Overblog Suivre ce blog
Editer l'article Administration Créer mon blog

Profil

  • Jaime - Pierre05
  • Parc des Écrins - Les Éscartons
  • Parc des Écrins - Les Éscartons
12 avril 2016 2 12 /04 /avril /2016 17:10

*** ZHPDiag et ZHPFix de Nicolas Coolman. ***

 

Cliquez sur les captures, elles s’ouvriront en taille normale dans un autre onglet

=================================

 

Accueil

http://www.nicolascoolman.com/fr/

 

Les téléchargements

La boite à outil de la désinfection !

Tous les téléchargements sont gratuits !

http://www.nicolascoolman.com/fr/telecharger/

 

 

348672Jaime100Présentation

Permet d'effectuer un diagnostic rapide et complet de son système d'exploitation. Il est basé en partie sur le principe d'HijackThis. Il scrute votre Base de Registre et énumère les zones sensibles qui sont susceptibles d'être piratées.

 

A noter qu'il n'écrit rien dans votre Base de Registres et ne procède à aucun nettoyage.

 

Il génère un rapport qui peux être analysé sur un forum de désinfection, ce rapport contient certaines informations sur votre système permettant à une personne qualifiée de vous aider à supprimer les éléments malicieux présents sur votre PC à l'aide d'une autre utilitaire conjoint, ZHPFix.

 

Il se télécharge ici  : http://www.nicolascoolman.fr/download/zhpdiag/

Clic sur le bouton bleu Télécharger

capture : http://pix.toile-libre.org/upload/original/1462249434.jpg

et vous l'enregistrez (sauvegardez) sur votre bureau

 

A noter que ZHPDiag est détecté compatible avec la Suite de Sécurité Orange 9.12 (e) dans un rapport de GetSystemInfo de Kaspersky.Lab

capture : http://pix.toile-libre.org/upload/original/1451737444.jpg

et qu’on demande ces rapports sur les forums Kaspersky

https://forum.kaspersky.com/index.php?showtopic=345665

 

Clic droit sur un raccourci de ZHPDiag, et Consulter la réputation dans la Protection Cloud
capture : http://pix.toile-libre.org/upload/original/1371545417.jpg

et ici; http://pix.toile-libre.org/upload/original/1462652821.jpg

 

Réputation

Application : ZHPDiag
Auteur : Nicolas Coolman
De confiance (Protection cloud)
Plus de 1000 participants au Protection Cloud ont utilisé cette application ;
Diffusion : France (60 %), Algérie (15 %), Belgique (5 %), Maroc (4 %), Canada (4 %), Autres pays (12 %)

 

.capture : http://pix.toile-libre.org/upload/original/1371545793.jpg
===========================

 

 

Sur Vista / Windows 7 / Windows 8.1 et Windows 10 pour ZHPDiag et ZHPFix

 

 

 

pour l’installer, le lancer ou l'exécuter en mode administrateur, clic droit

 

 

"  Exécuter en tant qu’administrateur"
capture : http://idata.over-blog.com/3/94/20/45/15-logiciel-securite/ZHPDiag-administrateur.jpg

 

 

 

 

 

 

 

 

Vous pouvez aussi cliquez tout en bas sur "Propriétés "

 

 

 

Onglet "Compatibilité"

 

 

 

A "Mode de compatibilité", contrôler si votre systéme est bien bien reconnu

 

 


 

cocher
"Exécuter en tant qu'administrateur"

 

 

sans oublier de cliquer en bas à droite sur le bouton "Appliquer" puis sur le bouton "OK"

 

 

Si à "Mode de compatibilité", votre système n’est pas reconnu ; tout en bas cliquer sur

Modifier les paramètres pour tous les utilisateurs"

 

Dans la fenêtre qui s’ouvre à "Mode de compatibilité" cocher "Exécuter ce programme en mode de compatibilité pour"

