ZHPDiag est un outil de diagnostic extrait du logiciel
Zeb Help Process. Le logiciel permet d'effectuer un diagnostic rapide et complet de son
système d'exploitation
. Il est basé en partie sur le principe d'
HijackThis. Il scrute votre Base de Registre et énumère les zones sensibles qui sont susceptibles d'être piratées.
A noter qu'il n'écrit rien dans votre Base de Registres et ne procède à aucun nettoyage.
Il est totalement compatible avec l'analyse de Zeb Help Process et ne nécessite aucune installation.
télécharger sur zébulon:
http://telechargement.zebulon.fr/telecharger-zhpdiag.html
http://www.premiumor...ss/zhpdiag.html
LA CREATION DE ZHPDiag
A partir de la version 2.30, Zeb Help
Process se dote de son propre outil de dignostic avec ZHPDiag. Pourquoi
un tel outil alors même que d'autres assurent une fonction quasi
analogue, la raison se résume en un seul mot l'autonomie.
En effet, jusqu'aux précédentes version, ZHP se limitait exclusivement à
analyser des rapports en provenance d'autres outils de diagnostic, mais
qu'adviendrait-il si tous ces outils venaient à disparaître ?, eh bien
la réponse est simple, ZHP serait condamné à disparaître faute de
matière première. C'est donc avant tout dans un souci de pérennité que
j'ai créé cet outil. J'espère qu'il vous apportera les éléments
nécessaires, voire indispensables, à la traque d'éléments nuisibles
encombrant votre système d'exploitation.
Le lancement de l'outil se fait en cliquant sur le bouton outils.
L'affichage du rapport se fait dans la zone rapport (Partie supérieure
de l'écran) de façon à ce que ZHP puisse l'analyser dans la zone
Résultat. Le rapport de ZHPDiag se présente en trois parties, l'en-tête,
le corps et les compléments de recherche.
1 - L'EN-TETE DU RAPPORT.
L'en-tête du rapport comporte la version de
l'outil, la date d'enregistrement du scan, la plateforme système et la
version des navigateurs Internet explorer, Mozilla Firefox et Opera.
Rapport de ZHPDiag v1.0 par Nicolas Coolman Enregistré le 22/07/2008 15:28:43
Platform : Microsoft Windows XP (5.1.2600) Service Pack 2
MSIE: Internet Explorer v6.0.2900.2180
OPIE: Opera 9.51
MFIE: Mozilla Firefox (2.0.0.11)
2 - LE CORPS DU RAPPORT.
Processus lancés
Ce module recense l'ensemble des processus
qui sont lancés au démarrage du système. Il proviennent d'une part de
données situées dans les clés Run,RunOnce ou RunService de la Base De
Registres et d'autre part de données provenant du demarrage de certains
services.
---\\ Processus lancés
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
Analyse des lignes F0, F1, F2, F3 - IniFiles, Autoloading programs
- Modification d'une valeur System.ini (F2)
- Modification d'une valeur Win.ini (F3)
Analyse des lignes M1, du navigateur Mozilla Firefox
M1 - Pages de recherche de Mozilla Firefox
Lié au module SPR (Search Page
Redirection). De nombreuses extensions sont proposées pour le navigateur
Firefox. Certaines d'entre elles, non désirées, peuvent provoquer une
redirection de la page de recherche. Afin de pister une éventuelle
redirection, l'outil énumère l'ensemble des dossiers comportant une
redirection. Ensuite l'analyse de ZHP pourra déterminer la légitimite ou
la nocivité de l'adresse spécifiée.
---\\ Pages de recherche de Mozilla Firefox (M1)
M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\talkback@mozilla.org
Analyse des lignes P1, du navigateur Opera
P1 - Plugin de navigateur Opera
Lié au module OPN (Opera Plugin Navigator).
Il permet de lister l'ensemble des plugins installés pour le navigateur
Opera. Certains plugins peuvent être des programmes malwares. L'analyse
de ZHP permettra de les identifier.
