ZHPDiag : produit un diagnostic détaillé d’un appareil sous forme de centaines de lignes mises en liste et représentant chacune une situation, un réglage, etc.

cr  05.12.2009      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

ZHPSuite - Installation de ZHPDiag, ZHPLite et ZHPFix

ZHPSuite est un triplet de 3 applications : ZHPDiag, ZHPLite et ZHPFix.

ZHPSuite est gratuit.

ZHP signifie Zeb Help Process (Zeb étant le diminutif du nom de l'excellent site Zébulon et de son Forum Zébulon où l'auteur des outils ZHP, Nicolas Coolman, et toute une communauté, travaillent à son développement et son enrichissement).

ZHPSuite est connu et utilisé dans le monde entier (essentiellement en France, Allemagne et États-Unis).

1		ZHPDiag ZHPDiag, première fonction à utiliser, permet d'établir une analyse complète d'un appareil et permet de générer un rapport d'analyse intégral de cet appareil sans distinguer quoi que ce soit (légitimités ou inutilités ou malveillants). Cette première fonction est à l'attention de l'utilisateur qui doit transmettre le rapport à un analyste agréé sur un forum de décontamination de confiance. Attention ! Le rapport produit par ZHPDiag n'est pas un script d'élimination de malveillances à passer à ZHPFix, mais un inventaire complet de l'existant dans votre appareil, sans aucune discrimination entre le bien et le mal. Le passer tel quel à ZHPFix serait à peu près équivalant à l'effacement quasi total du système d'exploitation (Windows), du Registre Windows et de toutes les applications et réglages. Un rapport ZHPLite doit être transmis à un analyste agréé sur un forum de décontamination de confiance et seul le script fourni par cet analyste doit être exécuté à l'aide de ZHPFix.
2		ZHPLite Outil examinateur automatisé de rapports d'analyses. ZHPLite permet de classer les éléments de l'analyse ZHPDiag et d'établir un diagnostic. Ce sont des aides à l'interprétation des rapports d'analyses ZHPDiag (classement en catégories avec des codes de couleurs). ZHPLite est, bien entendu, capable d'analyser les journaux produits par ZHPDiag, mais également ceux de nombreux autres journaux produits par d'autres outils d'analyses (liste des outils d'analyse reconnus par ZHPLite). ZHPLite existe en deux versions : Une version simple, accessible à tous (téléchargeable par tous), sous le nom de ZHPLite, à usage de tous les utilisateurs. Elle produit des avis/alertes/conseils ne prêtant pas à interprétations. Une version avancée, non accessible, dite « Helper », réservée aux analystes agréés (diplômés) des groupes de sécurité des forums de décontamination de confiance et aux experts membres des teams d'experts. Les analystes agréés étudient les rapports ZHPDiag et rédigent des « scripts » transmis aux utilisateurs qui les exécuteront à l'aide de ZHPFix. Les analystes sont des personnes physiques, comme vous et moi, avec leurs vies professionnelles et familiales. Rédiger les scripts est un service courtois, harassant, long et très pointu qu'ils vous rendent, ce qui peut prendre plus d'un jour ou deux (et vous n'êtes pas le seul). Les relancer et faire part de votre impatience parce que vous avez contaminé votre appareil est une grossièreté inouïe. Mode d'emploi de ZHPLite (1) Mode d'emploi de ZHPLite (2)
3		ZHPFix Applicateur de correctifs sur un appareil. ZHPFix interprète et exécute un script rédigé par un analyste agréé, exerçant dans un forum de décontamination de confiance, et transmis à l'utilisateur final. Attention ! Le rapport produit par ZHPDiag n'est pas un script d'élimination de malveillances à passer à ZHPFix, mais un inventaire complet de l'existant dans votre appareil, sans aucune discrimination entre le bien et le mal. Le passer tel quel à ZHPFix serait à peu près équivalant à l'effacement quasi total du système d'exploitation (Windows), du Registre Windows et de toutes les applications et réglages. Un rapport ZHPLite doit être transmis à un analyste agréé sur un forum de décontamination de confiance et seul le script fourni par cet analyste doit être exécuté à l'aide de ZHPFix.

