ZHPDiag est un outil de diagnostic extrait du logiciel Zeb Help Process. Le logiciel permet d'effectuer un diagnostic rapide et complet de son système d'exploitation . Il est basé en partie sur le principe d'HijackThis. Il scrute votre Base de Registre et énumère les zones sensibles qui sont susceptibles d'être piratées.
A noter qu'il n'écrit rien dans votre Base de Registres et ne procède à aucun nettoyage.
Il est totalement compatible avec l'analyse de Zeb Help Process et ne nécessite aucune installation.
télécharger sur zébulon: http://telechargement.zebulon.fr/telecharger-zhpdiag.html
http://www.premiumor...ss/zhpdiag.html
LA CREATION DE ZHPDiag
A partir de la version 2.30, Zeb Help Process se dote de son propre outil de dignostic avec ZHPDiag. Pourquoi un tel outil alors même que d'autres assurent une fonction quasi analogue, la raison se résume en un seul mot l'autonomie. En effet, jusqu'aux précédentes version, ZHP se limitait exclusivement à analyser des rapports en provenance d'autres outils de diagnostic, mais qu'adviendrait-il si tous ces outils venaient à disparaître ?, eh bien la réponse est simple, ZHP serait condamné à disparaître faute de matière première. C'est donc avant tout dans un souci de pérennité que j'ai créé cet outil. J'espère qu'il vous apportera les éléments nécessaires, voire indispensables, à la traque d'éléments nuisibles encombrant votre système d'exploitation.
Le lancement de l'outil se fait en cliquant sur le bouton outils.
L'affichage du rapport se fait dans la zone rapport (Partie supérieure de l'écran) de façon à ce que ZHP puisse l'analyser dans la zone Résultat. Le rapport de ZHPDiag se présente en trois parties, l'en-tête, le corps et les compléments de recherche.
1 - L'EN-TETE DU RAPPORT.
L'en-tête du rapport comporte la version de l'outil, la date d'enregistrement du scan, la plateforme système et la version des navigateurs Internet explorer, Mozilla Firefox et Opera.
2 - LE CORPS DU RAPPORT.
Processus lancés
Ce module recense l'ensemble des processus qui sont lancés au démarrage du système. Il proviennent d'une part de données situées dans les clés Run,RunOnce ou RunService de la Base De Registres et d'autre part de données provenant du demarrage de certains services.
Analyse des lignes F0, F1, F2, F3 - IniFiles, Autoloading programs
- Modification d'une valeur System.ini (F2)
- Modification d'une valeur Win.ini (F3)
Analyse des lignes M1, du navigateur Mozilla Firefox
M1 - Pages de recherche de Mozilla Firefox
Lié au module SPR (Search Page Redirection). De nombreuses extensions sont proposées pour le navigateur Firefox. Certaines d'entre elles, non désirées, peuvent provoquer une redirection de la page de recherche. Afin de pister une éventuelle redirection, l'outil énumère l'ensemble des dossiers comportant une redirection. Ensuite l'analyse de ZHP pourra déterminer la légitimite ou la nocivité de l'adresse spécifiée.
Analyse des lignes P1, du navigateur Opera
P1 - Plugin de navigateur Opera
Lié au module OPN (Opera Plugin Navigator). Il permet de lister l'ensemble des plugins installés pour le navigateur Opera. Certains plugins peuvent être des programmes malwares. L'analyse de ZHP permettra de les identifier.
Analyse des lignes R0, R1, R3 - Internet Explorer Start/Search pages URLs
R0 - Pages de démarrage d'Internet Explorer
Ce module recherche les paramètres de la page de démarrage par défaut du navigateur Microsoft Internet Explorer. Le piratage de la page de démarrage permet notamment l'affichage de popups indésirables
R1 - Pages de recherche d'Internet Explorer
Ce module recherche les paramètres de la page de recherche par défaut du navigateur Microsoft Internet Explorer
R3 Internet Explorer URLSearchHook
Ce module recherche les paramètres URLSearchHook du navigateur Microsoft Internet Explorer
Analyse des autres lignes (Others)
O1 - Redirection du fichier Hosts
Ce module recherche les détournements du fichier hosts qui contient les mappages de noms d'hôtes en adresses IP.