---\\ Plugin de navigateur Opera (P1)
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\npdsplay.dll
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\NPSWF32.dll
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\NPSWF32_FlashUtil.exe
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\npwmsdrm.dll
Analyse des lignes R0, R1, R3 - Internet Explorer Start/Search pages URLs
R0 - Pages de démarrage d'Internet Explorer
Ce module recherche les paramètres de la
page de démarrage par défaut du navigateur Microsoft Internet Explorer.
Le piratage de la page de démarrage permet notamment l'affichage de
popups indésirables
R1 - Pages de recherche d'Internet Explorer
Ce module recherche les paramètres de la page de recherche par défaut du navigateur Microsoft Internet Explorer
R3 Internet Explorer URLSearchHook
Ce module recherche les paramètres URLSearchHook du navigateur Microsoft Internet Explorer
Analyse des autres lignes (Others)
O1 - Redirection du fichier Hosts
Ce module recherche les détournements du fichier hosts qui contient les mappages de noms d'hôtes en adresses IP.
O2 - Browser Helper Objects de navigateur
Ce module recherche l'ensemble des Browser
Helper Objects (BHO) installés. Un BHO est une application qui ajoute
certaines fonctionnalités au navigateur Web.
O3 - Internet Explorer Toolbars
Ce module liste l'ensemble des barres d'outils (Toolbars) du navigateur Microsoft Internet Explorer.
O4 - Applications démarrées automatiquement par le registre
Ce module énumère l'ensemble des
applications lancées au démarrage du système. Le traitement se fait à
partir des clés de Base De Registres Run, RunOnce et RunServices.
O5 - Invisibilité de l'icône d'options IE dans le panneau de Configuration
Ce module affiche les paramètres contenus dans le fichier control.ini et correspondant au panneau de contrôle d'Internet Explorer.
O6 - Restriction de l'accès aux options IE par l'Administrateur
Ce module permet de rechercher dans la Base
De Registres s'il y a restriction sur l'accès aux options d'Internet
Explorer. A côté de la restriction faite par l'Administrateur, certains
logiciels comme Spybot S&D peuvent provoquer la création de cette
ligne lorsque l'option Verrouiller la page de démarrage est activée.
O7 - Restriction de l'accès à Regedit par l'Administrateur
Ce module permet de rechercher la valeur de clé de registre DisableRegedit. Selon la donnée de cette valeur ce clé, l'accès à la Base De Registres peut être totalement verrouillé.
O8 - Lignes supplémentaires dans le menu contextuel d'Internet Explorer
Ce module énumère les lignes
supplémentaires dans le menu contextuel d'Internet Explorer. Cette
action ajoute des éléments au menu contextuel lorsque l'on fait un clic
droit sur une page Web.
O9 - Boutons situés sur la barre d'outils principale d'Internet Explorer
Ce module liste les éléments ajoutés dans la barre d'outils d'Internet Explorer ou dans le menu Outils d'IE
O10 - Piratages de Winsock LSP (Layered Service Provider)
Ce module est en cours d'étude et n'est pas encore disponible.
O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer
Ce module traite des Onglets
supplémentaires dans les options avancées d'Internet Explorer. Le
traitement se fait par lecture de clés de Registre.
O12 - Internet Explorer Plugins
Ce module énumère les programmes d'extension (plugins) d'Internet Explorer. Ces plugins sont lancés au démarrage du navigateur.
O13 - Piratage des prefixes d'URL d'Internet Explorer
Ce module recherche la valeur de la clé de Registre DefaultPrefix. Toutes les URL sont par défaut préfixées avec http://. Des pirates comme CoolWebSearch sont connus pour modifer ce préfixe.
O14 - Paramètres par défaut des options Internet Explorer
Ce module recherche les paramètres du fichier ereset.inf qui contient des options de Microsoft Internet Explorer.
