Analyse Hijackthis

[Thanos]

salut

 

Pour le fichier dans download program files, je l'ai pas, j'ai essayé avec killbox mais je n'ai pas le fichier (je précise que j'ai affiché tous les fichiers et les fichiers systeme)

 

J'ai fait la maj de Java

 

Pour le scan des ports, rien d'ouvert.

Ok !merci pour les infos.

 

Je vois que tu as éliminé deux valeurs dans une clé du Registre, on va les recréer comme ceci à présent :

 

* Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""

-Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau"

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant: rem.reg

-Dans le champs"Type" en bas de page ,choisis: "tous les fichiers"

-ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitte le Bloc Notes.

=>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer:

si ce n'est pas le cas,reprends les informations ci dessus et recommence!

 

*Double clique sur le fichier rem.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

*Redémarre ton pc et dis moi si tu vois encore cette boite au démarrage.

 

*Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

Ca va nous permettre de faire une petite recherche d'infection Edgaccess au cas ou...

 

Le problème que tu décris n'est pas de nature infectieuse à mon avis(comme tu t'en doutes).

 

Combien de pc en réseau??Je n'ai jamais entendu parler d'un bug d' Ad-Aware SE qui afficherait des fenêtres au démarrage d'une session , je continue la recherche

Modifié le 22 novembre 2006 par charles ingals

[jam1]

salut

 

Combien de pc en réseau??Je n'ai jamais entendu parler d'un bug d' Ad-Aware SE qui afficherait des fenêtres au démarrage d'une session , je continue la recherche

 

 

Pour le bug d'Adawre, j'ai vu une personne signalant ce probleme sur leur forum (elle n'a pas eu de réponse). C'est un probleme récurent avec le résident d'Adaware, il plante le registre au niveau des associations de fichiers, par contre heureusement la fenêtre ne vient pas a chaque fois.

 

J'ai posté ce midi sur leur forum

 

Pour le nombre de PC, ca varie mais souvent 7.

 

Je fais ce que tu m'a demandé.

 

Merci

[Thanos]

attend!!! je te refais le fichier reg , il manque quelque chose!! 2 petites secondes

 

* Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""
"system"=-
"system"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"legalnoticecaption"=-
"legalnoticetext"=-
"legalnoticecaption"=""
"legalnoticetext"=""

-Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau"

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant: rem.reg

-Dans le champs"Type" en bas de page ,choisis: "tous les fichiers"

-ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitte le Bloc Notes.

=>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer:

si ce n'est pas le cas,reprends les informations ci dessus et recommence!

 

*Double clique sur le fichier rem.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

Après ca tu suis le reste ! Merci à Kimberly

Modifié le 22 novembre 2006 par charles ingals

[jam1]

RAS pour le registre, j'ai rajouté les 2 clés via le fichier reg mais c'est idem.

 

J'avais testé de mettre des valeurs dans ces 2 clés mais ce que j'ai mis ne s'affichait pas au démarrage donc en dernier ressort je les avait supprimées.

 

Voila le scan est finit, 0 fichier trouvé.

 

Je le sens pas trop cette affaire

Modifié le 22 novembre 2006 par jam1

[Thanos]

salut jam1

 

Je cherche toujours la raison de cet affichage Ca n'est pas dû à un malware je pense.Est ce que tu te souviens du moment ou ces fenêtres sont apparues? as tu installé un programme avant?

 

Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

 

Je continue la recherche et te dis si je trouve quelque chose. A part ce souci là, le pc fonctionne normalement?

Modifié le 23 novembre 2006 par charles ingals

[jam1]

Salut,

bon j'ai été obligé de redonner le PC à mon client car ca devenait urgent.

 

Je suis sur que le pc est clean de virus et malware avec tout ce que j'ai passé.

 

Je suis sur aussi que c'est adaware (version pro avec ad-monitor et maj auto) qui est la cause de ce problème:

- le probleme est survenu sur plusieurs PC avec les mêmes symptomes, un plantage qui remet les paramètres de ad-monitor par défaut (controle du registre, controle de la zone de démarrage...) et donc les associations de fichiers qui sautent.

- je corrige le probleme du registre avec des fichiers reg, la plupart du temps pas de soucis et parfois ca crée l'affichage de la fenêtre (sans raison visible) mais en tout cas le pc fonctionne sans problème, cette fenêtre n'est pas bloquante.

 

Je ne peux plus rien faire sur ce pc mais je veux bien avoir des infos si tu trouves quelque chose.

 

En tout cas merci beaucoup pour le temps que tu as pris pour m'aider

Modifié le 23 novembre 2006 par jam1

[Thanos]

ok! je vois que tu es sur le forum de Lavasoft Si j'ai le temps, je posterait un MP à Calamity Jane(Modératrice du forum) pour voir ce qu'elle en pense.

A suivre...

[jam1]

ok! je vois que tu es sur le forum de Lavasoft

 

 

Oui mais j'ai pas un gros succès la-bas

[Thanos]

c'est à dire? tu as posté e tu n'as pas reçu de réponse?

[jam1]

c'est à dire? tu as posté et tu n'as pas reçu de réponse?

 

 

Ben oui pas une mais y'a pas l'air d'avoir grand monde la-bas