analyse de scans hijackthis...?

hourrrah a écrit:

re.. Xp4,

"Fixer" avec hijackthis, agit sur le Registre mais ne supprime pas les fichiers.. Il y a qqch qui m'échappe.
Au passage, une chose auquel il faut veiller avec hijackthis quand on fixe des lignes très polluantes, c'est de désactiver la restauration système ..(ce qui a pour effet de supprimer tous les points de restauration).
Conserver ces points (vérolés), c'est réintroduire le probl. à la plus proche restauration.
Ne pas oublier de réactiver ensuite la restauration...

Bonjour à tous

Très intéressant à connaître cette pratique, désactiver la restauration système avant de fixier les lignes méchantes.
Est-ce que cela supprime les fichiers douteux ?

ami kituysha,
"Fixer" des lignes n'a de conséquence qu'au niveau de la base de registre, ce qui est primordial. Par ce biais, on supprime des lancements ( des run..), des redirections, des appels de .dll ..
Mais si le fichier existe (cela se verra dans les lignes C:\... du rapport =processus actifs OU dans les lignes O4 du rapport = processus lancés au démarrage), il demeure même s'il est provisoirement inactivé.
La solution la plus sûre, c'est alors de les supprimer en mode sans échec.
Amicalement

xp4 a écrit:

bonsoir Hourrrah,

j'ai bien suivi ce chemin mais il n'est pas dedans et en faisant une recherche, windows ne trouve rien et dans le dossier system le fichier de driver est pas présent , s'agit-il du fichier driver cache ?

bonjour a tous,

j'ai bien pris note pour la restauration systeme, mais deja il faudrai que je retrouve ce fichu parasite je le trouve pas en suivant le chemin

re.. xp4,
Dans ton scan de HiJackThis, il paraissait être là:
C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe
(driver étant un dossier..)
Peut-être que tu as fini par le supprimer à l'insu de ton plein gré...
Pour assurer le coup, refais un scan hijackthis pour voir s'il est toujours mentionné comme processus actif (running process) dans la 1ère partie du rapport...
Tiens-nous au courant.
Très cordialement

re Hourrrah,

il est toujours la et dans le meme chemin :


si je le fixe a nouveau en desactivant la restauration systeme puis en redemarrant , est-ce que ça peut fonctionner ou ça revient au meme

re.. xp4,
C'est dans cette liste-là que je te demandais de regarder:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe

Quant à supprimer la ligne 23 (Services NT càd services non microsoft), fais outils pour utiliser ensuite pour cette ligne le bouton suppression de ligne NT..

Ne jamais oublier que l'exe HiJackThis doit absolument être dans un dossier à lui où il est tout seul.. afin que les sauvegardes de lignes "fixées" s'effectuent correctement..
Exemple: c:\program files\hijackthis\hijackthis.exe

Tiens-moi au courant.
Très cordialement

hourrrah a écrit:

Ne jamais oublier que l'exe HiJackThis doit absolument être dans un dossier à lui où il est tout seul.. afin que les sauvegardes de lignes "fixées" s'effectuent correctement..
Exemple: c:\program files\hijackthis\hijackthis.exe

Bonsoir Hourrrah, Xp4

Je viens de faire la correction à ce sujet. Bon à savoir, Merci !

Xp4
Ton image fait 941 px de large, suis obligé de prendre la bécane pour aller à l'autre bout de l'écran.
Si cela m'arrive, que l'on se gêne pas de me le faire remarquer, merci !
Finalement quel est le résultat après avoir désactiver la restauration système ?

re Hourrrah et kituysha,

je viens d'effectuer la manip sans restauration systéme , ça donne rien , dsl pour la capture chez moi elle rentre dans l'ecran a l'aise , c pour cela que je l'est mise tel quel , sinon je l'aurai réduite .

Hourrrah , je t'avouerai que ça devient assez technique pour moi et je ne saisi plus du tout ce que je doit faire , la liste que tu me demande de regarder et bien le chemin pour trouver le dossier mais il n'y est pas et quand a la suppression de la ligne 23 je nage complet et qu'est ce que ce dossier exe ? moi j'ai un dossier BACK UP ou les lignes fixées sont enregistrées.

merci pour ton aide et ta comprehension

Re..Xp4,
Bon.. utilise, dans l'immédiat, cette autre méthode pour désactiver le service NTuser:
Démarrer / Exécuter / taper services.msc et cliquer sur OK

Dans la liste des services, chercher et sélectionner
"NTBOOTMGR (NTBOOT)" / double clic sur la ligne
Vérifier dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe " / dans Type de démarrage,
sélectionner Désactiver et valider la modification...

Après, on pourra utiliser l'onglet outils de Hijackthis..
Tiens-nous au courant
Très cordialement

bonsoir Hourrrah,

c fait je viens de desactiver le service NTuser , j'ai refait un scan , il n'est plus dans le LOG.

re.. xp4,
Merci de ton retour d'information.
ça permet de valider cette méthode pour les autres lignes 23 des scans de hijackthis qui révèleraint une nuisance.
Très cordialement

bonjour Hourrrah,

est-ce que l'on peut dire que le fait de l'avoir désactivé que mon probléme est RÉSOLU, car il reste inactif mais cependant il demeure dans le service local?

a quoi sert ce "NTBOOTMGR (NTBOOT)" et en quoi est-il méchant?

Re Hourrrah, bonjour Xp4

J'ouvre une petite parenthèse.

J'ai lu quelque part que l'utilisation d'HijackThis n'était pas indispensable pour les utilisateurs du navigateur Mozilla Firefox, ce dernier n'étant pas la cible d'intrusions comme l'est IE.

Est-ce une bonne information ?

salut kituysha,

la théorie du monde de Mozilla dit que si tu n'utilises jamais IE ni java sun machine , tu n'as pas besoin d'anti spywares, peu de gens sont dans ce cas de figure , moi personellement je suis obligé d'utiliser IE pour ouvrir ma boite hotmail.
entre nous! une analyse coute rien c comme une visite annuelle chez le dentiste , ça permet de détecter le mal et de le soigner , le tout remboursé par la sécu parce que l'utilitaire HijackThis est gratuit .

salut Xp4,
1) NTuser.exe est un exe qui est souvent squatté par des processus pernicieux. Il s'ingénie au fil des journées à recueillir des données qui ne donnent lieu à aucune exploitation. C'est un facteur de ralentissement.
Ce qui fait que les avis sont partagés:70 % pour le virer à tout prix et 30 % pour le tolérer, mais sans enthousiasme. Je fais partie des 70 %..
On devrait,en plus, supprimer le fichier mais je n'ai toujours pas compris comment il pouvait ne pas être là alors qu'il était chargé...


salut Kituysha,
2) Hijackthis examine la base de registres... et repère certaines "lignes" litigieuses. On peut prétendre qu'avec Mozilla ou FireFox les attaques intrusives seraient moindres car il y aurait moins de failles et que la base de registres serait épargnée. Je ne partage pas cette opininion..., le constat sommaire sur lequel est basée cette affirmation ne s'expliquant que par des données statistiques.

Amicalement

hourrrah a écrit:

salut Kituysha,
2) Hijackthis examine la base de registres... et repère certaines "lignes" litigieuses. On peut prétendre qu'avec Mozilla ou FireFox les attaques intrusives seraient moindres car il y aurait moins de failles et que la base de registres serait épargnée. Je ne partage pas cette opininion..., le constat sommaire sur lequel est basée cette affirmation ne s'expliquant que par des données statistiques.

Amicalement

Re Hourrrah

Pris bonne note, merci !