Les lignes légitimes suivantes ne sont pas affichées :
O14 - IERESET.INF: START_PAGE_URL=START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
O14 - IERESET.INF: SEARCH_PAGE_URL=SEARCH_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
O14 - IERESET.INF: SAFESITE_VALUE=SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
O15 - Site indésirable dans la Zone de confiance d'Internet Explorer
Ce module recherche les sites indésirables
placés dans la Zone de confiance d'Internet Explorer. Souvent AOL et
CoolWebSearch s'insèrent silencieusement dans cette zone.
O16 - Objets ActiveX (Downloaded Program Files)
Ce module permet d'énumerer les objets ActiveX.
Les lignes légitimes issues de Java Runtime Environment nes sont pas affichées.
O17 - Piratage de domaine (Lop.com)
Ce module liste les modifications des serveurs DNS qui peuvent permettre une redirection vers un site malveillant.
O18 - Protocole additionnel et piratage de protocole
Ce module recense les modifications des protocoles par défaut pour pister les connexions.
O19 - Piratage de feuille de style Utilisateur
Ce module permet de rechercher un éventuel
piratage de la feuille de style de l'utilisateur. Le détournement d'une
feuille de style peut être utilisé pour l'affichage de popups.
O20 - Valeur de sous-clés Winlogon Notify
Ce module se charge d'énumérer les fichiers
chargés via les sous-clés Winlogon Notify. Ces fichiers peuvent
provenir d'infection Vundo.
O20 - Valeur de Registre AppInit_DLLs
Ce module se charge d'énumérer les fichiers chargés via la valeur de Registre AppInit_DLLs.
O21 - Clé de Registre autorun ShellServiceObjectDelayLoad
Lié au module SSODL (Shell Service Object
Delay Load). Il permet de lister les fichiers chargés via la clé de
Registre ShellServiceObjectDelayLoad.
O22 - Clé de Registre autorun SharedTaskScheduler
Ce module recense les éléments de la clé de
Registre SharedTaskScheduler. Ces éléments sont lancés au démarrage du
système et sont souvent le résultat d'une infection SmitFraud.
Les lignes suivantes légitimes de Windows ne sont pas affichées :
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {...}
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {...}
O23 - Services NT non Microsoft et non désactivés
Ce permet énumère l'ensemble des services
lancés au démarrage du système. Les services génériques Microsoft et les
services désactivés sont volontairement exclus de cette énumération.
024 - Enumération des composants Active Desktop
Ce module recense tous les composants
Active Desktop. Ces ajouts de composants se rencontrent par exemple lors
d'infections de type SmitFraud, mais pas seulement.
La ligne légitime par défaut
Ma page d'accueil n'est pas affichée.
Aperçu dans le rapport
---\\ Enumération des composants Active Desktop (O24)
O24 - Desktop Component 0: Ma page d'accueil - file:About:Home
O24 - Desktop Component 1: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
3 - LES COMPLEMENTS DE RECHERCHE.
A côté du rapport de base, l'outil dispose
maintenant d'un module permettant la sélection d'un ou plusieurs
compléments de rapport. Il démarre à partir des lignes de rapport O39
O39 - Tâches planifiées en automatique
Lié au module APT (Automatic Planified
Task). De nombreux logiciels ont pour fonction la surveillance ou
l'update du système. Pour chacun d'eux, une tâche planifiée peut être
créée et se déclencher en fonction d'une périodicité établie. Ce procédé
de tâche planifiée pouvant être détourné par certains malwares, l'outil
permet l'affichage de l'ensemble de ces événements. Ensuite une analyse
de ZHP pourra déterminer la légitimité ou la nocivité d'une telle
tâche.
---\\ Tâches planifiées en automatique (O39)
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\desktop.ini
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\SA.DAT
O40 - Composants installés (ActiveSetup Installed Components)
Lié au module ASIC (ActiveSetup Installed
Components). Il permet de lister tous les composants Active Setup
énumérés dans la Base De Registres.