O2 - Browser Helper Objects de navigateur
Ce module recherche l'ensemble des Browser Helper Objects (BHO) installés. Un BHO est une application qui ajoute certaines fonctionnalités au navigateur Web.
O3 - Internet Explorer Toolbars
Ce module liste l'ensemble des barres d'outils (Toolbars) du navigateur Microsoft Internet Explorer.
O4 - Applications démarrées automatiquement par le registre
Ce module énumère l'ensemble des applications lancées au démarrage du système. Le traitement se fait à partir des clés de Base De Registres Run, RunOnce et RunServices.
O5 - Invisibilité de l'icône d'options IE dans le panneau de Configuration
Ce module affiche les paramètres contenus dans le fichier control.ini et correspondant au panneau de contrôle d'Internet Explorer.
O6 - Restriction de l'accès aux options IE par l'Administrateur
Ce module permet de rechercher dans la Base De Registres s'il y a restriction sur l'accès aux options d'Internet Explorer. A côté de la restriction faite par l'Administrateur, certains logiciels comme Spybot S&D peuvent provoquer la création de cette ligne lorsque l'option Verrouiller la page de démarrage est activée.
O7 - Restriction de l'accès à Regedit par l'Administrateur
Ce module permet de rechercher la valeur de clé de registre DisableRegedit. Selon la donnée de cette valeur ce clé, l'accès à la Base De Registres peut être totalement verrouillé.
O8 - Lignes supplémentaires dans le menu contextuel d'Internet Explorer
Ce module énumère les lignes supplémentaires dans le menu contextuel d'Internet Explorer. Cette action ajoute des éléments au menu contextuel lorsque l'on fait un clic droit sur une page Web.
O9 - Boutons situés sur la barre d'outils principale d'Internet Explorer
Ce module liste les éléments ajoutés dans la barre d'outils d'Internet Explorer ou dans le menu Outils d'IE
O10 - Piratages de Winsock LSP (Layered Service Provider)
Ce module est en cours d'étude et n'est pas encore disponible.
O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer
Ce module traite des Onglets supplémentaires dans les options avancées d'Internet Explorer. Le traitement se fait par lecture de clés de Registre.
O12 - Internet Explorer Plugins
Ce module énumère les programmes d'extension (plugins) d'Internet Explorer. Ces plugins sont lancés au démarrage du navigateur.
O13 - Piratage des prefixes d'URL d'Internet Explorer
Ce module recherche la valeur de la clé de Registre DefaultPrefix. Toutes les URL sont par défaut préfixées avec http://. Des pirates comme CoolWebSearch sont connus pour modifer ce préfixe.
O14 - Paramètres par défaut des options Internet Explorer
Ce module recherche les paramètres du fichier ereset.inf qui contient des options de Microsoft Internet Explorer.
Les lignes légitimes suivantes ne sont pas affichées :
O15 - Site indésirable dans la Zone de confiance d'Internet Explorer
Ce module recherche les sites indésirables placés dans la Zone de confiance d'Internet Explorer. Souvent AOL et CoolWebSearch s'insèrent silencieusement dans cette zone.
O16 - Objets ActiveX (Downloaded Program Files)
Ce module permet d'énumerer les objets ActiveX.
Les lignes légitimes issues de Java Runtime Environment nes sont pas affichées.
O17 - Piratage de domaine (Lop.com)
Ce module liste les modifications des serveurs DNS qui peuvent permettre une redirection vers un site malveillant.
O18 - Protocole additionnel et piratage de protocole
Ce module recense les modifications des protocoles par défaut pour pister les connexions.
O19 - Piratage de feuille de style Utilisateur
Ce module permet de rechercher un éventuel piratage de la feuille de style de l'utilisateur. Le détournement d'une feuille de style peut être utilisé pour l'affichage de popups.
O20 - Valeur de sous-clés Winlogon Notify
Ce module se charge d'énumérer les fichiers chargés via les sous-clés Winlogon Notify. Ces fichiers peuvent provenir d'infection Vundo.
O20 - Valeur de Registre AppInit_DLLs
Ce module se charge d'énumérer les fichiers chargés via la valeur de Registre AppInit_DLLs.
O21 - Clé de Registre autorun ShellServiceObjectDelayLoad
Lié au module SSODL (Shell Service Object Delay Load). Il permet de lister les fichiers chargés via la clé de Registre ShellServiceObjectDelayLoad.