ZHPDiag est un logiciel gratuit qui fabrique un journal détaillé de plusieurs inscriptions, essentiellement dans le Registre Windows, provoquant des actions. Ces inscriptions sont classées par type, selon le même principe que ce qu'avait inventé Merijn Bellekom lorsqu'il avait écrit HijackThis, mais en bien plus puissant et complet

Une fois ZHPDiag lancé, clic sur le bouton scanner et attendre la fin du scan (plusieurs minutes - voir la barre de progression).

ZHPDiag

Liste de quelques éléments détaillés dans le journal de ZHPDiag :

1. Navigateurs Internet
3. Informations sur les produits windows
4. Logiciels de protection
5. Logiciels anti-malware
6. Surveillance logiciel
7. Logiciels d'optimisation
8. Logiciels de partage p2p
9. Informations sur le système
10. Mode de connexion au système
11. Énumération des unités de stockage
12. État du centre de sécurité windows
13. Recherche particulière de fichiers génériques
14. Liste des services (non désactivés)
15. Services non microsoft (sr=démarré,ss=stoppé)
16. Tâches planifiées en automatique (registre)
17. Applications lancées au démarrage du système
18. Processus lancés
19. Firefox, plugins,démarrage,recherche,extensions
20. Opera, démarrage,recherche,plugins
21. Internet explorer,démarrage,recherche,urlsearchhook
22. Internet explorer, site de confiance et site sensible
23. Internet explorer,proxy management
24. Internet explorer,inifiles, autoloading programs
25. Étude du fichier hosts
26. Browser helper object de navigateur (bho)
27. Raccourcis global startup
28. Modification domaine/adresses (dns)
29. Protocole additionnel
30. Registre appinit_dlls et winlogon notify
31. Clé de registre explorer startupapproved
32. Logiciels installés
33. Clé de registre software hkcu & hklm
34. Contenu des dossiers programmes
35. Shelliconoverlayidentifiers (sioi)
36. Image file execution options (ifeo)
37. Liste des pilotes du système
38. Derniers fichiers modifiés ou créés (utilisateur)
39. Association shell spawning
40. Menu de démarrage internet
41. Recherche d'infection sur les navigateurs
42. Énumère les services démarrés par svchost
43. Liste des exceptions du parefeu windows
44. Codes produits logiciels
45. Packages windows installer
46. Récapitulatif des éléments trouvés sur votre station

Le journal est sauvegardé dans un fichier - C:/Users/Nom de l'utilisateur/AppData/Roaming/ZHP/ZHPDiag.html
Il s'ouvre dans le navigateur par défaut.

ZHPDiag : Modules de base - Codification

ZHPDiag codifie les lignes de son journal d'analyse, sans les trier ni les juger. A ce stade, les lignes sont produite en vrac.

Cette méthode de codification fut inventée par Merijn Bellekom dans son outil qui eut un considérable impact mondial : Hijackthis. ZHPDiag, et bien des outils de même nature, en reprennent les mêmes codes (et en ajoute de nouveaux selon leurs spécificités). C'est un homage qui est rendu à Merijn Bellekom.

La codification des lignes du journal d'analyse de ZHPDiag :

• B0 - Opera, Pages de démarrage : Page de démarrage du navigateur Opera

• B1 - Opera, Pages de recherche : Page de recherche du navigateur Opera

• P1 - Opera, Plugin de navigateur : Enumère les plugins du navigateur Opera

• G0 - Google Chrome, Page de démarrage : Page de démarrage du navigateur Google Chrome

• G1 - Google Chrome, Page de recherche : Page de recherche du navigateur Google Chrome

• G2 - Google Chrome, Extensions : Enumère les extensions du navigateur Google Chrome

• P2 - Mozilla Firefox, Plugins de navigateur : Enumère les plugins du navigateur Google Chrome

• M0 - Mozilla Firefox, Page de démarrage : Page de démarrage du navigateur Mozilla Firefox

• M1 - Mozilla Firefox, Page de recherche : Page de recherche du navigateur Mozilla Firefox

• M2 - Mozilla Firefox, Extension : Enumère les extensions du navigateur Mozilla Firefox

• M3 - Plugins de navigateurs (MFPP) : Enumère les plugins du navigateur Mozilla Firefox

• R0 - Internet Explorer, Page de démarrage : Page de démarrage du navigateur Web « Internet Explorer »

• R1 - Internet Explorer, Page de recherche : Page de recherche du navigateur Web « Internet Explorer »

• R3 - Internet Explorer, URLSearchHook : Paramètres URLSearchHook du navigateur Web « Internet Explorer »

• R4 - Internet Explorer, Phishing : Phishing sur le navigateur Web « Internet Explorer »

• R5 - Internet Explorer, Proxy Management : Enumère les paramètres Proxy Internet Explorer

• F2 - Modification d'une valeur System.ini (MVS) : Enumère certaines valeurs de clé de registre.

