[NicolasCoolman]

Hello,Objet :ZHPCleaner est maintenant doté d'une quarantaine registre.Caractéristiques :- En cas de suppression d"une donnée, d'une valeur ou d'une clé de registre, la clé est intégralement exportée dans le fichier de quarantaine registre nommé ZHPCleaner_Quarantine.txt. Ce fichier se trouve dans le dossier "%AppData%\ZHP"- Lorsqu'une demande de restauration est effectuée via le bouton "Annuler", le contenu de ce fichier est fusionné avec la base de Registres.- Il est donc recommandé de NE PAS SUPPRIMER ce fichier, il peut vous servir en cas de faux-positif.Aperà§u dans ZHPCleaner :

~ ZHPCleaner v2014.9.11.121by Nicolas Coolman (11/09/2014)---\\ Suppression des Adwares, PUPs, Spywares.SUPPRIMà‰: HKEY_CURRENT_USER\Software\ViewPoint_52 (Adware.MetaStream)---\\ Suppression générique de l'infection par Hijacker SambreelSUPPRIMà‰ : HKLM64\SOFTWARE\Microsoft\Tracing\WexInstallerUpdater_RASMANCSSUPPRIMà‰ : HKLM64\SOFTWARE\Microsoft\Tracing\WexInstallerUpdater_RASMANCS

Disponibilité de version :ZHPCleaner v2014.9.11.121

[NicolasCoolman]

Hello,Objet :Prise en charge du détournement de DNSCaractéristiques :La détection de ZHPCleaner se fait par recherche d'adresse IP dans sa base de données. En cas d'absence, la question est posée à  l'utilisateur s'il souhaite conserver le serveur.Aperà§u dans ZHPDiag :O17 - HKLM\System\CCS\Services\Tcpip\..\{0953A01B-7AE4-40A6-9B7C-8E9A51D270E3}: NameServer = 76.73.6.26,50.7.75.2O17 - HKLM\System\CCS\Services\Tcpip\..\{C02CAB3E-C922-4371-A1DD-E72CF76EF979}: NameServer = 26.13.1.2,51.8.22.1Aperà§u dans ZHPCleaner :

~ ZHPCleaner v2014.9.24.146 by Nicolas Coolman (24/09/2014)SUPPRIMà‰: [X64] HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6FD3E825-3233-4D18-BA50-5369B111E6AC} [76.73.6.26,50.7.75.2] (Hijacker.Indiepost)SUPPRIMà‰: [X64] HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C02CAB3E-C922-4371-A1DD-E72CF76EF979} [26.13.1.2,51.8.22.1] (Hijacker.Browser)

- La première ligne est automatiquement exécutée car l'adresse malware est présente dans la base de données,- La deuxième ligne montre que l'utilisateur a confirmé la suppression de l'adresse d'un serveur qu'il n'a pas installé.Disponibilité de version :ZHPCleaner v2014.9.24.146

[NicolasCoolman]

Hello,Objet :Prise en charge de Hijacker.ProxyCaractéristiques :Le logiciel est désormais capable de détecter la présence d'un hijacker. Lorsque ce sera le cas, la question ne sera plus poser à  l'utilisateur s'il connaà®t le proxy, La détection sera d'office notée dans le rapport avec l'inscription "Hijacker.Proxy" en fin de ligne.Disponibilité de version :ZHPCleaner v2014.11.2.204

[NicolasCoolman]

Hello,Objet :Cette évolution porte sur le navigateur Mozilla Firefox et concerne la prise en charge des profils utilisateurs.Caractéristiques :Jusqu'à  présent seul le premier dossier "Profiles" était pris en compte. Désormais tous les profils seront traités et le chemin du dossier sera renseigné dans le rapport.Aperà§u dans ZHPDiag :---\\ Recherche d'infection sur les navigateurs internet (SBI) (O69)O69 - SBI: prefs.js [Coolman - ft2yc33x.default] user_pref("extensions.astrmndasr.AL", 2); =>PUP.Astromenda O69 - SBI: prefs.js [Coolman - pm2yc27y.default] user_pref("extensions.astrmndasr.aflt", "ast_ggfc_14_42_ff"); =>PUP.Astromenda Aperà§u dans ZHPCleaner :---\\ Navigateur internet. (4)TROUVà‰ Firefox: C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\ft2yc33x.default\prefs.jsTROUVà‰ Firefox: [ft2yc33x.default] - user_pref("extensions.astrmndasr.AL", 2); (PUP.Astromenda)TROUVà‰ Firefox: C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\pm2yc27y.default\prefs.jsTROUVà‰ Firefox: [pm2yc27y.default] - user_pref("extensions.astrmndasr.aflt", "ast_ggfc_14_42_ff", 2); (PUP.Astromenda)Disponibilité de version :ZHPCleaner v2014.11.3.205

[NicolasCoolman]

Hello,Objet :Cette évolution porte sur le navigateur Mozilla Firefox et concerne les extensions.Caractéristiques :Les extensions du navigateur Mozilla Firefox son prises en charge dans un module qui traite les dossiers d'extension xpi. Elles concernent tous les profils Firefox créés par l'utilisateur. La prochaine version permettra une recherche complémentaire des autres dossiers d'extension incluant une liste récursive de fichiers.Aperà§u dans ZHPCleaner :---\\ Navigateur internet. (13)TROUVà‰ FF: C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\dt2yc37x.default\Extensions\wrigtdamon@yahoo.com (PUP.CrossRider)TROUVà‰ FF: C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\dt2yc37x.default\Extensions\wrigtdamon@yahoo.com\addons.json (PUP.CrossRider)TROUVà‰ FF: C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\dt2yc37x.default\Extensions\wrigtdamon@yahoo.com\blocklist.xml (PUP.CrossRider)TROUVà‰ FF: C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\dt2yc37x.default\Extensions\wrigtdamon@yahoo.com\cert8.db (PUP.CrossRider)TROUVà‰ FF: C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\dt2yc37x.default\Extensions\wrigtdamon@yahoo.com\compatibility.ini (PUP.CrossRider)TROUVà‰ FF: C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\dt2yc37x.default\Extensions\wrigtdamon@yahoo.com\content-prefs.sqlite (PUP.CrossRider)TROUVà‰ FF: C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\dt2yc37x.default\Extensions\wrigtdamon@yahoo.com\cookies.sqlite (PUP.CrossRider)TROUVà‰ FF: C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\dt2yc37x.default\Extensions\wrigtdamon@yahoo.com\extensions.ini (PUP.CrossRider)TROUVà‰ FF: C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\dt2yc37x.default\Extensions\wrigtdamon@yahoo.com\extensions.json (PUP.CrossRider)TROUVà‰ FF: C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\dt2yc37x.default\Extensions\wrigtdamon@yahoo.com\formhistory.sqlite (PUP.CrossRider)TROUVà‰ FF: C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\dt2yc37x.default\Extensions\wrigtdamon@yahoo.com\healthreport.sqlite (PUP.CrossRider)TROUVà‰ FF: C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\dt2yc37x.default\Extensions\wrigtdamon@yahoo.com\hotfix.v20140527.01.json (PUP.CrossRider)TROUVà‰ FF: C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\dt2yc37x.default\Extensions\wrigtdamon@yahoo.com\webapps (PUP.CrossRider)Disponibilité de version :ZHPCleaner v2014.11.4.206 à  venir...

[NicolasCoolman]

Hello,Objet :Cette évolution porte sur la détection générique de l'adware InstallCore. Caractéristiques :L'adware InstallCore se détecte notamment dans les dossiers de l'utilisateur. Le nom du dossier est constitué d'une chaine aléatoire de caractères alphanumériques. Il s'installe généralement en tant que service pour être lancé au démarrage du système.Aperà§u dans ZHPDiag :---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)O43 - CFD: 18/08/2013 - 22:57:40 - [] ----D C:\Users\Coolman\AppData\Roaming\2V2Z1C1P1H1P1Q1F2W1G1I1F1T1QtAtBAperà§u dans ZHPCleaner :---\\ Explorateur ( Dossiers, Fichiers ). (7)TROUVà‰: C:\Users\Coolman\AppData\Roaming\1V1Z1C1P1H1P1Q1F2W1G1I1F1T1QtAtB (Adware.InstallCore)TROUVà‰: C:\Users\Coolman\AppData\Roaming\1V1Z1C1P1H1P1Q1F2W1G1I1F1T1QtAtB\DBBizHiRes.txt [] (Adware.InstallCore)TROUVà‰: C:\Users\Coolman\AppData\Roaming\1V1Z1C1P1H1P1Q1F2W1G1I1F1T1QtAtB\global.py [] (Adware.InstallCore)TROUVà‰: C:\Users\Coolman\AppData\Roaming\1V1Z1C1P1H1P1Q1F2W1G1I1F1T1QtAtB\gui.json [] (Adware.InstallCore)TROUVà‰: C:\Users\Coolman\AppData\Roaming\1V1Z1C1P1H1P1Q1F2W1G1I1F1T1QtAtB\gui.py [] (Adware.InstallCore)TROUVà‰: C:\Users\Coolman\AppData\Roaming\1V1Z1C1P1H1P1Q1F2W1G1I1F1T1QtAtB\history.plist [] (Adware.InstallCore)TROUVà‰: C:\Users\Coolman\AppData\Roaming\1V1Z1C1P1H1P1Q1F2W1G1I1F1T1QtAtB\tweaks.py [] (Adware.InstallCore)Disponibilité de version :ZHPCleaner v2014.11.5.208

[NicolasCoolman]

Hello,Objet :Cette évolution porte sur la suppression de certains dossiers superflus. Caractéristiques :Un grands nombre de PUP polluent l'explorateur avec de nombreux dossiers CLSID vides. ZHPCleaner s'alligne sur la commande "EmptyCLSID" de ZHPFix. La suppression porte sur le dossier %LocalAppdataDir%.Aperà§u dans ZHPDiag :----\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)O43 - CFD: 19/04/2012 - 15:37:24 - [0] ----D C:\Users\Coolman\AppData\Local\{0522A478-DF08-4A12-A3F6-432A2B14A978}O43 - CFD: 19/04/2012 - 15:37:24 - [0] ----D C:\Users\Coolman\AppData\Local\{0622A478-DF08-4A12-A3F6-432A2B14A978}Aperà§u dans ZHPFix :SUPPRIME Folder: C:\Users\Coolman\AppData\Local\{00000BA0-5731-46FD-9326-FA79A36E6D46}SUPPRIME Folder: C:\Users\Coolman\AppData\Local\{10000BA0-5731-46FD-9326-FA79A36E6D46}Aperà§u dans ZHPCleaner :---\\ Explorateur ( Dossiers, Fichiers ). (2)DEPLACà‰: C:\Users\Coolman\AppData\Local\{0522A478-DF08-4A12-A3F6-432A2B14A978} [Empty Folder]DEPLACà‰: C:\Users\Coolman\AppData\Local\{0622A478-DF08-4A12-A3F6-432A2B14A978} [Empty Folder]Disponibilité de version :ZHPCleaner v2014.11.6.209

[NicolasCoolman]

Hello,Objet :Cette évolution porte sur la détection générique de clé Hijacker.Eazel. Caractéristiques :Hijacker.Eazel se détecte notamment dans les clés de Base de Registres. Les sous clés sont construites avec des chaines aléatoires hexadécimales. Le détail des sous-clés n'est pas affiché.ZHPDiag recense ces clés aléatoires dans son module O91. Aperà§u dans ZHPDiag :

---\\ Random Export Key (O91)[HKCU\Software\592d8deb33dbe46\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.6.1339.144]:dllName="BrowserDefender.dll" [HKCU\Software\592d8deb33dbe46\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.6.1339.144]:exeName="BrowserDefender.exe"

Aperà§u dans ZHPCleaner :

---\\ Base de Registres ( Clés, Valeurs, Données ). (2)TROUVà‰: [X64] HKCU\Software\58558cd8bd3ced46 [BrowserDefender.dll] (Hijacker.Eazel)TROUVà‰: [X64] HKCU\SOFTWARE\58558cd8bd3ced47 [BrowserDefender.exe] (Hijacker.Eazel)

Disponibilité de version :ZHPCleaner v2014.11.7.211

[NicolasCoolman]

Hello,Objet :Cette évolution porte sur le téléchargement d'une nouvelle version. Caractéristiques :Désormais le téléchargement devient automatique. Après l'acceptation du CLUF, et en cas de présence d'une nouvelle version, un message proposera son téléchargement. Une fois le téléchargement terminé, indiqué par un message, ZHPCleaner se ferme et s'ouvre à  nouveau avec la nouvelle version. L'information de "Version OK" doit apparaà®tre dans l'entête de l'interface.Pour une meilleure détection de ZHPCleaner, il est nécessaire d'avoir toujours la dernière version proposée. Disponibilité de version :ZHPCleaner v2014.11.13.220A bientôt...

[NicolasCoolman]

Hello,Objet :Cette évolution porte sur le module Shell Spawning. Caractéristiques :- Lié au module FASS File Association Shell Spawing).Il permet d'énumerer les extensions de fichiers succeptibles d'être détournés par des malwares. Ce module s'interesse particulièrement aux extensions de fichier capables de démarrer un processus comme par exemple les extensions ".com" ou ".exe". Certains malwares détournent les extensions de fichier vers leur propre processus malware. C'est le cas notamment de certains rogues qui remplacent la valeur par défaut 'exefile' de la clé de BDR au profit de leur propre valeur "{Random}file". Ensuite une clé du même nom est crée afin de pointer vers l'exécution d'un processus malware par le biais d'un "ShellOpenCommand". Ainsi l'utilisateur est systèmatiquement rédirigé à  chaque lancement d'une application.- La réparation des détournement d'extensions Bat, cmd, com, exe, html, js, reg et scr.Aperà§u ZHPDiag :

---\\ File Association Shell Spawning (FASS) (O67)O67 - Shell Spawning: <.cmd> <cmdfile>[HKLM\..\open\Command] (...) -- Bad: (NOTEPAD.EXE %1) Good: ("%1" %*) =>Broken.OpenCommand O67 - Shell Spawning: <.reg> <regfile>[HKLM\..\open\Command] (...) -- Bad: (regeddit.exe "%1") Good: ("%1" %*)

Aperà§u ZHPCleaner :

---\\ Base de Registres ( Clés, Valeurs, Données ). (2)SUPPRIMà‰: HKEY_CLASSES_ROOT\ChromeHTML\Shell\Open\Command\ChromeHTML\Shell\Open\Command\\ChromeHTML [BAD=NOTEPAD.EXE %1] (Broken.OpenCommand)SUPPRIMà‰: HKEY_CLASSES_ROOT\regfile\Shell\Open\Command\regfile\Shell\Open\Command\\regfile [BAD=regeddit.exe "%1"] (Broken.OpenCommand)

Disponibilité de version :ZHPCleaner v2014.12.8.250A bientôt...