d'une infection.

ZHPDiag : Modules de base (47)

Hommage à Merijn Bellekom : La codification des lignes du journal d'analyse de ZHP est basée sur celle de HijackThis et en reprend les mêmes codes, comme bien des outils de même nature. Le même principe est utilisé pour les nouveaux types de lignes.

• B0 - Opera, Pages de démarrage : Page de démarrage du navigateur Opera
• B1 - Opera, Pages de recherche : Page de recherche du navigateur Opera
• P1 - Opera, Plugin de navigateur : Enumère les plugins du navigateur Opera
• G0 - Google Chrome, Page de démarrage : Page de démarrage du navigateur Google Chrome
• G1 - Google Chrome, Page de recherche : Page de recherche du navigateur Google Chrome
• G2 - Google Chrome, Extensions : Enumère les extensions du navigateur Google Chrome
• P2 - Mozilla Firefox, Plugins de navigateur : Enumère les plugins du navigateur Google Chrome
• M0 - Mozilla Firefox, Page de démarrage : Page de démarrage du navigateur Mozilla Firefox
• M1 - Mozilla Firefox, Page de recherche : Page de recherche du navigateur Mozilla Firefox
• M2 - Mozilla Firefox, Extension : Enumère les extensions du navigateur Mozilla Firefox
• M3 - Plugins de navigateurs (MFPP) : Enumère les plugins du navigateur Mozilla Firefox
• R0 - Internet Explorer, Page de démarrage : Page de démarrage du navigateur Internet Explorer
• R1 - Internet Explorer, Page de recherche : Page de recherche du navigateur Internet Explorer
• R3 - Internet Explorer, URLSearchHook : Paramètres URLSearchHook du navigateur Internet Explorer
  
• R4 - Internet Explorer, Phishing : Phishing sur le navigateur Internet Explorer
• R5 - Internet Explorer, Proxy Management : Enumère les paramètres Proxy Internet Explorer
• F2 - Modification d'une valeur System.ini (MVS) : Enumère certaines valeurs de clé de registre.
• F3 - Modification d'une valeur Win.Ini (MVW) : Enumère certaines valeurs de clé de registre.
• O1 - Redirection du fichier Hosts : Enumère le contenu du fichier Hosts
• O2 - Browser Helper Objects de navigateur : Enumère les Browser Helper Objects Internet Explorer
• O3 - Internet Explorer Toolbars : Enumère les Barres d'outil Internet Explorer
• O4 - Applications démarrées automatiquement par le registre : Applications démarées par le système.
• O4 - Autres liens utilisateurs : Applications lancées au démarrage du système
• O5 - Invisibilité de l'icône d'options IE dans le panneau de Configuration : Options Internet Explorer
• O6 - Restriction de l'accès aux options IE par l'Administrateur : Restrictions d'accès.
• O7 - Regedit access restricted by Administrator : Restriction d'accès à l'éditeur RegEdit
• O8 - Lignes supplémentaires dans le menu contextuel d'Internet Explorer : Menu contextuel IE
• O9 - Boutons situés sur la barre d'outils principale d'Internet Explorer : Boutons de barre d'outil IE
• O10 - Winsock hijacker (Layered Service Provider) : Pirate Winsock LSP (WINdows SOCKet)
• O11 - Extra group in IE 'Advanced Options'window : Extra Group Internet Explorer
• O12 - Internet Explorer, Plugin de navigateur : Plugin de navigateur Internet Explorer
• O13 - Piratage de IE DefaultPrefix : Piratage du prefix Internet Explorer
• O14 - Piratage de l'Option 'Rétablir les paramètres Web' : Piratage d'option Internet Explorer
• O15 - Site dans la Zone de confiance d'Internet Explorer : Sites de confiance Internet Explorer
• O16 - Objets ActiveX (Downloaded Program Files) : Objets ActiveX
• O17 - Lop.com/Domain Hijackers : Enumération des paramètres serveur DNS
• O18 - Protocole additionnel : Recense les modifications des protocoles par défaut
• O19 - User Style Sheet hijack : Rechercher un éventuel piratage de feuille de style
• O20 - AppInit_DLLs Registry value Autorun : Enumère les fichiers chargés via la valeur de Registre AppInit_DLLs
• O20 - Valeur de sous-clés Winlogon Notify (Autorun) : Enumére les fichiers dans la sous-clés Winlogon Notify
• O21 - Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) : Enumère les cles de registre SSODL
• O22 - SharedTaskScheduler : Recense les valeurs CLSID de la clé de Registre SharedTaskScheduler
• O23 - Liste des services NT non Microsoft et non désactivés : Enumère les services démarrés en automatique
• O24 - Énumération des composants Active Desktop : Recense tous les composants Active Desktop
• O34 - BootExecute : Exécution via Session manager
• O36 - Session Manager AppCertDlls Key (AppCertDlls,KnownDLLs) : Enumération de sous-clé Session Manager.

