RESOLU !! Je ne sais comment nettoyer ma base de registre des

[nickylarson]

Bonsoir à vous ^^

 

Je viens demander votre aide suite à ceci : hier, je dl chez vous la nouvelle version de ce sympathique logiciel qu'est Zeb Help Process, et je constate tout content une nouvelle option : ZHP Diag, avec lequel j'effectue un scan.

 

Il m'apprend que ma base de registre comporte 5 infections; seulement, je ne sais comment traiter le problème ^^' Voici les soucis :

 

071-BDRI:[hklm\software\microsoft\windows\currentversion\internet settings\zonemaps\domains\net-nucleus.com]

 

071-BDRI:[hklm\software\microsoft\windows\currentversion\internet settings\zonemaps\domains\contentmatch.net]

 

071-BDRI:[hkcu\control panel\don't load]

 

071-BDRI:[hklm\software\microsoft\internet explorer\shearchscopes]:defaultscope

 

071-BDRI:[hklm\software\microsoft\windows\currentversion\policies\explorer]:forceclassiccontrolpanel

 

De plus, mon Firefox est fort ralenti depuis 1 mois; un ami m'a conseillé de faire un scan avec GMER; j'ai donc dl celui-ci et je mets ici le rapport à toutes fins utiles pour le cas ou ce problème serait lié avec les infections de ma base de registre :

 

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2008-08-19 19:24:50

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.14 ----

 

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xF0DFA040]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xF0DF6930]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateKey [0xF0E01A80]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xF0DFA510]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xF0E00870]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xF0E00AA0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xF0E03FD0]

SSDT F9C3527C ZwCreateThread

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xF0DFA600]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xF0DF6F20]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xF0E026E0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xF0E02440]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xF0E00580]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xF0E028B0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xF0DF6D70]

SSDT F9C35268 ZwOpenProcess

SSDT F9C3526D ZwOpenThread

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xF0E03250]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xF0E02CB0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xF0DF9C00]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xF0E03080]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xF0DFA220]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xF0DF7120]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xF0E02140]

SSDT F9C35277 ZwTerminateProcess

SSDT F9C35272 ZwWriteVirtualMemory

 

---- Kernel code sections - GMER 1.0.14 ----

 

.text ntoskrnl.exe!_abnormal_termination + 104 804E2760 12 Bytes [ 10, A5, DF, F0, 70, 08, E0, ... ]

? srescan.sys Le fichier spécifié est introuvable. !

 

---- User code sections - GMER 1.0.14 ----

 

.text C:\WINDOWS\Explorer.EXE[1260] SHELL32.dll!SHFileOperationW 7CA8067C 5 Bytes JMP 02A81102 C:\Program Files\Unlocker\UnlockerHook.dll

 

---- Kernel IAT/EAT - GMER 1.0.14 ----

 

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F0DFECA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F0DFF1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F0DFF320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F0DFEE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F0DFECA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F0DFF320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F0DFF1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F0DFEE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F0DFF320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F0DFF1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F0DFECA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [F0E0C330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F0DFEE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F0DFECA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F0DFF1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F0DFF320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F0DFECA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F0DFEE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F0DFF320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F0DFF1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [F0DF7670] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [F0DF75C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [F0DF7770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile] [F0DF72D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

 

---- Devices - GMER 1.0.14 ----

 

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

 

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

 

---- EOF - GMER 1.0.14 ----

 

 

Je ne sais pas si je dois faire autres choses, dites le moi s'il y échet

 

Un tout grand merci d'avance ^^

Modifié le 28 août 2008 par nickylarson

[Falkra]

Ton rapport gmer ne montre rien d'infectieux, ton ami t'a mal conseillé, les entrées appartiennent à ton firewall pour la plupart, à des logiciels légitimes. Si tu fais une fausse manip, bonjour les dégâts.

 

Les 071 ne sont pas forcément infectieuses (module du panneau de config retiré à la main ou par logiciel de tweak, etc...), vois la discussion dans le sujet ZHP (zupport logiciels zebulon).

[nickylarson]

Oki, merci à toi

 

Heu, juste si je peux encore demander ceci : tu n'aurais pas une idée de ce qui peut ralentir ainsi mon Firefox ?? Je suis bien protégé, je suis un surfeur consciencieux, donc je ne vois pas à quoi c'est dû... Mon log Hijack this est clean d'après Zeb help process, et j'ai essayé d'installer opéra pour voir mais çà change rien du tout...