• F3 - Modification d'une valeur Win.Ini (MVW) : Enumère certaines valeurs de clé de registre.

• O1 - Redirection du fichier Hosts : Enumère le contenu du fichier Hosts

• O2 - Browser Helper Objects de navigateur : Enumère les BHO d'Internet Explorer et navigateurs basés sur Internet Explorer

• O3 - Internet Explorer Toolbars : Enumère les Barres d'outil d'Internet Explorer et navigateurs basés sur Internet Explorer

• O4 - Applications démarrées automatiquement par le registre : Applications démarées par le système.

• O4 - Autres liens utilisateurs : Applications lancées au démarrage du système

• O5 - Invisibilité de l'icône d'options IE dans le panneau de Configuration : Options Internet Explorer

• O6 - Restriction de l'accès aux options IE par l'Administrateur : Restrictions d'accès.

• O7 - Regedit access restricted by Administrator : Restriction d'accès à l'éditeur RegEdit

• O8 - Lignes supplémentaires dans le menu contextuel d'Internet Explorer : Menu contextuel IE

• O9 - Boutons situés sur la barre d'outils principale d'Internet Explorer : Boutons de barre d'outil IE

• O10 - Winsock hijacker (Layered Service Provider) : Pirate Winsock LSP (WINdows SOCKet)

• O11 - Extra group in IE 'Advanced Options'window : Extra Group Internet Explorer

• O12 - Internet Explorer, Plugin de navigateur : Plugin de navigateur Web « Internet Explorer »

• O13 - Piratage de IE DefaultPrefix : Piratage du prefix Internet Explorer

• O14 - Piratage de l'Option 'Rétablir les paramètres Web' : Piratage d'option Internet Explorer

• O15 - Site dans la Zone de confiance d'Internet Explorer : Sites de confiance Internet Explorer

• O16 - Objets ActiveX (Downloaded Program Files) : Objets ActiveX

• O17 - Lop.com/Domain Hijackers : Enumération des paramètres serveur DNS

• O18 - Protocole additionnel : Recense les modifications des protocoles par défaut

• O19 - User Style Sheet hijack : Rechercher un éventuel piratage de feuille de style

• O20 - AppInit_DLLs Registry value Autorun : Enumère les fichiers chargés via la valeur de Registre AppInit_DLLs

• O20 - Valeur de sous-clés Winlogon Notify (Autorun) : Enumére les fichiers dans la sous-clés Winlogon Notify

• O21 - Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) : Enumère les cles de registre SSODL

• O22 - SharedTaskScheduler : Recense les valeurs CLSID de la clé de Registre SharedTaskScheduler

• O23 - Liste des services NT non Microsoft et non désactivés : Enumère les services démarrés en automatique

• O24 - Énumération des composants Active Desktop : Recense tous les composants Active Desktop

• O34 - BootExecute : Exécution via Session manager

• O36 - Session Manager AppCertDlls Key (AppCertDlls,KnownDLLs) : Enumération de sous-clé Session Manager.

ZHP : Modules optionnels (46) - Codification

• O39 - Tâches planifiées en automatique : Enumère les tâches démarrées avec le système

• O40 - Composants installés (ActiveSetup Installed Components) : Enumère les composants ActiveSetup installés

• O41 - Pilotes lancés au démarrage : Enumère les pilotes démarrés par le système

• O42 - Logiciels installés : Enumère les logiciels installés

• O42 - HKCU & HKLM Software Keys : Enumère les clés de registre Microsoft Software

• O43 - Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData : Enumère les dossiers programmes

• O44 - Derniers fichiers modifiés ou crées sous Windows et System32 : Enumère certains dossiers systèmes

• O45 - Derniers fichiers créés par Windows Prefetcher : Enumère les derniers fichiers du Prefectcher

• O46 - ShellExecuteHooks (SEH) : Liste les opérations et fonctions au démarrage de Windows Explorer

• O47 - Export de clé d'application autorisée : Liste les clés des applications autorisées.

• O48 - Dénis de service Local Security Authority (LSA) : Recherche de Dénis de Service

• O49 - Contrôle du Safe Boot (CSB) : Liste les sous-clés SafeBoot Minima et Network

• O50 - Image File Execution Options (IFEO) : Enumère les sous-clés de registre IFEO

• O51 - MountPoints2 Shell Key (MPSK) : Traque les infections en provenance des ports USB

• O52 - Trojan Driver Search Data (TDSD) : Recherche générique de trojan

• O53 - ShareTools MSconfig StartupReg (SMSR) : Liste les valeurs et les données de la clé StartupReg

• O54 - Microsoft Control Security Providers (MCSP) : Liste les informations des clés SecurityProviders

• O55 - Microsoft Windows Policies System (MWPS) : Enumère les paramètres registe Policies System

• O56 - Microsoft Windows Policies Explorer (MWPE) : Enumère les paramètres registe Policies Explorer

• O57 - Recherche de Drivers Rootkit (SDR) : Scan générique de pilotes rootkit

• O58 - Liste des Drivers Système (SDL) : Liste les pilotes du système

• O59 - Recherche d'infection Magic.control (HSMI) : Recherche générique Adware.Navipromo

• O60 - Détournement de DNS (DDNS) : Recherche les détournements de DNS (Domain Name System).

• O61 - Derniers fichiers modifiés ou crées (LFC) : Enumère les derniers fichiers créés

• O62 - Alternate Data Stream File (ADS) : Recherche pour les drivers mode-kernel

• O63 - Liste des outils de nettoyage (LATC) : Enumère des outils de désinfection

• O64 - Liste des services Legacy (LALS) : Enumère tous les services legacy du registre

• O65 - Liste des fichiers non signés (LUF) : Enumère les fichiers non signès

• O66 - Observateur d'évènement d'application (OEA) : Enumère les erreurs d'applications de l'observateur

• O67 - File Association Shell Spawning (FASS) : Enumère certaines extensions de fichiers

• O68 - Start Menu Internet (SMI) : Enumère les navigateurs internet installés

• O69 - Search Browser Infection (SBI) : Recherche d'infections sur les navigateurs.

• O80 - Recherche Master Boot Record Infection (MBR) : Recherche d'infection du MBR

• O81 - Internet Feature Controls (IFC) : Recherche les infections d'Internet Explorer avec la gestion du mode de compatibilité des documents

• O82 - Crack & Keygen Files (CKF) : Recherche de fichiers de type crack ou keygen

• O83 - Recherche des services démarrés par Svchost (SSS) : Liste les services Windows SvcHost

• O84 - Recherche particuliere de fichiers (SPRF) : Recherche de fichiers à la racine de certains dossiers.

• O85 - Recherche d'infection par le ver Koobface (SKWI) : Recherches particulières d'infection

• O86 - Recherche d'infection Rogue (SRI) : Recherches particulières d'infection

• O87 - Firewall Active Exception List (FirewallRules) : Liste certaines applications du pare-feu Windows.

• O88 - Scan Additionnel (AS) : Détections du logiciel ZHPScan.

• O89 - Recherche détournement de DNS routeur (SHDR) : Recherche la configuration DNS du routeur

• O90 - Product Upgrade Codes : Liste les codes produits installés

• O91 - Export de clés aléatoires : Enumère certaines clés hexadécimales aléatoires

• O92 - MyComputer Name Space : Liste certaines icônes via l'explorateur Windows

• 093 - Windows Installer Scan : Liste les fichiers de package MSI de WindowsInstaller

• SR/SS - Etat Général des Services (EGS) : Enumère l'état général des services

ZHP : Modules de fin (3) - Codification

• Alert Messages : Message d'alerte de certaines infections (Navipromo, ZeroAccess).

• List of CD/DVD Emulators (MBR Hook) : Liste les émulateurs de CD/DVD.

• Malicius Sofware Information (MSI) : Donne des informations sur les détections malwares.

1. ZHPSuite (Officiel) - Nicolas Coolman

2. Tutoriel Officiel ZHPSuite

3. ZHPDiag

4. ZHPLite

5. ZHPFix

6. Conditions Générales d’utilisation

7. Politique de protection des données personnelles