ZHPDiag : Modules optionnels (46)

• O39 - Tâches planifiées en automatique : Enumère les tâches démarrées avec le système
• O40 - Composants installés (ActiveSetup Installed Components) : Enumère les composants ActiveSetup installés
• O41 - Pilotes lancés au démarrage : Enumère les pilotes démarrés par le système
• O42 - Logiciels installés : Enumère les logiciels installés
• O42 - HKCU & HKLM Software Keys : Enumère les clés de registre Microsoft Software
• O43 - Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData : Enumère les dossiers programmes
• O44 - Derniers fichiers modifiés ou crées sous Windows et System32 : Enumère certains dossiers systèmes
• O45 - Derniers fichiers créés par Windows Prefetcher : Enumère les derniers fichiers du Prefectcher
• O46 - ShellExecuteHooks (SEH) : Liste les opérations et fonctions au démarrage de Windows Explorer
• O47 - Export de clé d'application autorisée : Liste les clés des applications autorisées.
• O48 - Dénis de service Local Security Authority (LSA) : Recherche de Dénis de Service
• O49 - Contrôle du Safe Boot (CSB) : Liste les sous-clés SafeBoot Minima et Network
• O50 - Image File Execution Options (IFEO) : Enumère les sous-clés de registre IFEO
• O51 - MountPoints2 Shell Key (MPSK) : Traque les infections en provenance des ports USB
• O52 - Trojan Driver Search Data (TDSD) : Recherche générique de trojan
• O53 - ShareTools MSconfig StartupReg (SMSR) : Liste les valeurs et les données de la clé StartupReg
• O54 - Microsoft Control Security Providers (MCSP) : Liste les informations des clés SecurityProviders
• O55 - Microsoft Windows Policies System (MWPS) : Enumère les paramètres registe Policies System
• O56 - Microsoft Windows Policies Explorer (MWPE) : Enumère les paramètres registe Policies Explorer
• O57 - Recherche de Drivers Rootkit (SDR) : Scan générique de pilotes rootkit
• O58 - Liste des Drivers Système (SDL) : Liste les pilotes du système
• O59 - Recherche d'infection Magic.control (HSMI) : Recherche générique Adware.Navipromo
• O60 - Détournement de DNS (DDNS) : Recherche les détournements de DNS (Domain Name System).
• O61 - Derniers fichiers modifiés ou crées (LFC) : Enumère les derniers fichiers créés
• O62 - Alternate Data Stream File (ADS) : Recherche pour les drivers mode-kernel
• O63 - Liste des outils de nettoyage (LATC) : Enumère des outils de désinfection
• O64 - Liste des services Legacy (LALS) : Enumère tous les services legacy du registre
• O65 - Liste des fichiers non signés (LUF) : Enumère les fichiers non signès
• O66 - Observateur d'évènement d'application (OEA) : Enumère les erreurs d'applications de l'observateur
• O67 - File Association Shell Spawning (FASS) : Enumère certaines extensions de fichiers
• O68 - Start Menu Internet (SMI) : Enumère les navigateurs internet installés
• O69 - Search Browser Infection (SBI) : Recherche d'infections sur les navigateurs.
• O80 - Recherche Master Boot Record Infection (MBR) : Recherche d'infection du MBR
• O81 - Internet Feature Controls (IFC) : Recherche les infections d'Internet Explorer avec la gestion du mode de compatibilité des documents
• O82 - Crack & Keygen Files (CKF) : Recherche de fichiers de type crack ou keygen
• O83 - Recherche des services démarrés par Svchost (SSS) : Liste les services Windows SvcHost
• O84 - Recherche particuliere de fichiers (SPRF) : Recherche de fichiers à la racine de certains dossiers.
• O85 - Recherche d'infection par le ver Koobface (SKWI) : Recherches particulières d'infection
• O86 - Recherche d'infection Rogue (SRI) : Recherches particulières d'infection
• O87 - Firewall Active Exception List (FirewallRules) : Liste certaines applications du pare-feu Windows.
• O88 - Scan Additionnel (AS) : Détections du logiciel ZHPScan.
• O89 - Recherche détournement de DNS routeur (SHDR) : Recherche la configuration DNS du routeur
• O90 - Product Upgrade Codes : Liste les codes produits installés
• O91 - Export de clés aléatoires : Enumère certaines clés hexadécimales aléatoires
• O92 - MyComputer Name Space : Liste certaines icônes via l'explorateur Windows
• 093 - Windows Installer Scan : Liste les fichiers de package MSI de WindowsInstaller
• SR/SS - Etat Général des Services (EGS) : Enumère l'état général des services

ZHPDiag : Modules de fin (3)

• Alert Messages : Message d'alerte de certaines infections (Navipromo, ZeroAccess).
• List of CD/DVD Emulators (MBR Hook) : Liste les émulateurs de CD/DVD.
• Malicius Sofware Information (MSI) : Donne des informations sur les détections malwares.

Ressources

Nicolas Coolman - ZHPhep
Nicolas Coolman - Tutoriel ZHPhep