*** ZHPDiag et ZHPFix de Nicolas Coolman.
=================================
Accueil
http://www.nicolascoolman.com/fr/
Les téléchargements
La boite à outil de la désinfection !
Tous les téléchargements sont gratuits !
http://www.nicolascoolman.com/fr/telecharger/
Présentation
Permet d'effectuer un diagnostic rapide et complet de son système d'exploitation. Il est basé en partie sur le principe d'HijackThis. Il scrute votre Base de Registre et énumère les zones sensibles qui sont susceptibles d'être piratées.
A noter qu'il n'écrit rien dans votre Base de Registres et ne procède à aucun nettoyage.
Il génère un rapport qui peux être analysé sur un forum de désinfection, ce rapport contient certaines informations sur votre système permettant à une personne qualifiée de vous aider à supprimer les éléments malicieux présents sur votre PC à l'aide d'une autre utilitaire conjoint, ZHPFix.
A noter que ZHPDiag est détecté compatible avec la Suite de Sécurité Orange 9.12 (e) dans un rapport de GetSystemInfo de Kaspersky.Lab
capture : http://pix.toile-libre.org/upload/original/1451737
et qu’on demande ces rapports sur les forums Kaspersky
https://forum.kaspersky.com/index.php?showtopic=345665
et ici; http://pix.toile-libre.org/upload/original/1462652821.jpg
.
===========================
Sur
pour l’installer, le lancer ou l'exécuter en mode administrateur, clic droit
" Exécuter en tant qu’administrateur"
capture : http://idata.over-blog.com/3/94/20/45/15-logiciel-securite/ZHPDiag-administrateur.jpg
A "Mode de compatibilité", contrôler si votre systéme est bien bien reconnu
cocher
"Exécuter en tant qu'administrateur"
Si à votre système n’est pas reconnu ; tout en bas cliquer sur
" Modifier les paramètres pour tous les utilisateurs"
Dans la fenêtre qui s’ouvre à cocher "Exécuter ce programme en mode de compatibilité pour"
Puis cliquer à droite le " V " ; et sélectionner votre système
idem sans oublier de cliquer en bas à droite sur les boutons "Appliquer"
fenêtre UAC, User Account Control ou
Contrôle de compte d'utilisateur :
" Voulez-vous autoriser le programme... etc. ."
capture : http://i.imgur.com/K0a1AS4.jpg
cliquer sur le bouton "Oui"
filtre SMARTSCREEN (écran intelligent)
Avec Windows 8 et Windows 10, le filtre "SmartScreen" empêche l'exécution de programmes inconnus (de Microsoft). Pour passer outre cette protection et pouvoir lancer l’installation de ZHPDiag, procéder comme suit :
1) - Cliquer sur "Informations complémentaires"
capture : http://idata.over-blog.com/3/94/20/45/15-logiciel-securite/ZHPDiag-SmartSreen-1.
lire pour complément sur Assiste.com : http://assiste.com/SmartScreen.html
et sur la FAQ de Nicolas Coolman : Comment passer le filtre SmartScreen d'Internet Explorer ?
===========================
Pour obtenir et transmettre un rapport de ZHPDiag
======
Nettoyage
Si vous avez un nettoyeur style CCleaner, l’utiliser avant de lancer l’Analyse.
Voir sur ce même blog : http://jaime.over-blog.fr/2016/04/ccleaner.html
L'analyse sera plus rapide
Et / ou l'utilitaire Windows "Nettoyage de disque" , " Windows Clean Manager "
bouton Démarrer, ,ou sur Tous les programmes, sur Accessoires, sur Outils système, puis sur Nettoyage de disque.
Voir pour complément sur Microsoft
- http://windows.microsoft.com/fr-FR/windows7/Delete-files-using-Disk-Cleanup
et cliquer sur " Pour nettoyer tous les fichiers sur l’ordinateur "
n'oubliez pas de " Nettoyer les fichiers systèmes ",
======
Il se télécharge ici : http://www.nicolascoolman.fr/download/zhpdiag/
Clic sur le bouton bleu Télécharger
Si ce lien est indisponible télécharger depuis Zébulon,
http://telechargement.zebulon.fr/zhpdiag.html
clic sur le bouton bleu Télécharger ou sur le FTP Zebulon.fr N°1
Le tutoriel officiel : http://www.nicolascoolman.fr/tutoriaux/
Clic droit sur l’icône ZHPDiag et pour démarrer le logiciel et faire apparaître l’interface.
au lancement si vous avez cette fenêtre
http://i.imgur.com/Z3w4tGu.jpg
cliquer sur le bouton Mise à jour
Si vous naviguez avec Firefox une fenêtre vous demandera de le fermer
Lorsque la mise à jour sera faite Internet Explorer s’ouvrira avec cette adresse
http://www.nicolascoolman.com/fr/zhpdiag-fin-de-telechargement/
il suffit de relancer ZHPDiag
clic sur le bouton J'accepte
Vous aurrez cette fenêtre
clic sur le bouton Scanner
capture :
http://i.imgur.com/Go7FnZk.jpg
Important >> Pendant l’analyse de votre PC par ZHPDiag ne touchez à plus rien !!!!!
Laissez l'outil travailler, il peut être assez long
le bouton « Rapport » permet d’afficher le rapport dans le bloc-notes
Le rapport ZHPDiag.txt sera enregistré sur le bureau.
capture : http://i.imgur.com/kQzIaqP.png
il est sauvegardé avec Windows XP_SP3 dans C:\ Documents and Settings \ Nom_utilisateur \ Application Data \ ZHP = > ZHPDiag.txt
de Vista à Windows 10 dans C:\ Users \ Nom_utilisateur \ AppData \ Roaming \ ZHP \ ZHPDiag.txt
ensez à rendre visible les dossiers cachés
et le transmettre par Cjoint.com : http://cjoint.com/
voir plus bas chapitre = > Les rapports de ZHPDiag et de ZHPFix doivent être postés en lien de Cjoint, ils sont trop longs pour tenir dans une seule réponse.
avec ce lien : http://jaime.over-blog.fr/heberger.cjoint.html
Si votre Nom et prénom figurent (apparaissent), et que vous ne souhaitez qu'ils soient connus, vous pouvez modifier par <Nom_Prenom> ou des "XXX_XXX" en prenant note ce qui apparaît, afin de pouvoir le replacer si besoin,
Si sur un forum on vous conseille de le faire en Mode sans échec avec prise en charge réseau
voir plus bas chapitre = > Mode sans échec avec prise en charge du réseau
pour entrer directement dans l'Explorateur avec le clavier touche
===========================
Pour nettoyer (fixer) et transmettre un rapport de ZHPFix
Il se télécharge ici http://www.nicolascoolman.com/fr/download/zhpfix/
Clic sur le bouton bleu Télécharger (Download)
Si ce lien est indisponible télécharger depuis Zébulon,
http://telechargement.zebulon.fr/zhpfix.html
clic sur le bouton bleu Télécharger ou sur le FTP Zebulon.fr N°1
http://www.nicolascoolman.fr/tutoriaux/
Voir plus bas à = > Lancement du logiciel : Placez vous sur l’icône ZHPFix, etc.
Ouvrir ZHPFix, sur le bureau vous trouverez son raccourci, ou dans le menu démarrer / ZHPDiag, voici comment il se présente en image http://idata.over-blog.com/3/94/20/45/15-logiciel-securite/01-ZHPFix.jpg
Sous Vista / Windows 7 / 8 - 8.10 / et 10 , clic droit et choisissez "Exécuter en tant qu'administrateur".
capture : http://idata.over-blog.com/3/94/20/45/15-logiciel-securite/ZHPfix-administrateur.jpg
cliquer sur le bouton "Oui" ZHPFix se relancera avec des droits étendus.
Durant ce traitement, une valeur de clé de registre temporaire sera créée et ensuite supprimée.
une fois ouvert,
capture : http://pix.toile-libre.org/upload/original/1379252966.jpg
================
Pour fixer, supprimer
ouvrir le document texte transmis par Cjoint,
clic sur la zone de texte, puis touche "Ctrl" + caractère "A"
tout est sélectionné, doit être bleuté
capture : http://idata.over-blog.com/3/94/20/45/15-logiciel-securite/03-rapport-pour-ZHPFix.jpg
puis touche "Ctrl" + caractère "C", tout est copié
dans ZHPFix clic sur le bouton
capture : http://pix.toile-libre.org/upload/original/1379253032.jpg
puis clic sur le bouton " GO " en bas à gauche,
si vous avez cet Avertissement : http://i.imgur.com/p67jN1X.png
c'est que vous n'avez pas tout copié, surtout la première ligne Script ZHPFix
merci à @melet39 de cette capture
Pour ces deux fenêtres
1) - Vous confirmez le nettoyage des données ?
capture : http://pix.toile-libre.org/upload/original/1379253099.jpg
2) - Vous confirmez le nettoyage de la corbeille ?
capture : http://pix.toile-libre.org/upload/original/1379253143.jpg
cliquez sur le bouton = > Oui
A la fin le rapport s’affichera,
capture : http://pix.toile-libre.org/upload/original/1379253188.jpg
il se trouvera dans
C:\ Users \ Nom_utilisateur \ AppData \ Roaming \ ZHP \ ZHPFix[R1].txt - date / heure
pour entrer directement dans l'Explorateur avec le clavier touche
Dont un se trouvera sur le bureau, il se nomme " ZHPFixReport.txt "
et le transmettre par Cjoint.com : http://cjoint.com/
voir plus bas chapitre = > Les rapports de ZHPDiag et de ZHPFix doivent être postés en lien de Cjoint, ils sont trop longs pour tenir dans une seule réponse.
================
exemple les plus fréquentes :
FirewallRaz ;
EmptyPrefetch ;
EmptyTemp ;
EmptyFlash ;
EmptyCLSID
vous trouverez ci aprés leurs actions
http://pix.toile-libre.org/upload/original/1460352574.jpg
CTFFix
Cette commande permet de désactiver les services de texte avancés, elle est équivalente à la fonction CTFDisabled sur des stations Windows XP.
HostFix
Cette fonction permet de faire un nettoyage de tout le fichier hosts. Sur le principe, l'outil traque tous les domaines dont l'adresse IP n'est pas l'adresse de rebouclage (127.0.0.1 localhost) et les remplace. En outre une copie du fichier HOSTS est conservée dans le dossier de ZHPFix. Une liste de lignes modifiées est donnée en fin de rapport.
IFEOFix
Cette fonction permet de supprimer toutes les redirections d'applications. Sur le principe, l'outil recherche toutes les valeurs "Debugger" et supprime les clés de registre IFEO correspondantes. Une liste de clés supprimées est donnée en fin de rapport.
ProxyFix
Le proxy est un ordinateur qui fait fonction de passerelle entre le réseau et Internet. Il joue à la fois un rôle de parefeu réseau et de mémoire cache. En cas d'attaque malware, cette mémoire cache est utilisée pour stocker des pages web dangereuses. Cette technique est souvent utilisée lors d'infection rogue.
Ce sont des Détournements Proxy ou Infections DNS, pour Domain Name System = Système de Noms de Domaine, exemple dans un rapport de ZHPDiag
- R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer = http=127.0.0.1:8877;https=127.0.0.1:8877
- O17 - HKLM\System\CCS\Services\Tcpip\..\{1A7E97DB-6802-478F-B4E3-25AD31FA4716}: NameServer = 85.255.115.59,85.255.112.126
La commande ProxyFix permet de supprimer l'action du proxy en rétablissant les valeurs et données par défaut de la Base de Registres..
L'action est menée sur la clé "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" et sur plusieurs valeurs de clé.
Lire aussi cette réponse de @PhilDur sur les forums Orange = > Qu'est-ce qu'un proxy ?
SysRestore
Cette commande permet de créer un point de restauration du système. Elle est analogue à celle du bouton de même nom situé dans le panel de droite.
HiddenFix
La commande HiddenFix permet de modifier les attributs cachés en normal de certains dossiers et fichiers
L'action est menée sur les dossiers suivants :
Bureau (Desktop) --> %USERPROFILES%\Desktop
Ma musique (My Music) --> %USERPROFILES%\Music
Mes images (My Pictures) --> %USERPROFILES%n\Pictures
Mes favoris (Favorites) --> %USERPROFILES%s\Favorites
Mes documents (Personal) --> %USERPROFILES%\Documents
Mes vidéos (My Video) --> %USERPROFILES%\Videos
Menu demarrer (Programs) --> %USERPROFILES%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
Dossier utilisateur (AppData) --> %USERPROFILES%\AppData\Roaming
EmptyFlash qui vide les cookies flash
Cette commande permet de supprimer les Flash Cookies ou Local Shared Object (LSO). Ils sont recensés par le logiciel Adobe Flash Player.
Par cette opération le dossier "#SharedObjects" est complètement vidé.
EmptyTemp qui vide les dossiers temporaires,
Cette commande permet de vider le dossier temporaire de l'utilisateur. Les fichiers sont supprimés sans mise en quarantaine.
Ajout de la suppression des fichiers du cache de Sun Microsystems Java.
EmptyCLSID, pour CLasS IDentifier (code identifiant d'un objet) les chiffres et lettres entre les crochets, example {73FDDC80-AEA9-101A-98A7-00AA00374959}
abréviation de l'identificateur de classe unique
Cette commande permet de suprprimer les dossiers CLSID vides du module O43. Les fichiers sont supprimés sans mise en quarantaine.
Voir pour complément sur Assiste.com = CLSID
.
La commande FirewallRAZ assure la suppression de toutes les valeurs CLSID dont la donnée comporte un fichier absent.
- Elle est basée sur les critères de recherche du module O87 de ZHPDiag.
- La recherche s'effectue dans la clé "FirewallRules", plus précisément au niveau de la clé de registre suivante :
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
- En cas se suppression d'une valeur de clé, celle-ci sera précédée de l'information "FirewallRaz ({Profile}):"
@tigrou67 suite à ton rapport de ZHPFix je l'ai complété,
Cette commande permet d'optimiser le système. Elle est l'abréviation de OPTIMISE et elle est basée sur le principe d'HijackThis. Concrètement le processus ne sera pas supprimé. Cela devrait notamment permettre de traiter les lignes classées en catégorie "Inutile" au démarrage du système. Il faut préciser aussi que cette commande s'applique aux lignes présentant des clés, valeurs ou données de Base de Registres.
Exemple avec cette ligne, seule la valeur de Base de Registres "Adobe Reader Speed Launcher" est supprimée, le processus est conservé.
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
ShortcutFix
De nombreux pirates de navigateurs utilisent le passage en arguments des fichiers cible des raccourcis. C'est le cas notamment de 22Find, Qvo6, DoSearches, PortaldoSites, en.v9.com, et tant d'autres.
La commande ShortcutFix permet de supprimer les arguments placés dans les raccourcis des navigateurs. Elle s'applique aux navigateurs Internet les plus utilisés :
Microsoft Internet Explorer, Mozilla Firefox, Opera Software Opera, Apple Safari, Google Chrome,
exemple le raccourci de IE, capture
ToileLibre : http://pix.toile-libre.org/upload/original/1369938740.png
I.imgur : http://i.imgur.com/Gsw9FP4.png
le raccourci de Firefox, capture :
ToileLibre : http://pix.toile-libre.org/upload/original/1381843332.png
I.imgur : http://i.imgur.com/xEqOfTv.png
================
Mode sans échec avec prise en charge du réseau
Ce mode permet de bénéficier d’une connexion Internet dans ce mode de diagnostic, connexion filaire uniquement.
capture : http://i.imgur.com/V3GulVf.jpg
voir sur l'Assistance Kaspersky Comment démarrer l'ordinateur en mode sans échec
Si vous n’arrivez pas à entrer dans ce mode, clic sur = > 2. Que faire si l'ordinateur ne démarre qu'en mode standard
Voir = > · Téléchargez l'archive safeboot.zip.
vous avez suivant votre système quel outil exécuter,
voir cet article sur le forum Windows 8, Windows 7 et Windows Vista
- http://www.chantal11.com/2012/07/demarrer-en-mode-sans-echec-avec-prise-en-charge-du-reseau/
voir aussi sur PC-Astuces
- http://www.pcastuces.com/pratique/windows/mode_sans_echec/page1.htm
avec Windows 8 la touche F8 n'est plus activée
voir sur Comment_çà_marche
- http://www.commentcamarche.net/faq/35267-windows-8-le-mode-sans-echec-ou-comment-y-parvenir
et sur le forum Windows 8, Windows 7 et Windows Vista
- http://www.chantal11.com/2013/01/demarrer-en-mode-sans-echec-sous-windows-8/
avec Windows 10
voir sur le forum de Chantal11
- http://www.chantal11.com/2015/12/demarrer-en-mode-
Les Paramètres de démarrage s’affichent.
Sélectionner = > F5 pour démarrer en mode sans échec avec prise en charge réseau
qui est une Microsoft Most Valuable Professional Consumer Security
c’est dire que ses avis et conseils Microsoft les cautionne
Le Crabe Info :
- http://lecrabeinfo.net/demarrer-windows-10-en-mode-sans-echec.html
Pour sortir du mode sans-échec : Il suffit de redémarrer Windows.
===========================
Les rapports de ZHPDiag et de ZHPFix
doivent être postés en lien de Cjoint :
ils sont trop longs pour tenir dans une seule réponse.
voir cet article = http://jaime.over-blog.fr/heberger.cjoint.html
Merci à @coccinelle29 et @Paule pour vos corrections de mes fotes de graméres
====================================
Pour la capture de Bienvenue; merci Manou2
cliquer sur la capture pour un agrandissement, ou sur le lien ci-dessous
- http://idata.over-blog.com/3/94/20/45/15-logiciel-securite/348672Jaime100.gif
====================================
Retour au sommaire ou page d'accueil
- http://jaime.over-blog.fr/article-52281623.html
======================