O22 - Clé de Registre autorun SharedTaskScheduler
Ce module recense les éléments de la clé de Registre SharedTaskScheduler. Ces éléments sont lancés au démarrage du système et sont souvent le résultat d'une infection SmitFraud.
Les lignes suivantes légitimes de Windows ne sont pas affichées :
O23 - Services NT non Microsoft et non désactivés
Ce permet énumère l'ensemble des services lancés au démarrage du système. Les services génériques Microsoft et les services désactivés sont volontairement exclus de cette énumération.
024 - Enumération des composants Active Desktop
Ce module recense tous les composants Active Desktop. Ces ajouts de composants se rencontrent par exemple lors d'infections de type SmitFraud, mais pas seulement.
La ligne légitime par défaut Ma page d'accueil n'est pas affichée.
Aperçu dans le rapport
3 - LES COMPLEMENTS DE RECHERCHE.
A côté du rapport de base, l'outil dispose maintenant d'un module permettant la sélection d'un ou plusieurs compléments de rapport. Il démarre à partir des lignes de rapport O39
O39 - Tâches planifiées en automatique
Lié au module APT (Automatic Planified Task). De nombreux logiciels ont pour fonction la surveillance ou l'update du système. Pour chacun d'eux, une tâche planifiée peut être créée et se déclencher en fonction d'une périodicité établie. Ce procédé de tâche planifiée pouvant être détourné par certains malwares, l'outil permet l'affichage de l'ensemble de ces événements. Ensuite une analyse de ZHP pourra déterminer la légitimité ou la nocivité d'une telle tâche.
O40 - Composants installés (ActiveSetup Installed Components)
Lié au module ASIC (ActiveSetup Installed Components). Il permet de lister tous les composants Active Setup énumérés dans la Base De Registres.
O41 - Pilotes lancés au démarrage
Ce module liste tous les pilotes (drivers) de périphériques qui sont lancés au démarrage du système.
O42 - Logiciels installés
Ce module liste tous les logiciels installés en excluant les mises à jour et correctifs Microsoft Windows.
O43 - Contenu des dossiers Fichiers Communs
*** Disponible seulement avec Zeb Help Process ***
Lié au module CFD (Common File Directory). Il permet de lister tous les sous-dossiers Fichiers Communs et Common Files du dossier %ProgramFiles%
O44 - Derniers fichiers modifiés ou créés sous System32
*** Disponible seulement avec Zeb Help Process ***
Lié au module LFC (Last File Created). Il permet de lister tous les fichiers créés ou modifiés dans les dossiers System32 et System32/Drivers. La période de recherche est limitée aux 3 derniers mois.
O45 - Derniers fichiers créés dans Windows Prefetcher
*** Disponible seulement avec Zeb Help Process ***
Lié au module LFP (Last File Create Prefetch). Il permet de lister tous les fichiers créés ou modifiés dans le dossier Prefetcher. La période de recherche est limitée aux 3 derniers mois.
O46 - ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer.
Lié au module SEH (Shell Execute Hooks). Il permet de recenser toutes les opérations et fonctions au démarrage de Windows Explorer.
Aperçu dans le rapport en version Helper :
O47 - Export de clé d'application autorisée
Lié au module AAKE (Authorized Application Key Export). Il permet de lister toutes les valeurs et données pour les applications autorisées pour les deux clés suivantes :
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
Aperçu dans le rapport
Equivalence dans les rapports DiagHelp, SDFix
O48 - Déni du service Local Security Authority (LSA)
Lié au module LSA. Pour son fonctionnement, Microsoft Windows NT utilise un service d'autorité Locale de sécurité ou LSA (Local Security Authority). Une requête au service LSA peut être utilisée afin d'exploiter une vulnérabilité de sécurité du système. Une utilisation abusive de cette vulnérabilité permet l'exécution d'un programme en provoquant un déni de service. Ainsi, le service LSA cesse de répondre et demande le démarrage de l'ordinateur. Au redémarrage la ressource malware installée sera automatiquement chargée afin de poursuivre son action.
- Les attaquent portent sur la clé de Base de Registres [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA],
avec remplacement de la donnée des valeurs Notification Packages et Authentication Packages.
