Modules

319 O2-Browser Helper Objects de navigateur (BHO).  Ce module recherche l’ensemble des Browser Helper Objects (BHO) installés. Un BHO est une application qui ajoute certaines fonctionnalités au navigateur Web. Caractéristiques – La recherche s’effectue sur les sous-clés CLSID de la clé de Base de Registres [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] – La ligne est commentée avec le nom du propriétaire et la désignation du fichier. (.Google Inc. – GoogleToolbarNotifier.) – En cas d’absence de startup et de fichier, et donc de propriétaire et de déscription du fichier, il y a affichage de la mention “Clé orpheline”. Les clés orphelines proviennent généralement d’une désinstallation logicielle mal faite ou d’une désinfection partielle. Aperçu ZHPDiag —\\ Browser Helper Objects de navigateur (O2) O2 – BHO: Google […]

445 R5 – Internet Explorer Proxy Management (IEPM) Lié au module Internet Explorer Proxy Management (IEPM). Il permet de recenser les paramètres du proxy utilisé par Microsoft Internet Explorer. Caractéristiques – La recherche s’effectue sur les clés de Base de Registres suivantes : [HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings] [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings] – Pour les valeurs de registre suivantes : ProxyOverride ProxyServer ProxyEnable MigrateProxy ProxyHttp1.1 EnableHttp1_1 AutoConfigProxy I. PROXY : LES VALEURS DE REGISTRE PRINCIPALES. La gestion des proxys se fait principalement autour de 3 valeurs de registres principales “ProxyEnable”, “ProxyServer” et “ProxyOverride”. – ProxyEnable : Autorise ou refuse l’utilisation d’un proxy – ProxyServer : Permet la description du proxy et de son port comme par exemple “http=localhost:8080”. – ProxyOverride : Configure l’évitement du serveur proxy

339 ZHPDiag – Module O4 GS (Global Startup) Le module O4 GS (Global Startup) de ZHPDiag  énumère l’ensemble des raccourcis d’applications placés dans certains dossiers de démarrage de Windows. De nombreux malwares placent des raccourcis dans le dossier “Windows\Start Menu\Programs”. C’est le cas notamment de certains logiciels superflus comme “SecurityTool“. Des logiciels légitimes aussi peuvent placer un raccourci dans ce dossier, c’est le cas par exemple d’Analog Clock d’Opera Software. Même s’il ne s’agit pas à proprement parlé d’un lien “Global Startup“, il est toutefois intéressant d’en avoir la liste dans ce module. Ajout de recherche dans d’autres dossiers utilisateurs afin de lister un plus grand nombres de liens commes ceux placés sur le “Bureau” et ceux lancès en “Quick Launch” par

89 ZHPDiag – Module O18 (Protocoles additionnels) L’installation d’un gestionnaire de protocole implique la copie de la ou des dll à un emplacement approprié, puis l’enregistrement du gestionnaire de protocole via le registre. L’application d’installation peut également ajouter une racine de recherche et des règles d’étendue pour définir une étendue d’analyse par défaut pour la source de données Shell. (Sources) Le module O18 de ZHPDiag liste les protocoles additionnels afin de vérifier la présence de ressources dynamiques nuisibles au démarrage des applications. La recherche s’effectue sur certaines clés de Base de Registres comme par exemple : [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\deflate] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\gzip] (A partir de Vista) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msnim] Aperçu ZHPDiag —\\ Protocole additionnel et piratage de protocole (O18) O18 – Filter: text/html – {950238FB-C706-4791-8674-4D429F85897E} – (no