---\\ Composants installés (ActiveSetup Installed Components) (040)
O40 - ASIC: Lecteur Windows Media - {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
O40 - ASIC: Internet Explorer - {26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE
O40 - ASIC: Personnalisation du navigateur - {60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
O41 - Pilotes lancés au démarrage
Ce module liste tous les pilotes (drivers) de périphériques qui sont lancés au démarrage du système.
---\\ Pilotes lancés au démarrage (O41)
O41 - Driver: Suppresseur d'écho acoustique (Noyau Microsoft) (aec) - C:\WINDOWS\system32\drivers\aec.sys
O41 - Driver: Environnement de prise en charge de réseau AFD (AFD) - C:\WINDOWS\System32\drivers\afd.sys
O41 - Driver: Pilote de processeur AMD K7 (AmdK7) - C:\WINDOWS\System32\DRIVERS\amdk7.sys
O41 - Driver: Protocole client ARP 1394 (Arp1394) - C:\WINDOWS\System32\DRIVERS\arp1394.sys
O42 - Logiciels installés
Ce module liste tous les logiciels installés en excluant les mises à jour et correctifs Microsoft Windows.
---\\ Logiciels installés (O42)
O42 - Logiciel: Adobe Flash Player Plugin
O42 - Logiciel: Adobe Photoshop 7.0
O42 - Logiciel: Avira AntiVir Personal - Free Antivirus
O42 - Logiciel: CCleaner (remove only)
O43 - Contenu des dossiers Fichiers Communs
*** Disponible seulement avec Zeb Help Process ***
Lié au module CFD (Common File Directory). Il permet de lister tous les sous-dossiers Fichiers Communs et Common Files du dossier %ProgramFiles%
---\\ Contenu des dossiers Fichiers Communs (O43)
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\ACD Systems
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Adobe
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Borland Shared
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Microsoft Shared
O44 - Derniers fichiers modifiés ou créés sous System32
*** Disponible seulement avec Zeb Help Process ***
Lié au module LFC (Last File Created). Il permet de lister tous les fichiers créés ou modifiés dans les dossiers System32 et System32/Drivers. La période de recherche est limitée aux 3 derniers mois.
---\\ Derniers fichiers modifiés ou créés sous System32 (O44)
O44 - LFC:Last File Created - C:\WINDOWS\System32\dnsapi.dll -->20/06/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\java.exe -->10/06/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\avipbb.sys -->19/07/2008
O45 - Derniers fichiers créés dans Windows Prefetcher
*** Disponible seulement avec Zeb Help Process ***
Lié au module LFP (Last File Create
Prefetch). Il permet de lister tous les fichiers créés ou modifiés dans
le dossier Prefetcher. La période de recherche est limitée aux 3
derniers mois.
---\\ Derniers fichiers créés par Windows Prefetcher (O45)
045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ACDSEE8.EXE-2C7AF977.pf -->24/07/2008
045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ADDALIAS.EXE-184750BD.pf -->19/07/2008
045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ADDALIAS.EXE-2B12A6B4.pf -->23/07/2008
O46 - ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer.
Lié au module SEH (Shell Execute Hooks). Il
permet de recenser toutes les opérations et fonctions au démarrage de
Windows Explorer.
Aperçu dans le rapport en version Helper :
---\\ ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer (O46)
O46 - SEH:ShellExecuteHooks - URL Exec Hook - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - shell32.dll => Microsoft Windows Shell Ortak
O47 - Export de clé d'application autorisée
Lié au module AAKE (Authorized Application
Key Export). Il permet de lister toutes les valeurs et données pour les
applications autorisées pour les deux clés suivantes :
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
Aperçu dans le rapport
---\\ Export de clé d'application autorisée (O47)
047 - AAKE:Key Export - "C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorateur Windows"
Equivalence dans les rapports DiagHelp, SDFix
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorateur Windows"
O48 - Déni du service Local Security Authority (LSA)
Lié au module LSA. Pour son fonctionnement,
Microsoft Windows NT utilise un service d'autorité Locale de sécurité
ou LSA (Local Security Authority). Une requête au service LSA peut être
utilisée afin d'exploiter une vulnérabilité de sécurité du système. Une
utilisation abusive de cette vulnérabilité permet l'exécution d'un
programme en provoquant un déni de service. Ainsi, le service LSA cesse
de répondre et demande le démarrage de l'ordinateur. Au redémarrage la
ressource malware installée sera automatiquement chargée afin de
poursuivre son action.