Puis cliquer à droite le " V " ; et sélectionner votre système

 

 

"Exécuter en tant qu'administrateur" doit être coché

 

 

 

idem sans oublier de cliquer en bas à droite sur les boutons "Appliquer" et "OK"

 

 

 

fenêtre UAC, User Account Control ou 

  Contrôle de compte d'utilisateur :

"  Voulez-vous autoriser le programme... etc. ."

capture : http://i.imgur.com/K0a1AS4.jpg

cliquer sur le bouton "Oui"

 

 

 

 

filtre SMARTSCREEN (écran intelligent)

Avec Windows 8 et Windows 10, le filtre "SmartScreen" empêche l'exécution de programmes inconnus (de Microsoft). Pour passer outre cette protection et pouvoir lancer l’installation de ZHPDiag, procéder comme suit :

 

1) - Cliquer sur "Informations complémentaires"

capture : http://idata.over-blog.com/3/94/20/45/15-logiciel-securite/ZHPDiag-SmartSreen-1.

 

 

 

 

2) - Puis sur "Exécuter quand même".

capture : http://idata.over-blog.com/3/94/20/45/15-logiciel-securite/ZHPDiag-SmartSreen-2.jpg

 

 

lire pour complément sur Assiste.com : http://assiste.com/SmartScreen.html

et sur la FAQ de Nicolas Coolman : Comment passer le filtre SmartScreen d'Internet Explorer ?

 

===========================

 


      Pour obtenir et transmettre un rapport de ZHPDiag

 

======

Nettoyage

Si vous avez un nettoyeur style CCleaner, l’utiliser avant de lancer l’Analyse.

Voir sur ce même blog : http://jaime.over-blog.fr/2016/04/ccleaner.html

L'analyse sera plus rapide

 

Et / ou l'utilitaire Windows "Nettoyage de disque" , " Windows Clean Manager "

bouton Démarrer ,ou Image du bouton Démarrer sur Tous les programmes, sur Accessoires, sur Outils système, puis sur Nettoyage de disque.

Voir pour complément sur Microsoft
- http://windows.microsoft.com/fr-FR/windows7/Delete-files-using-Disk-Cleanup
et cliquer sur " Pour nettoyer tous les fichiers sur l’ordinateur "

n'oubliez pas de " Nettoyer les fichiers systèmes ",

Voir sur ce même blog : http://jaime.over-blog.fr/2016/04/ccleaner.html

======

 

Il se télécharge ici  : http://www.nicolascoolman.fr/download/zhpdiag/

Clic sur le bouton bleu Télécharger

 

Si ce lien est indisponible télécharger depuis Zébulon,

http://telechargement.zebulon.fr/zhpdiag.html

clic sur le bouton bleu Télécharger  ou sur le FTP Zebulon.fr N°1   (lien direct)

et vous l'enregistrez (sauvegardez) sur votre bureau, pas ailleur

 

Le tutoriel officiel : http://www.nicolascoolman.fr/tutoriaux/

 

Clic droit sur l’icône ZHPDiag et " Exécuter en tant qu'administrateur" pour démarrer le logiciel et faire apparaître l’interface.

 

 

 

au lancement si vous avez cette fenêtre

 

http://i.imgur.com/Z3w4tGu.jpg

 

 

 

 

 

 

 

 

cliquer sur le bouton Mise à jour

 

 

 

 

Si vous naviguez avec Firefox une fenêtre vous demandera de le fermer

 

Lorsque la mise à jour sera faite Internet Explorer s’ouvrira avec cette adresse

http://www.nicolascoolman.com/fr/zhpdiag-fin-de-telechargement/

il suffit de relancer ZHPDiag

 

 

 

 

 

 

 

 

 

 

 

 

 

clic sur le bouton J'accepte

 

 

Vous aurrez cette fenêtre

 

clic sur le bouton Scanner

capture : http://i.imgur.com/tCXxTF9.jpg

 

 

 

capture : http://i.imgur.com/Go7FnZk.jpg

 

 

 

 

 

 

Important >> Pendant l’analyse de votre PC par ZHPDiag ne touchez à plus rien !!!!!