- La donnée par défaut de la valeur Authentication Packages est msv1_0 et fait référence à la ressource système %System32%\msv1_0.dll (Microsoft Authentication Package v1.0)
- La donnée par défaut de la valeur Notification Packages est scecli et fait référence à la ressource système %System32%\scecli.dll (Microsoft Moteur du client de l'Éditeur de configuration)
- L'infection Vundo utilise cette vulnérabilité de sécurité et installe sa propre ressource. MalwareByte's AntiMalware (MBAM) recense ce type d'attaque de service LSA.
Appercu dans le rapport en mode Helper (ces deux lignes sont bien sûr traitées légitimes/génériques lors de l'analyse générale de ZHP)
O70 - Recherche particulière de dossier, fichier ou clé de BDR
*** Disponible seulement avec Zeb Help Process ***
Ce module complémentaire permet une recherche particulière de dossier, de fichier ou de clé de Base De Registres (BDR). La recherche se fait sur les unités de disque spécifiées et comprend les dossiers/fichiers cachés. La liste des fichiers, dossiers ou clé/valeur de BDR se saisit dans la zone rapport avec obligatoirement la chaine ZHPDiag comme première ligne et en respectant le format ci-dessous :
Une fois cette opération réalisée, un clic sur le bouton Outils lancera l'exécution de ZHPDiag et intégrera ces lignes au début du rapport avec une indication de présence ou d'absence. Le lancement de l'analyse de ZHP permettra une coloration en rouge des lignes présentes
O71 - ZHPSearch, outil de recherche d'infection de Base de Registres
*** Disponible seulement avec Zeb Help Process ***
Lié au module BDRI (Base De Registres Infections). ZHPSearch est un module complémentaire de ZHPDiag. Il permet la recherche d'infections BT, Combo, MSN , SD, SmitFraud directement dans la Base De Registres Windows. Ce module en version bêta a été testé sur plus de 17000 clés/valeurs de BDR.
Aperçu dans le rapport en version Helper
Description complète de ZHPDiag
http://www.premiumor...ss/zhpdiag.html
programme ici: http://telechargement.zebulon.fr/telecharger-zhpdiag.html
REF.:
A noter qu'il n'écrit rien dans votre Base de Registres et ne procède à aucun nettoyage.
Il est totalement compatible avec l'analyse de Zeb Help Process et ne nécessite aucune installation.
télécharger sur zébulon: http://telechargement.zebulon.fr/telecharger-zhpdiag.html
http://www.premiumor...ss/zhpdiag.html
LA CREATION DE ZHPDiag
A partir de la version 2.30, Zeb Help Process se dote de son propre outil de dignostic avec ZHPDiag. Pourquoi un tel outil alors même que d'autres assurent une fonction quasi analogue, la raison se résume en un seul mot l'autonomie. En effet, jusqu'aux précédentes version, ZHP se limitait exclusivement à analyser des rapports en provenance d'autres outils de diagnostic, mais qu'adviendrait-il si tous ces outils venaient à disparaître ?, eh bien la réponse est simple, ZHP serait condamné à disparaître faute de matière première. C'est donc avant tout dans un souci de pérennité que j'ai créé cet outil. J'espère qu'il vous apportera les éléments nécessaires, voire indispensables, à la traque d'éléments nuisibles encombrant votre système d'exploitation.
Le lancement de l'outil se fait en cliquant sur le bouton outils.
L'affichage du rapport se fait dans la zone rapport (Partie supérieure de l'écran) de façon à ce que ZHP puisse l'analyser dans la zone Résultat. Le rapport de ZHPDiag se présente en trois parties, l'en-tête, le corps et les compléments de recherche.
1 - L'EN-TETE DU RAPPORT.
L'en-tête du rapport comporte la version de l'outil, la date d'enregistrement du scan, la plateforme système et la version des navigateurs Internet explorer, Mozilla Firefox et Opera.
Rapport de ZHPDiag v1.0 par Nicolas Coolman Enregistré le 22/07/2008 15:28:43 Platform : Microsoft Windows XP (5.1.2600) Service Pack 2 MSIE: Internet Explorer v6.0.2900.2180 OPIE: Opera 9.51 MFIE: Mozilla Firefox (2.0.0.11)
2 - LE CORPS DU RAPPORT.
Processus lancés
Ce module recense l'ensemble des processus qui sont lancés au démarrage du système. Il proviennent d'une part de données situées dans les clés Run,RunOnce ou RunService de la Base De Registres et d'autre part de données provenant du demarrage de certains services.