 

Ha oui, une toute dernière question : j'utilise toujours Firefox, alors pourquoi quand j'utilise Hijack this ou un truc du genre, je vois toujours apparaître une ou plusieurs lignes qui contiennent en gros les termes "internet explorer 7 ??"

 

Merci pour ta patience, j'ai bien conscience que je dois commencer à te pomper avec toutes mes questions ^^'

[Falkra]

j'ai essayé d'installer opéra pour voir mais çà change rien du tout...

Si Opera rame aussi, c'est un problème côté connexion ou logiciels en amont (firewall, antivirus, etc).

 

Hijackthis vérifie des paramètres d'IE car ils sont très souvent attaqués.

 

Merci pour ta patience, j'ai bien conscience que je dois commencer à te pomper avec toutes mes questions ^^'

Mais non. Les questions sont bienvenues, comprendre c'est déjà pouvoir agir. Donc n'hésite pas.

 

Pour Firefox il faut m'en dire plus. Opera rame aussi ?

C'est le programme qui rame (met longtemps à s'afficher) ou l'afifchage des pages web, le téléchargement de fichiers. Tu es en wifi ?

[nickylarson]

Hé bien, c'est surtout l'affichage des pages qui a subitement ralenti : pour le download, tout va bien.

 

Parfois, Firefox prend + de 80/100 de mon UC, et parfois il a une consommation normale de ressources mais il est lent quand même... Je sais, c'est très bizarre ^^

 

Bon, de toute façon, il est un fait que ce n'est pas encore dramatique, mais çà devient très lourd quand même, surtout qu'avant, tout allait bien, ce qui d'autant plus frustrant

 

Et j'ai ma connexion par câble via mon distributeur télé.

Modifié le 19 août 2008 par nickylarson

[Falkra]

Sur que c'est frustrant, ça casse les pieds ce genre de trucs. Cela peut venir d'une extension de Firefox qui serait en trop.

 

On va essayer le mode sans échec (de firefox, pas de windows)

* Ferme toutes les fenêtres firefox.

* Dans le menu démarrer, groupe mozilla firefox, tu as un raccourci pour lancer firefox en mode sans échec.

 

Cela te proposera ce mode allégé.

* Ne coche aucune case, cela rendra les changements temporaires, une fois fermé et relancé, firefox repartira en mode normal.

* Clique sur "poursuivre en mode sans échec", et surfe un peu pour comparer.

[nickylarson]

Ecoute, sans vouloir te jeter des fleurs, tu es génial ^^

 

Cà avance de nouveau comme avant

 

Dans, ce cas, dois-je maintenant cocher des paramètres pour qu'ils restent pemanants, ou je dois toujours revenir par le menu démarrer pour l'utiliser ?

 

Heu, juste la lecture de vidéos en streaming qui est toujours plus lente qu'avant...

Modifié le 19 août 2008 par nickylarson

[Falkra]

Meuh non meuh non, j'y passe trop de temps par jour (14-15h maxi).

 

Ce n'est que le début, mais on va pouvoir trouver ce qui ne va pas.

Ce mode sans échec désactive presque tout, alors ce n'est pas génial pour le reste de tes extensions, qui sont utiles. Il faut juste qu'on trouve la coupable.

 

Dans le menu "outils", "modules complémentaires", est-ce que la liste de extensions est longue ? Si elle n'est pas longue, peux-tu poster le nom des extensions installées (en mode normal de FF) ?

[nickylarson]

Heuuuuuuuuuuuuuuuuuuuuu, tu me crois si je te dis que je n'ai aucune extension ??!!

 

Hé hé, je t'avoue que je devrais voir à en installer, mais je sais pas lesquelles sont biens ^^'

[Falkra]

Heuuuuuuuuuuuuuuuuuuuuu, tu me crois si je te dis que je n'ai aucune extension ??!!

Oui, bien sûr.

 

Est-ce que le theme graphique a changé en passant en mode sans échec ?

Dans modules complémentaires, il y a aussi les themes, et les plugins, mais plugins la liste peut être longue.

Ca peut aussi être un réglage ou autre chose. Proxy ?

 

Hé hé, je t'avoue que je devrais voir à en installer, mais je sais pas lesquelles sont biens ^^'

Je te proposerai des extensions de sécurité si tu veux, une fois qu'on aura trouvé ce qui ralentit tout ça.