[NicolasCoolman]

Hello,Objet :ZHPCleaner démarre la prise en compte de l'infection générique par l'hijacker/Adware Sambreel. Cette infection touche à  la fois à  l'explorateur et à  la Base de Registres, donc la mise en place se fera progressivement.Caractéristiques :- Déplacement des fichiers et des dossiers "Sambreel" dans la quarantaine de ZHP- Suppression des clés Tracing. Aperà§u dans ZHPCleaner :

~ ZHPCleaner v2014.8.17.68 by Nicolas Coolman (17/08/2014)---\\ Suppression générique de l'infection par Hijacker SambreelDEPLACà‰ : C:\Program Files (x86)\LinkSwift --> C:\Users\Coolman\AppData\Roaming\ZHP\QuarantineDEPLACà‰ : C:\Program Files (x86)\LinkSwift\Bin --> C:\Users\Coolman\AppData\Roaming\ZHP\QuarantineDEPLACà‰ : C:\Program Files (x86)\LinkSwift\LinkSwiftBHO.dll --> C:\Users\Coolman\AppData\Roaming\ZHP\QuarantineDEPLACà‰ : C:\Program Files (x86)\LinkSwift\updateLinkSwift.exe --> C:\Users\Coolman\AppData\Roaming\ZHP\QuarantineSUPPRIMà‰ : HKLM64\SOFTWARE\Microsoft\Tracing\WexInstallerUpdater_RASMANCSSUPPRIMà‰ : HKLM64\SOFTWARE\Microsoft\Tracing\WexInstallerUpdater_RASMANCS

Disponibilité de version :ZHPCleaner v2014.8.17.68

[NicolasCoolman]

Hello,Objet :Validation de changement de pages de démarrage de navigateurCaractéristiques :Cette nouvelle version donne à  l'utilisateur la possibilité de conserver la page de démarrage de son navigateur Firefox, Internet Explorer, Google Chrome et Opera.Dans la pratique, un message interrompt le scan en attente de validation :Lorsqu'une modification intervient dans un module, il prend la coloration rouge :Ce qui correspond par exemple à  cette ligne dans le rapport :

---\\ Réparation de la page de démarrage du navigateur de Mozilla FirefoxREMPLACà‰ URL: user_pref("browser.startup.homepage", "http://fr.msn.com/");

En fin de recherche, l'interface ne doit comporter que des lignes bleus ou éventuellement rouges.Les modifications sont effectuées à  la fin de chaque module.Disponibilité de version :ZHPCleaner v2014.8.20.73

[NicolasCoolman]

Hello,Objet :Après le traitement des infections Multiplug et Sambreel, le module Browser Helper Object se dote de la détection CrossRider.Caractéristiques :- Copie des clés BHO dans le dossier de quarantaine de ZHP- Suppression des clés BHO. Aperà§u dans ZHPDiag:

...---\\ Browser Helper Objects de navigateur (O2)O2 - BHO: CrossriderApp0012765 [64Bits] - {11111111-1111-1111-1111-110111271165} . (.Innovative Apps - Savings Wave BHO.) -- C:\Program Files (x86)\Savings Wave\Savings Wave-bho.dllO2 - BHO: CrossriderApp0027096 [64Bits] - {11111111-1111-1111-1111-110211701196} . (.Corporate Inc - Services x86 BHO.) -- C:\Program Files (x86)\Services x86\Services x86-bho.dll O2 - BHO: CrossriderApp0031554 [64Bits] - {11111111-1111-1111-1111-110311151154} . (.Feven - Feven BHO.) -- C:\Program Files (x86)\Feven\Feven-bho.dll

Aperà§u dans ZHPCleaner :

... ---\\ Suppression de certains Browser Helper Object (BHO) nuisibles de navigateursSUPPRIMà‰: HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110111271165} (PUP.CrossRider)SUPPRIMà‰: HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110211701196} (PUP.CrossRider)SUPPRIMà‰: HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110311151154} (PUP.CrossRider)