---\\ Processus lancés C:\WINDOWS\System32\alg.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
Analyse des lignes F0, F1, F2, F3 - IniFiles, Autoloading programs
- Modification d'une valeur System.ini (F2)
- Modification d'une valeur Win.ini (F3)
Analyse des lignes M1, du navigateur Mozilla Firefox
M1 - Pages de recherche de Mozilla Firefox
Lié au module SPR (Search Page Redirection). De nombreuses extensions sont proposées pour le navigateur Firefox. Certaines d'entre elles, non désirées, peuvent provoquer une redirection de la page de recherche. Afin de pister une éventuelle redirection, l'outil énumère l'ensemble des dossiers comportant une redirection. Ensuite l'analyse de ZHP pourra déterminer la légitimite ou la nocivité de l'adresse spécifiée.
---\\ Pages de recherche de Mozilla Firefox (M1) M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\talkback@mozilla.org
Analyse des lignes P1, du navigateur Opera
P1 - Plugin de navigateur Opera
Lié au module OPN (Opera Plugin Navigator). Il permet de lister l'ensemble des plugins installés pour le navigateur Opera. Certains plugins peuvent être des programmes malwares. L'analyse de ZHP permettra de les identifier.
---\\ Plugin de navigateur Opera (P1) P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\npdsplay.dll P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\NPSWF32.dll P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\NPSWF32_FlashUtil.exe P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\npwmsdrm.dll
Analyse des lignes R0, R1, R3 - Internet Explorer Start/Search pages URLs
R0 - Pages de démarrage d'Internet Explorer
Ce module recherche les paramètres de la page de démarrage par défaut du navigateur Microsoft Internet Explorer. Le piratage de la page de démarrage permet notamment l'affichage de popups indésirables
R1 - Pages de recherche d'Internet Explorer
Ce module recherche les paramètres de la page de recherche par défaut du navigateur Microsoft Internet Explorer
R3 Internet Explorer URLSearchHook
Ce module recherche les paramètres URLSearchHook du navigateur Microsoft Internet Explorer
Analyse des autres lignes (Others)
O1 - Redirection du fichier Hosts
Ce module recherche les détournements du fichier hosts qui contient les mappages de noms d'hôtes en adresses IP.
O2 - Browser Helper Objects de navigateur
Ce module recherche l'ensemble des Browser Helper Objects (BHO) installés. Un BHO est une application qui ajoute certaines fonctionnalités au navigateur Web.
O3 - Internet Explorer Toolbars
Ce module liste l'ensemble des barres d'outils (Toolbars) du navigateur Microsoft Internet Explorer.
O4 - Applications démarrées automatiquement par le registre
Ce module énumère l'ensemble des applications lancées au démarrage du système. Le traitement se fait à partir des clés de Base De Registres Run, RunOnce et RunServices.
O5 - Invisibilité de l'icône d'options IE dans le panneau de Configuration
Ce module affiche les paramètres contenus dans le fichier control.ini et correspondant au panneau de contrôle d'Internet Explorer.
O6 - Restriction de l'accès aux options IE par l'Administrateur
Ce module permet de rechercher dans la Base De Registres s'il y a restriction sur l'accès aux options d'Internet Explorer. A côté de la restriction faite par l'Administrateur, certains logiciels comme Spybot S&D peuvent provoquer la création de cette ligne lorsque l'option Verrouiller la page de démarrage est activée.
O7 - Restriction de l'accès à Regedit par l'Administrateur
Ce module permet de rechercher la valeur de clé de registre DisableRegedit. Selon la donnée de cette valeur ce clé, l'accès à la Base De Registres peut être totalement verrouillé.
O8 - Lignes supplémentaires dans le menu contextuel d'Internet Explorer
Ce module énumère les lignes supplémentaires dans le menu contextuel d'Internet Explorer. Cette action ajoute des éléments au menu contextuel lorsque l'on fait un clic droit sur une page Web.
O9 - Boutons situés sur la barre d'outils principale d'Internet Explorer
Ce module liste les éléments ajoutés dans la barre d'outils d'Internet Explorer ou dans le menu Outils d'IE
O10 - Piratages de Winsock LSP (Layered Service Provider)
Ce module est en cours d'étude et n'est pas encore disponible.