Laissez l'outil travailler, il peut être assez long

 

le bouton « Rapport » permet d’afficher le rapport dans le bloc-notes

 

 

Le rapport ZHPDiag.txt sera enregistré sur le bureau.

capture : http://i.imgur.com/kQzIaqP.png

il est sauvegardé avec Windows XP_SP3 dans C:\ Documents and Settings \ Nom_utilisateur \ Application Data \ ZHP = > ZHPDiag.txt

de Vista à Windows 10 dans C:\ Users \ Nom_utilisateur \ AppData \ Roaming \ ZHP \ ZHPDiag.txt

Si vous ne le trouvez pas, pensez à rendre visible les dossiers cachés   

et le transmettre par Cjoint.com : http://cjoint.com/

voir plus bas chapitre = > Les rapports de ZHPDiag et de ZHPFix doivent être postés en lien de Cjoint, ils sont trop longs pour tenir dans une seule réponse.

avec ce lien :  http://jaime.over-blog.fr/heberger.cjoint.html

 

Si votre Nom et prénom figurent (apparaissent), et que vous ne souhaitez qu'ils soient connus, vous pouvez modifier par <Nom_Prenom> ou des "XXX_XXX" en prenant note ce qui apparaît, afin de pouvoir le replacer si besoin,

Si sur un forum on vous conseille de le faire en Mode sans échec avec prise en charge réseau

voir plus bas chapitre = > Mode sans échec avec prise en charge du réseau

 

Pour les dossiers cachés. voir sur l'Assistance Kaspersky : Comment afficher les fichiers et dossiers cachés en fonction de votre systéme, Windows XP , Windows Vista , Windows 7 , Windows 8 / 8.1 et Windows 10
pour entrer directement dans l'Explorateur avec le clavier touche "Windows" + caractère "E"

 

===========================

 

 Pour nettoyer (fixer) et transmettre un rapport de ZHPFix

 

Il se télécharge ici  http://www.nicolascoolman.com/fr/download/zhpfix/

Clic sur le bouton bleu Télécharger (Download)

 

Si ce lien est indisponible télécharger depuis Zébulon,

http://telechargement.zebulon.fr/zhpfix.html

clic sur le bouton bleu Télécharger ou sur le FTP Zebulon.fr N°1   (lien direct)

 

    Le tutoriel officiel : http://www.nicolascoolman.fr/tutoriaux/

    Voir plus bas à = > Lancement du logiciel : Placez vous sur l’icône ZHPFix, etc.

 

Ouvrir ZHPFix, sur le bureau vous trouverez son raccourci, ou dans le menu démarrer / ZHPDiag, voici comment il se présente en image http://idata.over-blog.com/3/94/20/45/15-logiciel-securite/01-ZHPFix.jpg

 

 

 

 

Sous Vista / Windows 7 / 8 - 8.10 / et 10 , clic droit et choisissez " Exécuter en tant qu'administrateur".

 capture : http://idata.over-blog.com/3/94/20/45/15-logiciel-securite/ZHPfix-administrateur.jpg 

     

 

fenêtre UAC, User Account Control ou Contrôle de compte d'utilisateur : "Voulez-vous autoriser le programme... etc. ."

 capture : http://idata.over-blog.com/3/94/20/45/15-logiciel-securite/ZHPFix-Vista_Windows-7.jpg

 

 

 

    

cliquer sur le bouton "Oui" ZHPFix se relancera avec des droits étendus.

Durant ce traitement, une valeur de clé de registre temporaire sera créée et ensuite supprimée.