Disponibilité de version :ZHPCleaner v2014.8.23.76

[NicolasCoolman]

Hello,Objet :- Recodage de toutes les tables,- Complément d'affichage pour les recherches génériques Multiplug et crossRider. Cette évolution est nécessaire afin de palier les éventuels faux positifs.Caractéristiques :- Pour les BHO, affiche la donnée de la Base de Registres et le nom du malware- Pour les dossiers d'extensions Chrome, affiche la donnée du fichier de préférences et le nom du malwareAperà§u dans ZHPCleaner :

...~ ZHPCleaner v2014.8.26.86 by Nicolas Coolman (26/08/2014)---\\ Suppression de certains Browser Helper Object (BHO) nuisibles de navigateursSUPPRIMà‰: HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36E5971C-3BB4-CD5C-2797-E4F399FB262F}|deAll4me (PUP.Deal4Me)SUPPRIMà‰: HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AB926337-E0B2-A794-9747-C379B0CEA107}|PPriceChopp (PUP.PriceChop)---\\ Suppression des extensions nuisibles de Google Chrome (Manifest).SUPPRIMà‰ EXT: ceenmgoldhkkegcnlieacjjhndklllkp [Frevens Pro] (PUP.CrossRider)SUPPRIMà‰ EXT: nhnidlkhhjebigglnmkofckoakonmahc [JooniCoupon] (PUP.JoniCoupon)

Disponibilité de version :ZHPCleaner v2014.8.25.86

[NicolasCoolman]

Hello,Objet :- Modification de l'affichage des lignes dans le rapportCaractéristiques :- Seules les modules ayant subi une modification seront imprimées, à  l'exception du fichier hôte,- Une information indique si l'utilisateur a refusé la modification,- Un bilan s'affiche en fin de rapport,- L'absence d'un navigateur est indiquée dans le bilan,Aperà§u dans ZHPCleaner :

...~ ZHPCleaner v2014.8.30.95 by Nicolas Coolman (30/08/2014)~ Run by Coolman (Administrator) (30/08/2014 09:50:30)~ WebSite : http://nicolascoolman.fr~ Forum : http://forum.nicolascoolman.fr~ State version : Version à  jour~ Report : C:\Users\Coolman\Desktop\ZHPCleaner.txt~ Report : C:\Users\Coolman\AppData\Roaming\ZHP\ZHPCleaner.txt~ Quarantine : C:\Users\Coolman\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt~ Windows 7, 64-bit Service Pack 1 (Build 7601)---\\ Restauration des paramètres proxy par défaut des navigateurs.REMPLACà‰ PARAMS: AutoConfigProxy ( Fakewininet.dll )REMPLACà‰ PARAMS: ProxyOverride ( *.local*norepair )---\\ Réparation du fichier hôte.~ Le fichier hôte est légitime. (21)---\\ Bilan de la réparation~ Réparation réalisée avec succès~ Ce navigateur est absent (Google Chrome)~ Réparation annulée par l'utilisateur (Mozilla Firefox)End of clean at 09:50:35

Disponibilité de version :ZHPCleaner v2014.8.30.95

[NicolasCoolman]

Hello,Objet : Lié au module SMI (Start Menu Internet). Il permet d'énumérer les navigateurs installés. Certains malwares détournent le lancement d'un navigateur internet afin de lancer leur propre processus malware. C'est le cas notamment des pirates de navigateurs (Hijackers) ou de certains rogues. Ils remplacent la valeur par défaut de la clé de Base de Registres au profit de leur propre valeur afin de pouvoir lancer une commande de type "ShellOpenCommand". Ainsi l'utilisateur est systèmatiquement rédirigé à  chaque lancement de son navigateur. Au début c'était généralement Microsoft Internet Explorer qui en était la cible avec le lancement de processus nuisibles. Aujourd'hui de plus en plus de navigateurs sont impactés avec des redirections vers des adresses malwares. ZHPcleaner se devait donc de traiter ces redirections.Caractéristiques :- Modifie la valeur par défaut de la clé ShellOpenCommand du navigateur concerné.Aperà§u dans ZHPDiag :