O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer
Ce module traite des Onglets supplémentaires dans les options avancées d'Internet Explorer. Le traitement se fait par lecture de clés de Registre.
O12 - Internet Explorer Plugins
Ce module énumère les programmes d'extension (plugins) d'Internet Explorer. Ces plugins sont lancés au démarrage du navigateur.
O13 - Piratage des prefixes d'URL d'Internet Explorer
Ce module recherche la valeur de la clé de Registre DefaultPrefix. Toutes les URL sont par défaut préfixées avec http://. Des pirates comme CoolWebSearch sont connus pour modifer ce préfixe.
O14 - Paramètres par défaut des options Internet Explorer
Ce module recherche les paramètres du fichier ereset.inf qui contient des options de Microsoft Internet Explorer.
Les lignes légitimes suivantes ne sont pas affichées :
O14 - IERESET.INF: START_PAGE_URL=START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" O14 - IERESET.INF: SEARCH_PAGE_URL=SEARCH_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" O14 - IERESET.INF: SAFESITE_VALUE=SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
O15 - Site indésirable dans la Zone de confiance d'Internet Explorer
Ce module recherche les sites indésirables placés dans la Zone de confiance d'Internet Explorer. Souvent AOL et CoolWebSearch s'insèrent silencieusement dans cette zone.
O16 - Objets ActiveX (Downloaded Program Files)
Ce module permet d'énumerer les objets ActiveX.
Les lignes légitimes issues de Java Runtime Environment nes sont pas affichées.
O17 - Piratage de domaine (Lop.com)
Ce module liste les modifications des serveurs DNS qui peuvent permettre une redirection vers un site malveillant.
O18 - Protocole additionnel et piratage de protocole
Ce module recense les modifications des protocoles par défaut pour pister les connexions.
O19 - Piratage de feuille de style Utilisateur
Ce module permet de rechercher un éventuel piratage de la feuille de style de l'utilisateur. Le détournement d'une feuille de style peut être utilisé pour l'affichage de popups.
O20 - Valeur de sous-clés Winlogon Notify
Ce module se charge d'énumérer les fichiers chargés via les sous-clés Winlogon Notify. Ces fichiers peuvent provenir d'infection Vundo.
O20 - Valeur de Registre AppInit_DLLs
Ce module se charge d'énumérer les fichiers chargés via la valeur de Registre AppInit_DLLs.
O21 - Clé de Registre autorun ShellServiceObjectDelayLoad
Lié au module SSODL (Shell Service Object Delay Load). Il permet de lister les fichiers chargés via la clé de Registre ShellServiceObjectDelayLoad.
O22 - Clé de Registre autorun SharedTaskScheduler
Ce module recense les éléments de la clé de Registre SharedTaskScheduler. Ces éléments sont lancés au démarrage du système et sont souvent le résultat d'une infection SmitFraud.
Les lignes suivantes légitimes de Windows ne sont pas affichées :
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {...} O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {...}
O23 - Services NT non Microsoft et non désactivés
Ce permet énumère l'ensemble des services lancés au démarrage du système. Les services génériques Microsoft et les services désactivés sont volontairement exclus de cette énumération.
024 - Enumération des composants Active Desktop
Ce module recense tous les composants Active Desktop. Ces ajouts de composants se rencontrent par exemple lors d'infections de type SmitFraud, mais pas seulement.
La ligne légitime par défaut Ma page d'accueil n'est pas affichée.
Aperçu dans le rapport
---\\ Enumération des composants Active Desktop (O24) O24 - Desktop Component 0: Ma page d'accueil - file:About:Home O24 - Desktop Component 1: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
3 - LES COMPLEMENTS DE RECHERCHE.
A côté du rapport de base, l'outil dispose maintenant d'un module permettant la sélection d'un ou plusieurs compléments de rapport. Il démarre à partir des lignes de rapport O39
O39 - Tâches planifiées en automatique
Lié au module APT (Automatic Planified Task). De nombreux logiciels ont pour fonction la surveillance ou l'update du système. Pour chacun d'eux, une tâche planifiée peut être créée et se déclencher en fonction d'une périodicité établie. Ce procédé de tâche planifiée pouvant être détourné par certains malwares, l'outil permet l'affichage de l'ensemble de ces événements. Ensuite une analyse de ZHP pourra déterminer la légitimité ou la nocivité d'une telle tâche.