- Les attaquent portent sur la clé de Base de Registres
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA],
avec remplacement de la donnée des valeurs
Notification Packages et
Authentication Packages.
- La donnée par défaut de la valeur
Authentication Packages est
msv1_0 et fait référence à la ressource système
%System32%\msv1_0.dll (Microsoft Authentication Package v1.0)
- La donnée par défaut de la valeur
Notification Packages est
scecli et fait référence à la ressource système
%System32%\scecli.dll (Microsoft Moteur du client de l'Éditeur de configuration)
- L'infection Vundo utilise cette vulnérabilité de sécurité et installe
sa propre ressource. MalwareByte's AntiMalware (MBAM) recense ce type
d'attaque de service LSA.
Appercu dans le rapport en mode Helper (ces deux lignes sont bien sûr
traitées légitimes/génériques lors de l'analyse générale de ZHP)
---\\ Déni du service Local Security Authority (LSA) (O48)
O48 - LSA:Local Security Authority Authentication Packages - C:\WINDOWS\System32\msv1_0.dll => Microsoft Authentication Package v1.0
O48 - LSA:Local Security Authority Notification Packages - C:\WINDOWS\System32\scecli.dll => Microsoft Moteur du client de l'Éditeur de configuration
O70 - Recherche particulière de dossier, fichier ou clé de BDR
*** Disponible seulement avec Zeb Help Process ***
Ce module complémentaire permet une
recherche particulière de dossier, de fichier ou de clé de Base De
Registres (BDR). La recherche se fait sur les unités de disque
spécifiées et comprend les dossiers/fichiers cachés. La liste des
fichiers, dossiers ou clé/valeur de BDR se saisit dans la zone rapport
avec obligatoirement la chaine ZHPDiag comme première ligne et en respectant le format ci-dessous :
ZHPDiag
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32
C:\WINDOWS\System32\upml
d:\temp\scr2.jpg
d:\temp\scr3.jpg[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTim
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
C:\WINDOWS\System32\upm
Une fois cette opération réalisée, un clic sur le bouton
Outils
lancera l'exécution de ZHPDiag et intégrera ces lignes au début du
rapport avec une indication de présence ou d'absence. Le lancement de
l'analyse de ZHP permettra une coloration en rouge des lignes présentes
Citation
---\\ Recherche particulière de dossier, fichier ou clé de BDR (O70)
O70 - User: C:\WINDOWS\System32\alg.exe => Fichier PRESENT
O70 - User: C:\WINDOWS\System32 => Dossier PRESENT
O70 - User: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer => Valeur de clé PRESENTE
O70 - User: C:\WINDOWS\System32\upml => Dossier/Fichier ABSENT
O71 - ZHPSearch, outil de recherche d'infection de Base de Registres
*** Disponible seulement avec Zeb Help Process ***
Lié au module BDRI (Base De Registres
Infections). ZHPSearch est un module complémentaire de ZHPDiag. Il
permet la recherche d'infections BT, Combo, MSN , SD, SmitFraud
directement dans la Base De Registres Windows. Ce module en version bêta
a été testé sur plus de 17000 clés/valeurs de BDR.
Aperçu dans le rapport en version Helper
O71 - BDRI:[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:antispy -
C:\Program Files\IEAntivirus\antivirus.exe => Infection SmitFraud (IEAntiVirus.Rog)
Description complète de ZHPDiag
http://www.premiumor...ss/zhpdiag.html
programme ici:
http://telechargement.zebulon.fr/telecharger-zhpdiag.html
REF.:
