ZHPDiag : Présentation et Tutoriel

ZHPDiag est un ensemble d’utilitaires qui permettent d’analyser son ordinateur et supprimer des éléments malicieux à la manière d’OTL.
ZHPDiag génère un rapport (exemple) qui peux être analysé sur un forum de désinfection ou par Pjjoint. Si des éléments malicieux sont décelés, on peux alors utiliser des programmes adequates pour les supprimer (AdwCleaner, RogueKiller etc) mais aussi supprimer les éléments malicieux via un script de commandes.

Pour résumer donc ZHPDiag fournit :

  • Un programme d’analysede l’ordinateur ZHPDiag
  • Une partie suppression via des scripts de commandes : ZPHFix
  • ZHPDiag fournit aussi un outil ZHPSearch qui permet d’effectuer des recherches dans le registre Windows
  • ZHPScan : ZHPDiag embarque une base de malware, ce qui permet de reconnaître les lignes malicieuses, ZHPDiag peux donc être utilisé pour scanner de manière ponctuelle son système à la recherche d’élément malicieux.

NOTE : ZHPDiag peux être lancé en ligne de commande (mode batch) ce qui peux interresser les adminstrateurs (il doit aussi être possible d’effectuer un diff entre rapports afin d’obtenir les éléments qui ont été modifiés dans le système).
ZHPDiag peux être télécharger depuis les pages suivantes :

Générer et envoyer un rapport avec ZHPDiag

L’installation ne pose pas de réelle difficulté.
Un raccourci est créé dans le menu Démarrer / Tous les Programmes / ZHP

Pour générer un rapport cliquez sur l’icône 

Le rapport est alors généré, comme ci-dessous :

Le rapport est enregistré sur le bureau sous le nom ZHPDiag.txt
L’icône  permet d’ouvrir le site http://pjjoint.malekal.com afin d’y déposer le rapport à partir du bouton Parcourir.
Un lien vous est alors communiquer afin de partager le rapport pour une analyse par une personne tierce.

Présentation de ZHPDiag

Voici une présentation des icônes de la barre de gauche :

 Lance une analyse et créer un rapport ZHPDiag.txt sur le bureau

 Lance une analyse en mode HijackThis – Le rapport généré est au format HijackThis

  ZHPScan :Recherche d’éléments malicieux à paritr de la base de données de ZHPDiag

 Lance ZHPSearch (voir plus bas)

 Copie les éléments dans le presse papier

 Permet d’enregistrer « sous » le rapport affiché dans un fichier de son choix.

 

Les différentes lignes générés correspondent à des éléments du systèmes, ces lignes ne seront pas détaillées dans ce billet.
Le but étant à travers le contenu des lignes de déceler des éléments malicieux contenus dans divers éléments du systèmes.
L’aide de ZHPDiag (dernière icône) fournit tous les détails dans la partie ZHPDiag et modules de bases et modules additionnels.

Pour rappel la page suivante fournit les lignes des autres programmes d’analyses qui sont assez similaires : OTL/HijackThis & localisation des malwares sur le système

Notez qu’il est possible d’enlever des éléments du scan à partir de l’icône tournes vis.
Décochez alors les éléments que vous ne souhaitez pas voir sur l’analyse.

ZHPScan

Voici un exemple de détections de PUPs/LPIs avec la fonction ZHPScan : 
Le résultat peux être enregistré dans un fichier texte à partir de l’icône disquette bleue.

Notez que certains éléments peuvent être détectés sur un scan « normal » dans la partie Scan Additionnel (O88)

ZPHSearch

ZPHSearch est un module qui permet d’effectuer des recherches dans la base de registre ou dans les fichiers.
La recherche se fait à partir d’un script de commandes, réservé donc aux utilisateurs avertis qui ne sera pas détaillé ici.

Ci-dessous, une recherche de l’Adware.DoubleD via la liste Listes spéciales.
ZPHDiag inscrit les éléments du registre, vous devez ensuite cliquer sur l’icône  pour lancer la recherche. Le résultat s’affiche (ici clé absente), vous pouvez enregistrer le résultat à partir de l’icône disquette.
ZHPDiag fournit en bas des icônes pour créer le script de commandes.

Mettre à jour ZHPDiag

ZHPDiag peux être mis à jour (incluant une mise à jour de la base de données de reconnaissances de malwares).
La mise à jour se fait à partir de l’icône