---\\ Tâches planifiées en automatique (O39) O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\desktop.ini O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\SA.DAT
O40 - Composants installés (ActiveSetup Installed Components)
Lié au module ASIC (ActiveSetup Installed Components). Il permet de lister tous les composants Active Setup énumérés dans la Base De Registres.
---\\ Composants installés (ActiveSetup Installed Components) (040) O40 - ASIC: Lecteur Windows Media - {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP O40 - ASIC: Internet Explorer - {26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE O40 - ASIC: Personnalisation du navigateur - {60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
O41 - Pilotes lancés au démarrage
Ce module liste tous les pilotes (drivers) de périphériques qui sont lancés au démarrage du système.
---\\ Pilotes lancés au démarrage (O41) O41 - Driver: Suppresseur d'écho acoustique (Noyau Microsoft) (aec) - C:\WINDOWS\system32\drivers\aec.sys O41 - Driver: Environnement de prise en charge de réseau AFD (AFD) - C:\WINDOWS\System32\drivers\afd.sys O41 - Driver: Pilote de processeur AMD K7 (AmdK7) - C:\WINDOWS\System32\DRIVERS\amdk7.sys O41 - Driver: Protocole client ARP 1394 (Arp1394) - C:\WINDOWS\System32\DRIVERS\arp1394.sys
O42 - Logiciels installés
Ce module liste tous les logiciels installés en excluant les mises à jour et correctifs Microsoft Windows.
---\\ Logiciels installés (O42) O42 - Logiciel: Adobe Flash Player Plugin O42 - Logiciel: Adobe Photoshop 7.0 O42 - Logiciel: Avira AntiVir Personal - Free Antivirus O42 - Logiciel: CCleaner (remove only)
O43 - Contenu des dossiers Fichiers Communs
*** Disponible seulement avec Zeb Help Process ***
Lié au module CFD (Common File Directory). Il permet de lister tous les sous-dossiers Fichiers Communs et Common Files du dossier %ProgramFiles%
---\\ Contenu des dossiers Fichiers Communs (O43) O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\ACD Systems O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Adobe O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Borland Shared O43 - CFD:Common File Directory - C:\Program Files\Common Files\Microsoft Shared
O44 - Derniers fichiers modifiés ou créés sous System32
*** Disponible seulement avec Zeb Help Process ***
Lié au module LFC (Last File Created). Il permet de lister tous les fichiers créés ou modifiés dans les dossiers System32 et System32/Drivers. La période de recherche est limitée aux 3 derniers mois.
---\\ Derniers fichiers modifiés ou créés sous System32 (O44) O44 - LFC:Last File Created - C:\WINDOWS\System32\dnsapi.dll -->20/06/2008 O44 - LFC:Last File Created - C:\WINDOWS\System32\java.exe -->10/06/2008 O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008 O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\avipbb.sys -->19/07/2008
O45 - Derniers fichiers créés dans Windows Prefetcher
*** Disponible seulement avec Zeb Help Process ***
Lié au module LFP (Last File Create Prefetch). Il permet de lister tous les fichiers créés ou modifiés dans le dossier Prefetcher. La période de recherche est limitée aux 3 derniers mois.
---\\ Derniers fichiers créés par Windows Prefetcher (O45) 045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ACDSEE8.EXE-2C7AF977.pf -->24/07/2008 045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ADDALIAS.EXE-184750BD.pf -->19/07/2008 045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ADDALIAS.EXE-2B12A6B4.pf -->23/07/2008
O46 - ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer.
Lié au module SEH (Shell Execute Hooks). Il permet de recenser toutes les opérations et fonctions au démarrage de Windows Explorer.
Aperçu dans le rapport en version Helper :
---\\ ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer (O46) O46 - SEH:ShellExecuteHooks - URL Exec Hook - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - shell32.dll => Microsoft Windows Shell Ortak
O47 - Export de clé d'application autorisée
Lié au module AAKE (Authorized Application Key Export). Il permet de lister toutes les valeurs et données pour les applications autorisées pour les deux clés suivantes :
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
Aperçu dans le rapport
---\\ Export de clé d'application autorisée (O47) 047 - AAKE:Key Export - "C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorateur Windows"
Equivalence dans les rapports DiagHelp, SDFix
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorateur Windows"
O48 - Déni du service Local Security Authority (LSA)
Lié au module LSA. Pour son fonctionnement, Microsoft Windows NT utilise un service d'autorité Locale de sécurité ou LSA (Local Security Authority). Une requête au service LSA peut être utilisée afin d'exploiter une vulnérabilité de sécurité du système. Une utilisation abusive de cette vulnérabilité permet l'exécution d'un programme en provoquant un déni de service. Ainsi, le service LSA cesse de répondre et demande le démarrage de l'ordinateur. Au redémarrage la ressource malware installée sera automatiquement chargée afin de poursuivre son action.
- Les attaquent portent sur la clé de Base de Registres [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA],
avec remplacement de la donnée des valeurs Notification Packages et Authentication Packages.
- La donnée par défaut de la valeur Authentication Packages est msv1_0 et fait référence à la ressource système %System32%\msv1_0.dll (Microsoft Authentication Package v1.0)
- La donnée par défaut de la valeur Notification Packages est scecli et fait référence à la ressource système %System32%\scecli.dll (Microsoft Moteur du client de l'Éditeur de configuration)
- L'infection Vundo utilise cette vulnérabilité de sécurité et installe sa propre ressource. MalwareByte's AntiMalware (MBAM) recense ce type d'attaque de service LSA.
Appercu dans le rapport en mode Helper (ces deux lignes sont bien sûr traitées légitimes/génériques lors de l'analyse générale de ZHP)
---\\ Déni du service Local Security Authority (LSA) (O48) O48 - LSA:Local Security Authority Authentication Packages - C:\WINDOWS\System32\msv1_0.dll => Microsoft Authentication Package v1.0 O48 - LSA:Local Security Authority Notification Packages - C:\WINDOWS\System32\scecli.dll => Microsoft Moteur du client de l'Éditeur de configuration
O70 - Recherche particulière de dossier, fichier ou clé de BDR
*** Disponible seulement avec Zeb Help Process ***
Ce module complémentaire permet une recherche particulière de dossier, de fichier ou de clé de Base De Registres (BDR). La recherche se fait sur les unités de disque spécifiées et comprend les dossiers/fichiers cachés. La liste des fichiers, dossiers ou clé/valeur de BDR se saisit dans la zone rapport avec obligatoirement la chaine ZHPDiag comme première ligne et en respectant le format ci-dessous :
ZHPDiag C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32 C:\WINDOWS\System32\upml d:\temp\scr2.jpg d:\temp\scr3.jpg[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTim [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] C:\WINDOWS\System32\upm
Une fois cette opération réalisée, un clic sur le bouton Outils lancera l'exécution de ZHPDiag et intégrera ces lignes au début du rapport avec une indication de présence ou d'absence. Le lancement de l'analyse de ZHP permettra une coloration en rouge des lignes présentes
Citation
---\\ Recherche particulière de dossier, fichier ou clé de BDR (O70)
O70 - User: C:\WINDOWS\System32\alg.exe => Fichier PRESENT
O70 - User: C:\WINDOWS\System32 => Dossier PRESENT
O70 - User: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer => Valeur de clé PRESENTE
O70 - User: C:\WINDOWS\System32\upml => Dossier/Fichier ABSENT
O70 - User: C:\WINDOWS\System32\alg.exe => Fichier PRESENT
O70 - User: C:\WINDOWS\System32 => Dossier PRESENT
O70 - User: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer => Valeur de clé PRESENTE
O70 - User: C:\WINDOWS\System32\upml => Dossier/Fichier ABSENT
O71 - ZHPSearch, outil de recherche d'infection de Base de Registres
*** Disponible seulement avec Zeb Help Process ***
Lié au module BDRI (Base De Registres Infections). ZHPSearch est un module complémentaire de ZHPDiag. Il permet la recherche d'infections BT, Combo, MSN , SD, SmitFraud directement dans la Base De Registres Windows. Ce module en version bêta a été testé sur plus de 17000 clés/valeurs de BDR.
Aperçu dans le rapport en version Helper
O71 - BDRI:[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:antispy - C:\Program Files\IEAntivirus\antivirus.exe => Infection SmitFraud (IEAntiVirus.Rog)
Description complète de ZHPDiag
http://www.premiumor...ss/zhpdiag.html
programme ici: http://telechargement.zebulon.fr/telecharger-zhpdiag.html
REF.: