Rapport hijackthis... Help !!!

Thanos · le 25 avril 2006

salut serp_ico

Une p'tite question (une de plus), c'est curieux, je 'avais pas ces dossiers dans Hijackthis auparavant, est ce normal : backup-20060423-161653-310, qui contient :
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

Oui tout à fait normal ne t'inquiête pas :-( Le dossier Backup que tu trouves dans le dossier Hijackthis, correspond aux sauvegardes que fait celui ci avant d'éliminer quoique ce soit.(une sécurité!!) Tu peux,si tu veux,sélectionner les éléments que tu trouveras dans ce dossier: C:\Program Files\hijackthis\backups

et les éliminer.

Je n'y connais rien mais j'ai l'impression en regardant ce rapport qu'un millier de trucs inutiles tournent sur ma machine...

Un peu de ménage à faire dans les lignes 04 qui corespondent aux applications qui se lancent au démarrage! on peux le faire si tu veux :-P

En tout cas, mon clavier fonctionne partfaitement, ainsi que le pavet que je désactive en principe, pour ne pas être embeté quand je tape

Oufff!! tu me rassure!

Ok, apparement, au rédemarrage plus de problèmes, cela devait effectivement venir de mon firewall... (Quel ane, désolé de te faire perdre du temps)

Ok!! super!(pas de souci on es là pour ca!)

Ton nouveau rapport hjt est clean!

Deux remarques: on voit le même processus qui se lance plusieurs fois et qui bouffe des ressources! ce processus s'apelle sbdl.exe et il est lié à Spyblocker.Ton pc risque de ramer,consulte la page suivante, ou Saclès donne une solution pour cet exécutable qui se lance en plusieurs fois =>

http://assiste.forum.free.fr/viewtopic.php...00861c549e74c1b

vpshell2.dll semble bloquer l'effacement du dossier C:\Program Files\fichiers communs\symantec shared.

renomme cette dll comme ceci=>

Fais un clic droit sur le fichier vpshell2.dll, et choisis "renommer" dans la liste qui se déroule.

renomme le fichier en vpshell2.dll.old puis valide.

Ensuite élimine le dossier C:\Program Files\fichiers communs\symantec shared

Passe ATF cleaner:

*Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

Qu'est ce que "regsearch"

En fait je ne t'en ai pas parlé avant! Regsearch est un outil qu'on utilise pour faire des recherches dans la base de registre:Laissons ca de côté pour l'instant!!

Par contre tu vas nettoyer cette même base de registre comme ceci=>

-Télécharge jv16 et met le dans un dossier:

http://telechargement.zebulon.fr/201-jv16-powertools.html

-son tutorial pour l'utiliser correctement ,ici:

http://www.zebulon.fr/articles/base-de-registre-3.php

*Lance JV16

- Mets le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Clique sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer".Tu peux virer toutes les entrées en vert.

-Si ca ne fonctionne pas du premier coup,recommence!

Bon, qu'en est il du pc? est ce que tu reçois toujours des alertes de Zone Alarm?le pc fonctionne normalement?

serp_ico · le 26 avril 2006

Salut Charles Ingals :-( ,

Je veux bien effectivement que tu m’aides à faire un peu le ménage… C’est adorable en tout cas ! Merci…

J’ai lu les réponses de Saclès au sujet de Spyblocker, et j’ai donc décoché « use safe loading »…

Quant à vpshell2.dll, après l’avoir renommé, aucun problème pour supprimer le dossier symantec shared !!! Mais où trouves tu ces solutions miracles ???

Jv16 Power Tools :

Et bhé !!! Je t’avoue que lorsque j’ai vu plus de 400 entrées, j’ai hésité à deux fois avant d’effacer !!! Bon, apparemment, ce n’était effectivement que des entrée obsolètes ou des clés qui ne servaient plus (symantec par exemple), et je te fais entièrement confiance…

Ma machine ne fonctionne pas trop mal, mais j’ai quelques trucs curieux parfois, ce qui n’arrivait pas il y a encore quelques temps… Par exemple, des messages du type « internet explorer a rencontré un problème et doit fermer », alors que je n’ai même pas lancé IE !

Sinon, je continu de répondre (je l’espère pas trop mal) aux questions de mon firewall qui se configure doucement… Mais sûrement ! Il me pose de moins en moins de questions, et je pense que je vais garder la version Pro avec son antispy… Quitte à débourser quelques euros !

Encore une fois, merci de ton aide :-P

serp_ico · le 26 avril 2006

Oups... J'ai parlé un peu vite... Jv16 tools n'arrive pas à nettoyer le registre... Lorsque je selectionne tout, et que je fais supprimer, il ne se passe rien

J'avais l'impression que cela avait marché tout à l'heure, mais finalement, le programme s'était fermé...

Edit : Au bout de plusieurs tentatives, cela a finalement marché ! :-P

Modifié le 26 avril 2006 par serp_ico

Thanos · le 27 avril 2006

re serp_ico :-(

Content que ca fonctionne

Ma machine ne fonctionne pas trop mal, mais j’ai quelques trucs curieux parfois, ce qui n’arrivait pas il y a encore quelques temps… Par exemple, des messages du type « internet explorer a rencontré un problème et doit fermer », alors que je n’ai même pas lancé IE !

Et si tu l'abandonnais lâchement pour utiliser plutôt Firefox....

Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe:

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial: http://forum.zebulon.fr/index.php?showtopic=69628

Je te laisse quelques conseils de sécurité pour finir et du nettoyage :-P !

Les utilitaires que tu peux garder:

* Ewido:

c'est une version d'essai,qui perd certaines fonctions payantes,(pas de protection résidente apres 14 jours)

mais il reste efficace!Met le à jour avant de scanner ton pc.Excellent antitroyan.

* Zebrestore:

Pour réparer des dégats causés par des malwares dans la base de registre.

* Autoruns de Sysinternals:

Excellent programme qui te donne une vue globale de ton système.

Le tutoriel de tesgaz ici=> http://speedweb1.free.fr/forum-tesgaz/view...c.php?p=151#151

* ATF Cleaner by Atribune:

Tres bon nettoyeur simple d'utilisation et léger.

Les tools à éliminer:

kilrx.reg - DelDomains.inf - Fix_Protocol_zones_ranges.reg

Ils te sont désormais inutiles!.

Je t'avais fais faire ceci pour avoir acces à tous les fichiers =>

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

A présent recache tous ces dossiers pour ne pas en effacer un par erreur!

Conseils de sécurité de base=>

-Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier( journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

Pour en savoir plus, consulte la page de ipl_001:

http://gerard.melone.free.fr/IT/IT-AM0.html

Voici les utilitaires et programmes que tu peux installer pour sécuriser ton pc:

Si tu veux toujours utiliser IE! :

=>Télécharge Ie-spyad2 d'Eric L. Howes:

Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit=>(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

=> ZebProtect (pour sécuriser les ports de ton pc,très simple)

-Tutorial:http://www.zebulon.fr/articles/zebprotect.php

-Téléchargement: http://telechargement.zebulon.fr/123.html

=> Si tu veux tester ton firewall : scanner les ports du pc:

http://www.pcflank.com/

=>SpywareBlaster:

http://www.javacoolsoftware.com/downloads.html

Son tuto:

http://www.ordi-netfr.org/tutorialspywareblaster.html

=>Ad-awareSEun excellent antispyware pour scanner le pc( pour bénéficier de la protection en temsp réel, il faut choisir la version payante)

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

http://tutopat.hostonet.org/viewtopic.php?t=207

=>SpyBot-Search & Destroy(intègre une protection en temps réel apellée Teatimer)

http://spybot.safer-networking.de/fr/download/index.html

Son tuto

http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

* Regprot(petit utilitaire tres léger:144ko!)pour protéger ta base de registre:

(ne pas utiliser avec le teatmer)

-Téléchargement:

http://www.diamondcs.com.au/index.php?page=regprot

Si tu as des questions, n'hésite pas

serp_ico · le 27 avril 2006

Salut Charles Ingals,

Des questions, tant que je ne suis pas aussi calé que toi, je vais encore en avoir, c'est certain ! :-(

Merci de tout ces precieux conseils. Depuis que je suis sur ce site, tout à fait par hasard d'ailleurs, toi, comme d'autres qui m'ont aidé à mieux comprendre le fonctionnement de mon PC, avez réussi à me faire aimer l'informatique... Ce qui n'était pas gagné avant le coup !!!

J'ai encore deux p'tites questions avant de clore ce sujet qui fut bien instructif (même si j'ai ramé un peu parfois)...

Voici ce que j'ai dans ma machine :

Ad-Aware

Ewido

Spybot - Search & Destroy

Spyblaster

... Et Spyblocker que j'ai acheté (excellent !!!)

Ainsi que :

Autorun

Zeb-Restore

CCleaner

jv16 Power Tools

msconfig

ATF Cleaner

J'imagine que parmi tout ça, je peu virer quelques trucs, jv16, ATF et msconfig par exemple ?

Le reste, selon tes conseils, je garde...

Je vais peut être opter pour firefox... Mais cela fait tellement longtemps que j'utilise IE :-P

Quant à Zeb Protect, j'ai déjà imprimé le tuto... Reste plus qu'à l'installer (je sens qu'il va y avoir des questions)

Je pense qu'il ne reste plus grand chose de Norton... Si ce n'est une ligne dans "ajout/suppression de programmes"... Je sais que ce n'est pas grand chose mais je suis perfectionniste !

Et puis je ne suis pas certain que mon PC soit parfaitement configuré, dans le sens ou je tatonne un peu (pas mal de trucs qui se lancent au démarrage par exemple)...

Quoi qu'il en soit, UN GRAND MERCI à TOI !

...Ah voui... Qu'est ce que "teatmer" ? (Chiant je suis)

Modifié le 27 avril 2006 par serp_ico

Thanos · le 28 avril 2006

salut serp_ico :-P

Merci pour tes mots sympas

J'imagine que parmi tout ça, je peu virer quelques trucs, jv16, ATF et msconfig par exemple ?

jv16,je te conseille de le garder!!il est gratos et nettoie très bien la base de registre qui se blinde de clés obsolètes à mesure que tu installe/désinstalle des programmes! jv16 contribue en fait à optimiser le système en quelque sorte! utilise le de temps en temps.

ATF Cleaner,c'est aux fichiers inutiles qu'il s'attaque , c'est un excellent programme! Tu l'utilises pour nettoyer ton pc, et ca te fait gagner de l'espace disque en plus!

msconfig?? tu ne peux que le garder,ca fait partie intégrante de windows on parle bien de l'utilitaire de configuration système?? Si c'est bien de ca dont tu parles, pas moyen de le virer...mais autoruns le remplace largement!!

un peu de lecture sur MSconfig => http://www.zebulon.fr/articles/msconfig.php

Je pense qu'il ne reste plus grand chose de Norton... Si ce n'est une ligne dans "ajout/suppression de programmes"... Je sais que ce n'est pas grand chose mais je suis perfectionniste !

Norton est une pieuvre!!le nombre de clés de registre qu'il crée est impressionnant!!C'est quoi qu'il reste exactement dans ajout/suppression?

..Ah voui... Qu'est ce que "teatmer" ? (Chiant je suis

Le teatimer, c'est un module de Spybot qui protège le pc des modifications qui pourraient être faites par un spyware dans la base de registre.(une protection en temps réel, comme celle de ton antivirus)A ne pas utiliser si tu as Spyblocker qui tourne par exemple!

Si tu as d'autres questions... :-(

Modifié le 28 avril 2006 par charles ingals

serp_ico · le 28 avril 2006

Salut Charles Ingals,

Et bhé, je vois que ton boulot t'as rendu insomniaque :-( !

En fait, j'ai téléchargé ms config... Peut être que je l'avais déjà ??? Bizarre...

Je vais donc garder les utilitaires, d'autant qu'ils ne prennent pas trop de place !

Quant à Norton, dans "ajout et suppression de programmes", il reste une ligne "syantec antivirus client", mais il n'y a aucun choix (je ne peux pas le supprimer), ni la taille du fichier... Une tentacule de la pieuvre en quelque sorte .

J'ai effectivement spyblocker qui tourne... C'était juste par curiosité pour teatimer.

Je suis d'ailleurs ravi de spyblocker, il rammasse un sacré nombre de cochoneries !

J'ai effectivement encore une 'tite question... Désolé :-P

J'ai scanné mon PC avec mes differents anti-malware et autres anti-spy en tout genre, et spybot me trouve deux trucs... Cela n'a pas l'air bien méchant mais je me demande ce que c'est...

Le premier s'appelle Windows Security Center.AntivirusOverride

Réglages

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntivirusOverride!=dword:0

J'imagine que c'est relatif aux registre et donc... à ce cher Billou

Par contre, l'autre truc m'inquiète plus :

Windows.RedirectedHosts

Host redirigé

altavista.com

Host redirigé

auto.search.msn.com

Host redirigé

www.spycleaner.net

Si tu peux éclairer ma lanterne... Encore un fois !

Merci de ton aide précieuse en tout cas, je vais finir par savoir me débrouiller tout seul (enfin j'espère), et peut être même donner quelques conseils aux novices un jour (enfin, c'est pas demain la veille)...

Bonne journée

serp_ico · le 1 mai 2006

Salut...

Peux tu m'éclairer sur ces "Windows.RedirectedHosts" ?

Bonne fête du muguet...

Thanos · le 1 mai 2006

salut serp_ico

Excuse moi de pas avoir répondu plus tôt !!

Ton fichier hosts est tout ce qu'il y a de plus clean!! c'est SpyBlocker qui a ajouté les entrées que tu peux voir dans le fichier.Est ce que tu as le rapport de Spybot?

Spybot mentionne ces adresses=>

altavista.com

auto.search.msn.com

www.spycleaner.net

si, dans ton fichier Hosts , tu vois 127.0.0.1 devant une adresse , tu ne pourras pas y accéder . Regarde dans ton fichier Hosts pour voir si cette ip(127.0.0.1) figure devant les adresses mentionnées pas Spybot.

Pour les deux premières adresses,(altavista.com et auto.search.msn.com) je ne voit pas pourquoi elles feraient partie des sites dits "à risque" .

Par contre, pour la dernière (www.spycleaner.net) ca peut être compréhensible :

spycleaner était considéré il y a quelque temps comme un logiciel à l'efficacité douteuse, et avait du coup était catalogué dans la "rogue list"(liste d'utilitaires de sécurité douteux voire dangereux) =>

http://spywarewarrior.com/rogue_anti-spyware.htm

Ceci dit, il a été retiré de la liste depuis , parce que ses concepteurs ont fait un effort pour le rendre fiable!

Pas de soucis donc(vérifie par curiosité!essaie d'accéder à ces adresses depuis IE par exemple!).

Quant à Norton, dans "ajout et suppression de programmes", il reste une ligne "syantec antivirus client", mais il n'y a aucun choix (je ne peux pas le supprimer), ni la taille du fichier...

Tu peux si tu veux lancer une recherche avec Regsearch sur cet élément "symantec antivirus client"

et poster ici le contenu, on virera ce qu'il reste :-P =>

- Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php

- dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle les entrées en bleu dans les lignes de la zone de recherche:

symantec antivirus client

- rien dans la ligne "Enter string to exclude from results"

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

Le premier s'appelle Windows Security Center.AntivirusOverride
Réglages

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntivirusOverride!=dword:0

C'est juste une alerte de Spybot qui te précise qu'une ou plusieurs notification dans le Centre de Sécurité Windows ont été désactivées (par exemple le message qui te dit que ton antivirus n'est plus à jour).

Etant donné que tu utilises Antivir et que tu n'utilises pas le parefeu intégré à Windows, ca ne te concerne pas! D'autres infos chez Spybot ici=>

http://forums.spybot.info/showthread.php?t=109

@+tard :-(

Modifié le 1 mai 2006 par charles ingals

serp_ico · le 2 mai 2006

Salut Charles Ingals,

Pas grave pour le temps... Ce n'était pas un virus qui rongeait mon PC ! :-(

J'espère que tout va bien pour toi...

Effectivement, je ne peux pas acceder aux sites :

altavista.com

auto.search.msn.com

www.spycleaner.net

Je comprends mieux pourquoi maintenant que tu m'as expliqué que c'était Spyblocker qui avait ajouté ces adresses...

Pour les restes de Symantec, pas que ce soit très génant, mais bon je suis un peu un maniaque de la propreté, et ces résidus de Norton n'ont pas grand chose à faire dans ma machine...

Voici le rapport de regsearch :

REGEDIT4

; Version: 2.0.0.1

; Results at 02/05/2006 17:14:27 for strings:

; 'symantec antivirus client'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\9526CFE08DA32DC4CB754D39A75FCCE0]

"ProductName"="Symantec AntiVirus Client"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\9526CFE08DA32DC4CB754D39A75FCCE0\SourceList]

"PackageName"="Symantec AntiVirus Client.msi"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9526CFE08DA32DC4CB754D39A75FCCE0\InstallProperties]

"DisplayName"="Symantec AntiVirus Client"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NORTON_ANTIVIRUS_SERVER\0000]

"DeviceDesc"="Symantec AntiVirus Client"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NORTON_ANTIVIRUS_SERVER\0000]

"DeviceDesc"="Symantec AntiVirus Client"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NORTON_ANTIVIRUS_SERVER\0000]

"DeviceDesc"="Symantec AntiVirus Client"

; End Of The Log...

Voilà... Encore un fois, merci du coup de main !

J'ai une 'tite question qui n'a rien à voir avec ça. je remarque que parfois, ma connection internet rame, ce qui n'était pas le cas avant (j'ai le cable avec un modem wifi et une connection 10 mégas)... Il est même des fois ou je n'arrive pas à afficher les pages ! As tu une explication à ce phénomène auquel je n'ai trouvé aucune raison valable ?

à + tard... :-P

Modifié le 2 mai 2006 par serp_ico

Connexion

Pas encore inscrit ?

Rapport hijackthis... Help !!!

Messages recommandés

Thanos

serp_ico

serp_ico

Thanos

serp_ico

Thanos

serp_ico

serp_ico

Thanos

serp_ico

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer