[résolu] Encore un rapport HijakThis

[wong]

RE mumu sw,

 

Avant de faire une optimisation, il est nécessaire que tu sois certain que ton PC est sain ( qu'il n'héberge pas un malware ), et stable ( pas de disfonctionnements ).

 

De plus, une optimisation se fait toujours avec l'accord du membre, et en expliquant toutes les actions qui seront entreprises

 

Tu peux la faire toi-même en suivant la procédure ci-dessous. Cette procédure est sans danger car tu pourras toujours revenir en arrière.

 

Pour pouvoir suivre ton optimisation, tu peux relever dans la partie inférieure du Gestionnaire de tâches : Le nombre de processus et la charge dédiée.

Tu le fais au début, et ensuite à la fin de chaque étape.

 

Pour accéder au Gestionnaire de tâches :

Soit : Ctrl + Alt + Suppr ( ou Del ).

Soit : Clique droit sur la barre des tâches, et dans le menu déroulant clique sur Gestionnaire de tâches

Soit : Démarrer > Exécuter > Tape : taskmgr et clique sur OK

 

 

ETAPE 1 :

 

 

Pour une optimisation, la première chose à faire c'est de supprimer tous les processus inutiles qui se lancent au démarrage du PC :

• Clique sur Démarrer
  
• Clique sur Exécuter
  
• Dans la fenêtre qui s'ouvre : Tape msconfig et clique sur OK
  
• Dans la nouvelle fenêtre : clique sur l'Onglet " Démarrage "
  
• Dans la nouvelle fenêtre : Décohe toutes les cases SAUF : Antivirus - Firewall - Anti-spyware, et éventuellement " connexion "
  
• Clique sur OK
  
• Une nouvelle fenêtre s'ouvre pour te demander de prendre en compte les modifications : Clique sur le bouton Redémarrer
  
• Dans la nouvelle fenêtre qui va s'ouvrir ( Utilitaire de configuration système ) : Coche la case " ne plus afficher ce message ", et clique sur OK
  

Pas d'inquiétude : les cases que tu as décochées dans l'onglet Démarrage, tu pourras, éventuellement, les recocher par la suite si cela ne te conveint pas ( en reprenant la procédure indiquée ).

 

 

1°) Le cas de ctfmon.exe : ( dont le nom complet est Alternative User Input Services ) est un processus générique de Windows NT/2000/XP servant à gérer les entrées de saisie texte alternatives telles que les logiciels de reconnaissance de la voix ( Speech recognition ), les logiciels de reconnaissance d'écriture, les claviers braille ou toute alternative au clavier. Il fait partie de la suite Microsoft Office. Il active la barre de language Microsoft Office. C'est un processus non essentiel, qui peut être arrêté : http://support.microsoft.com/kb/282599/fr

 

Pour pouvoir supprimer ctfmon.exe au démarrage, tu dois faire avant :

 

Panneau de configuration > Options régionales et linguistiques > Langues > Détails > Barre de langue > Cocher la case " Arrêtez les services de texte avancés ".

Après tu peux décocher la case dans l'Onglet "Démarrage" de msconfig.

 

2°) Le cas de RECGUARD : Présent sur les ordinateurs HP ou Compaq

Ce processus empèche de modifier la partion de secours ( D:\RECOVERY ) qui a permis de faire les CD/DVD de réinstallation.

Il vaut mieux conserver ce processus dans MSCONFIG.

 

 

ETAPE 2 :

 

 

Configuration des Services

 

Tu dois configurer tes services en te servant du tuto de Tesgaz : http://speedweb1.free.fr/frames2.php?page=service4

 

Un conseil : Bien lire les commentaires du tuto et, dans le cas où tu as un doute, tu mets le service en MANUEL

 

 

Pour accéder aux Services, voici 2 solutions :

 

1°) Démarrer > Exécuter et tape : services.msc

 

2°) Démarrer > Panneau de configuration :

• Double-clique sur " Outils d'administration "
  
• Double-clique sur " Services "
  

Dans la fenêtre qui s’affiche, tu as accès aux services présents sur ton PC : Vérifie que l'onglet Etendu situé au bas de la fenêtre soit bien actif.

• Double-clique sur le Service dont tu veux modifier le démarrage.
  
• Dans la fenêtre qui s'ouvre, tu as les possibilités suivantes :
  1°) Arrêter ce service en cliquant sur le bouton " Arrêter "
  2°) Modifier le démarrage en cliquant sur la petite flèche de la fenêtre " Type de démarrage " ( menu déroulant ).
  
• Une fois ton choix effectué : Clique sur OK
  
• Clique sur le bouton " Appliquer " ( pour prendre en compte tes modifications ).
  
• Clique sur OK
  
• Clique sur " Fichier " dans la barre des menus.
  
• Clique sur " Quitter "
  

Redémarre ton PC

 

 

 

Les mises à jour de JAVA et le fichier jusched.exe : En cours.

 

 

Cordialement.

[MAD­]

Bonjour.

 

Le fichier onceggcks.exe est très peu détecté par les antivirus.

Il serait intéressant de le fournir à Il Mafioso auteur de Navilog1 afin qu'il l'analyse.

Il n'est pas necessaire d'envoyer les fichiers via Jotti, VT, VirusChief & Cie car concernant les fichiers

de l'adware NaviPromo, les résultats n'assurent aucune fiabilité.

 

GenericNaviCheck v0.1 by IL-MAFIOSO
Credits: Malware Analysis & Diagnostic
+------------------------------------------------------+
[+] Testing GNC/GNS Technology on: onceggcks.exe
[!] NaviPromo - Malware/Packer id:{1c7fa15.3244000}
+------------------------------------------------------+

*** Fichiers suspects non supprimés par Navilog1 ***

!! Fichiers légitimes possibles, à contrôler avant suppression !!

C:\WINDOWS\system32\onceggcks.exe trouvé !

Le fix ne bute pas, c'est une protection mise en place sur les résultats de GenericNaviSearch. Navilog1 ne supprime pas ce genre de résultats si des règles bien précises ne sont pas réunies. Pour l'instant, la suppression (avec backups) de ce fichier n'est automatisé et traité par Navilog1 que s'il existe par exemple le même nom de fichier avec une autre extension typique au rootkit Navipromo (_navps.dat, ....)

A ce jour aucun cas de fichier qui a passé à travers de cette règle.

La remontée de fichier est une phase importante, nous estimons que la remontée aux helpers l'est aussi.

En espérant que ces informations aideront d'autres lecteurs de Zebulon.

 

Cheers,

L'équipe MAD.

[wong]

Bonjour MAD,

 

Merci pour ta réponse et pour tes précisions.

 

Cordialement.

[mumu_sw]

oui, merci MAD, pour ta reponse et aussi surement pour tout le travail fourni que je ne peux pas voir.

 

Ceci dit, je n'ai pas vraiment tout compris, et en pratique, que fais-je de ce cher onceggcks.exe? Je laisse en place en estimant qu'il disparaitra un jour ou l'autre dans une de mises à jour d'antivirus et je commence à optimiser la machine? ou j'essaye de le supprimer à la barbare?

 

mumu

[wong]

Bonjour mumu sw,

 

Tu peux renommer ce fichier.

 

Clique droit dessus > "renommer" et tape : onceggcks.exe.non ( ou onceggcks.old ).

 

Si ton PC marche bien, tu supprimeras ce fichier par la suite.

 

Cordialelment.

[mumu_sw]

Salut Wong,

 

J'ai renommé le fichier et mon ordinateur semble fonctionner correctement. J'ai aussi déposé ma plainte sur malware complainte. J'ai commencé à optimiser mon PC mais ca va me prendre plus de temps si je veux le faire proprement.

 

En tout cas je te remercie grandement pour ton aide, tes conseils et tout ce temps que tu m'as consacré.

 

Mumu

[wong]

Bonjour mumu sw,

 

Merci d'avoir dénoncé ton infection.

 

Pour l'optimisation, prend ton temps. Tu le fais par étapes.

 

Si tu n'as plus de questions, Edite ton 1er post ( édition complète ) et dans le titre rajoute [Résolu].

 

Cordialement.

Modifié le 20 septembre 2007 par wong