...---\\ Start Menu Internet (O68)O68 - StartMenuInternet: <chrome.exe> <>[HKLM\..\Shell\open\Command] (...) -- C:\Program Files\Google\Chrome\Application\chrome.exe "C:\Program Files\Google\Chrome\Application\chrome.exe" http://www.22find.com O68 - StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[HKLM\..\Shell\open\Command] (...) -- C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Mozilla Firefox\firefox.exe http://www.22find.com O68 - StartMenuInternet: <Google Chrome> <Google Chrome>[HKLM\..\Shell\open\Command] (...) -- C:\Program Files\Google\Chrome\Application\chrome.exe "C:\Program Files\Google\Chrome\Application\chrome.exe" http://www.22find.com O68 - StartMenuInternet: <IEXPLORE.EXE> <Internet Explorer>[HKLM\..\Shell\open\Command] (...) -- C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe http://www.22find.com

Aperà§u dans ZHPCleaner :

...~ ZHPCleaner v2014.8.30.96 by Nicolas Coolman (30/08/2014)~ Windows 7, 64-bit Service Pack 1 (Build 7601)---\\ Suppression des redirections de navigateurs (StartMenuInternet).REMPLACà‰ : HKLM\...\FIREFOX.EXE\Shell\open\Command\\"C:\Program Files (x86)\Mozilla Firefox\firefox.exe" http://www.22find.com (Hijacker.Browsers)REMPLACà‰ : HKLM\...\Google Chrome\Shell\open\Command\\"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://www.22find.com (Hijacker.Browsers)REMPLACà‰ : HKLM\...\IEXPLORE.EXE\Shell\open\Command\\C:\Program Files\Internet Explorer\iexplore.exe http://www.22find.com (Hijacker.Browsers)REMPLACà‰ : HKLM\...\Opera\Shell\open\Command\\"C:\Program Files (x86)\Opera\Opera.exe" http://www.22find.com (Hijacker.Browsers)REMPLACà‰ : HKLM\...\OperaStable\Shell\open\Command\\"C:\Program Files (x86)\Opera\Launcher.exe" http://www.22find.com (Hijacker.Browsers)REMPLACà‰ : HKLM\...\Torch.MXH6G63FGM4JY46T5S72UJ3A2M\Shell\open\Command\\"C:\Users\Coolman\AppData\Local\Torch\Application\torch.exe" http://www.22find.com (Hijacker.Browsers)---\\ Bilan de la réparation~ Réparation réalisée avec succèsEnd of clean at 18:21:37

Disponibilité de version :ZHPCleaner v2014.8.30.96

[NicolasCoolman]

Hello,Objet :Lié au module APT (Automatic Planified Task). De nombreux logiciels ont pour fonction la surveillance ou la mise à  jour du système. Pour chacun d'eux, une tà¢che planifiée peut être créée et se déclencher en fonction d'une périodicité établie. Ce procédé de tà¢che planifiée peut être détourné par certains malwares.L'infection par le PUP.CrossRider utilise largement ce procédé. Caractéristiques :- Déplace le fichier de tà¢che planifiée, d'extension "job" dans le dossier de quarantaine de ZHP.Aperà§u dans ZHPDiag :

...---\\ Tà¢ches planifiées en automatique (O39)(O68)O39 - APT:Automatic Planified Task - C:\Windows\Tasks\OfferBoxUpdate.job =>PUP.Offerbox

Aperà§u dans ZHPCleaner :

...~ ZHPCleaner v2014.9.1.99 by Nicolas Coolman (01/09/2014)~ Windows 7, 64-bit Service Pack 1 (Build 7601)---\\ Réparation des tà¢ches planifiées en automatique.DEPLACà‰: C:\Windows\Tasks\OfferBoxUpdate.job --> C:\Users\Coolman\AppData\Roaming\ZHP\Quarantine---\\ Bilan de la réparation~ Réparation réalisée avec succèsEnd of clean at 14:00:37

Disponibilité de version :ZHPCleaner v2014.9.1.99

[NicolasCoolman]

Hello,Objet :Traduction de ZHPCleaner en italien. Caractéristiques :ZHPCleaner est traduit en 4 langues (Anglais, Espagnol, Italien, Portugais) Aperà§u dans ZHPCleaner :

...~ ZHPCleaner v2014.9.2.104 by Nicolas Coolman (02/09/2014)~ Windows 7, 64-bit Service Pack 1 (Build 7601)---\\ Riparazione di operazioni pianificate automatiche.SPOSTATO: C:\Windows\Tasks\OfferBoxUpdate.job --> C:\Users\Coolman\AppData\Roaming\ZHP\Quarantine---\\ Risultato di riparazione~ Riparazione effettuata con successoEnd of clean at 14:00:37

Disponibilité de version :ZHPCleaner v2014.9.2.104

[NicolasCoolman]

Hello,Objet :- Rien de plus génant que d'avoir des pupups publicitaires qui s'affichent en cours de navigation sur votre navigateur. Toujours centré sur les navigateurs, ZHPCleaner se devait de s'intéresser aux spywares.- Lorsqu'un utilisateur effectue une réparation, l'ancien rapport est automatiquement écrasé. Ainsi si un utilisateur fait deux fois la réparation, le rapport sera vierge. C'est génant pour le helper qui n'a plus l'information nécessaire sur la réparation effectuée. Caractéristiques :- Démarrage du nouveau module de traitement des spywares.- Conservation des anciens rapports de suppression et affichage de la liste dans le rapport. Chaque rapport sera repéré avec la date et l'heure.Aperà§u dans ZHPCleaner :

...~ ZHPCleaner v2014.9.4.109 by Nicolas Coolman (04/09/2014)End of clean at 15:04:32===================ZHPCleaner-04092014-15_03_24.txtZHPCleaner-04092014-15_04_32.txt

Disponibilité de version :ZHPCleaner v2014.9.4.109

[NicolasCoolman]

Hello,Objet :ZHPCleaner se dote d'une restauration automatique des dossiers et des fichiers déplacés. Caractéristiques :- Un nouveau bouton nommé "Annuler" permet d'effectuer une restauration automatique des dossiers et des fichiers déplacés.- Si aucune réparation n'est faite, le bouton "Annuler" est désactivé.- Si l'on clique sur "Annuler", un message s'affiche demandant de confirmer la restauration.Fonctionnement :- Chaque suppression de fichier et/ou de dossier s'accompagne d'une écriture dans un fichier "ZHPQ_File.txt".- Ce fichier de quarantaine est créé dans le dossier %AppData%\ZHP- Chaque ligne du fichier "ZHPQ_File.txt" identifie un fichier ou un dossier déplacé.- Les fichiers sont répérés avec l'extension ".VIR".- Les dossiers sont répérés avec l'extension ".DIR".- Le format de ligne est le suivant <Fichier Source> -> <Fichier Destination>Aperà§u dans ZHPCleaner :

...---\\ Suppression des spywares.DEPLACà‰ : C:\Program Files (x86)\Yontoo32 --> C:\Users\Coolman\AppData\Roaming\ZHP\Quarantine (Adware.Yontoo)DEPLACà‰ : C:\Program Files (x86)\ZoomEx --> C:\Users\Coolman\AppData\Roaming\ZHP\Quarantine (Adware.ZoomEx)

Aperà§u du fichier de quarantaine "ZHPQ_File.txt"

...C:\Program Files (x86)\Yontoo32->C:\Users\Coolman\AppData\Roaming\ZHP\Quarantine\Yontoo32.DIRC:\Program Files (x86)\ZoomEx->C:\Users\Coolman\AppData\Roaming\ZHP\Quarantine\ZoomEx.DIR

NB : En fin de restauration de quarantaine le fichier "ZHPQ_File.txt" est supprimé.Disponibilité de version :ZHPCleaner v2014.9.6.111