 

 

 

une fois ouvert,

 capture : http://pix.toile-libre.org/upload/original/1379252966.jpg

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

================ 

 

Pour fixer, supprimer

ouvrir le document texte transmis par Cjoint,

     clic sur la zone de texte, puis touche "Ctrl" + caractère "A"

tout est sélectionné, doit être bleuté

capture : http://idata.over-blog.com/3/94/20/45/15-logiciel-securite/03-rapport-pour-ZHPFix.jpg

puis touche "Ctrl" + caractère "C", tout est copié

 

  dans ZHPFix clic sur le bouton

         Importer,

 

 

 

 

 

 

 

 

 

capture : http://pix.toile-libre.org/upload/original/1379253032.jpg

 

 

 

 

puis clic sur le bouton " GO  ;" en bas à gauche, 

 

 

si vous avez cet Avertissement  : http://i.imgur.com/p67jN1X.png

c'est que vous n'avez pas tout copié, surtout la première ligne  Script ZHPFix

 

merci à  @melet39 de cette capture

tu te souviens de ton erreur

 

 

 

 

Pour ces deux fenêtres

 

1) - Vous confirmez le nettoyage des données ?

capture : http://pix.toile-libre.org/upload/original/1379253099.jpg

 

 

 

2) - Vous confirmez le nettoyage de la corbeille ?

capture : http://pix.toile-libre.org/upload/original/1379253143.jpg

cliquez sur le bouton = > Oui

 

 

 

 

A la fin le rapport s’affichera,

capture : http://pix.toile-libre.org/upload/original/1379253188.jpg

il se trouvera dans

C:\ Users \ Nom_utilisateur \ AppData \ Roaming \ ZHP \ ZHPFix[R1].txt - date / heure

Si vous ne le trouvez pas, pensez à rendre visible les dossiers cachés.

 

Pour les dossiers cachés. voir sur l'Assistance Kaspersky : Comment afficher les fichiers et dossiers cachés

pour entrer directement dans l'Explorateur avec le clavier touche "Windows" + caractère "E"

 

 

Dont un se trouvera sur le bureau, il se nomme " ZHPFixReport.txt "

et le transmettre par Cjoint.com : http://cjoint.com/

 voir plus bas chapitre = > Les rapports de ZHPDiag et de ZHPFix doivent être postés en lien de Cjoint,  ils sont trop longs pour tenir dans une seule réponse.

    ================

 

  Si dans un script de nettoyage vous trouvez ces commandes

 

   

  exemple les plus fréquentes :

  FirewallRaz ;

  EmptyPrefetch ;

  EmptyTemp ;

  EmptyFlash ;

  EmptyCLSID

  vous trouverez ci aprés leurs actions

 

http://pix.toile-libre.org/upload/original/1460352574.jpg

 

 

 

 

 

CTFFix
Cette commande permet de désactiver les services de texte avancés, elle est équivalente à la fonction CTFDisabled sur des stations Windows XP.

 

HostFix
Cette fonction permet de faire un nettoyage de tout le fichier hosts. Sur le principe, l'outil traque tous les domaines dont l'adresse IP n'est pas l'adresse de rebouclage (127.0.0.1 localhost) et les remplace. En outre une copie du fichier HOSTS est conservée dans le dossier de ZHPFix. Une liste de lignes modifiées est donnée en fin de rapport.

 

IFEOFix
Cette fonction permet de supprimer toutes les redirections d'applications. Sur le principe, l'outil recherche toutes les valeurs "Debugger" et supprime les clés de registre IFEO correspondantes. Une liste de clés supprimées est donnée en fin de rapport.

 

ProxyFix
Le proxy est un ordinateur qui fait fonction de passerelle entre le réseau et Internet. Il joue à la fois un rôle de parefeu réseau et de mémoire cache. En cas d'attaque malware, cette mémoire cache est utilisée pour stocker des pages web dangereuses. Cette technique est souvent utilisée lors d'infection rogue.
Ce sont des Détournements Proxy ou Infections DNS, pour Domain Name System = Système de Noms de Domaine, exemple dans un rapport de ZHPDiag
- R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer = http=127.0.0.1:8877;https=127.0.0.1:8877
- O17 - HKLM\System\CCS\Services\Tcpip\..\{1A7E97DB-6802-478F-B4E3-25AD31FA4716}: NameServer = 85.255.115.59,85.255.112.126

La commande ProxyFix permet de supprimer l'action du proxy en rétablissant les valeurs et données par défaut de la Base de Registres..
L'action est menée sur la clé "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" et sur plusieurs valeurs de clé.

Lire aussi cette réponse de @PhilDur sur les forums Orange = > Qu'est-ce qu'un proxy ?

 

SysRestore
Cette commande permet de créer un point de restauration du système. Elle est analogue à celle du bouton de même nom situé dans le panel de droite.

 

HiddenFix
La commande HiddenFix permet de modifier les attributs cachés en normal de certains dossiers et fichiers
L'action est menée sur les dossiers suivants :
Bureau (Desktop) --> %USERPROFILES%\Desktop
Ma musique (My Music) --> %USERPROFILES%\Music
Mes images (My Pictures) --> %USERPROFILES%n\Pictures
Mes favoris (Favorites) --> %USERPROFILES%s\Favorites
Mes documents (Personal) --> %USERPROFILES%\Documents
Mes vidéos (My Video) --> %USERPROFILES%\Videos
Menu demarrer (Programs) --> %USERPROFILES%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
Dossier utilisateur (AppData) --> %USERPROFILES%\AppData\Roaming

 

EmptyFlash qui vide les cookies flash
Cette commande permet de supprimer les Flash Cookies ou Local Shared Object (LSO). Ils sont recensés par le logiciel Adobe Flash Player.  
Par cette opération le dossier "#SharedObjects" est complètement vidé.


EmptyTemp qui vide les dossiers temporaires,
Cette commande permet de vider le dossier temporaire de l'utilisateur. Les fichiers sont supprimés sans mise en quarantaine.
Ajout de la suppression des fichiers du cache de Sun Microsystems Java.


EmptyCLSID, pour CLasS IDentifier (code identifiant d'un objet) les chiffres et lettres entre les crochets, example {73FDDC80-AEA9-101A-98A7-00AA00374959}
abréviation de l'identificateur de classe unique
Cette commande permet
de suprprimer les dossiers CLSID vides du module O43. Les fichiers sont supprimés sans mise en quarantaine.
Voir pour complément sur Assiste.com =
CLSID

.

Autres commandes qu'on peut trouver

 

FirewallRAZ

La commande FirewallRAZ assure la suppression de toutes les valeurs CLSID dont la donnée comporte un fichier absent.
- Elle est basée sur les critères de recherche du module O87 de ZHPDiag.
- La recherche s'effectue dans la clé "FirewallRules", plus précisément au niveau de la clé de registre suivante :

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

- En cas se suppression d'une valeur de clé, celle-ci sera précédée de l'information "FirewallRaz ({Profile}):"

@tigrou67 suite à ton rapport de ZHPFix je l'ai complété, 

 

OPT :
Cette commande permet d'optimiser le système. Elle est l'abréviation de OPTIMISE et elle est basée sur le principe d'HijackThis. Concrètement le processus ne sera pas supprimé. Cela devrait notamment permettre de traiter les lignes classées en catégorie "Inutile" au démarrage du système. Il faut préciser aussi que cette commande s'applique aux lignes présentant des clés, valeurs ou données de Base de Registres.

Exemple avec cette ligne, seule la valeur de Base de Registres "Adobe Reader Speed Launcher" est supprimée, le processus est conservé.
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

 

merci @desfran87 de ta précipitation

 

ShortcutFix
De nombreux pirates de navigateurs utilisent le passage en arguments des fichiers cible des raccourcis. C'est le cas notamment de 22Find, Qvo6, DoSearches, PortaldoSites, en.v9.com, et tant d'autres.

La commande ShortcutFix permet de supprimer les arguments placés dans les raccourcis des navigateurs. Elle s'applique aux navigateurs Internet les plus utilisés :
Microsoft Internet Explorer, Mozilla Firefox, Opera Software Opera, Apple Safari, Google Chrome,

exemple le raccourci de IE, capture
ToileLibre : http://pix.toile-libre.org/upload/original/1369938740.png
I.imgur : http://i.imgur.com/Gsw9FP4.png
le raccourci de Firefox, capture :
ToileLibre : http://pix.toile-libre.org/upload/original/1381843332.png
I.imgur : http://i.imgur.com/xEqOfTv.png

================

 

Mode sans échec avec prise en charge du réseau

 

 

Si sur un forum on vous conseille d'obtenir un rapport de ZHPDiag ou de fixer (supprimer) avec ZHPFix en mode sans échec avec prise en charge du réseau

 

Ce mode permet de bénéficier d’une connexion Internet dans ce mode de diagnostic, connexion filaire uniquement.

 

 

capture : http://i.imgur.com/V3GulVf.jpg

 

 

 


voir sur l'Assistance Kaspersky Comment démarrer l'ordinateur en mode sans échec  

Si vous n’arrivez pas à entrer dans ce mode, clic sur = > 2. Que faire si l'ordinateur ne démarre qu'en mode standard

Voir = > · Téléchargez l'archive safeboot.zip.

vous avez suivant votre système quel outil exécuter,

 

voir cet article sur le forum de Chantal11   Windows 8, Windows 7 et Windows Vista
- http://www.chantal11.com/2012/07/demarrer-en-mode-sans-echec-avec-prise-en-charge-du-reseau/

voir aussi sur PC-Astuces
-
http://www.pcastuces.com/pratique/windows/mode_sans_echec/page1.htm

avec Windows 8 la touche F8 n'est plus activée
voir sur Comment_çà_marche
-
http://www.commentcamarche.net/faq/35267-windows-8-le-mode-sans-echec-ou-comment-y-parvenir

et sur le forum de Chantal11   Windows 8, Windows 7 et Windows Vista
-
http://www.chantal11.com/2013/01/demarrer-en-mode-sans-echec-sous-windows-8/

avec Windows 10

voir sur le forum de Chantal11  

http://www.chantal11.com/2015/12/demarrer-en-mode-sans-echec-sous-windows-10/

Les Paramètres de démarrage s’affichent.

Sélectionner = > F5 pour démarrer en mode sans échec avec prise en charge réseau

 

qui est une Microsoft Most Valuable Professional Consumer Security

   http://www.chantal11.com/

c’est dire que ses avis et conseils Microsoft les cautionne

 

Le Crabe Info :

- http://lecrabeinfo.net/demarrer-windows-10-en-mode-sans-echec.html

 

Pour sortir du mode sans-échec : Il suffit de redémarrer Windows.

===========================

 

Les rapports de ZHPDiag et de ZHPFix 

 

doivent être postés en lien de Cjoint : http://cjoint.com

ils sont trop longs pour tenir dans une seule réponse.

 

voir cet article = http://jaime.over-blog.fr/heberger.cjoint.html

===========================

 

Merci à @coccinelle29 et @Paule pour vos corrections de mes fotes de graméres

 

  ====================================

 

Pour la capture de Bienvenue; merci Manou2

  cliquer sur la capture pour un agrandissement, ou sur le lien ci-dessous

- http://idata.over-blog.com/3/94/20/45/15-logiciel-securite/348672Jaime100.gif

====================================

 

  Retour au sommaire ou page d'accueil
- http://jaime.over-blog.fr/article-52281623.html

 

======================

Partager cet article

Repost 0
Jaime - Pierre05