Entrées 04 en triple exemplaire, bug d'Hijackthis ?

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Entrées 04 en triple exemplaire, bug d'Hijackthis ?

Messagede belfurnis » 22 Juil 2011, 10:02

Bonjour,

Je viens de taper une très (trop) longue tartine décrivant les faits tels qu'ils m'apparaissaient être survenus, mais à la relecture je m'aperçois que mon pb n'est pas grave en soi. Et surtout que moult détails sans doute superflus n'auraient fait que vous embrouiller. Donc je vais tâcher de faire court (hum).

(ceci n'est pas une demande d'analyse, toutes mes excuses si je poste dans un mauvais fil)

Depuis quelque temps, Hijackthis m'affiche les entrées 04 pointant vers le dossier Démarrage en triple exemplaire. Exemple :

O4 - S-1-5-18 Startup: FastStone Capture.lnk = C:\Program Files\FastStone Capture 6.7_FR\FSCapture.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: FastStone Capture.lnk = C:\Program Files\FastStone Capture 6.7_FR\FSCapture.exe (User 'Default user')
O4 - Startup: FastStone Capture.lnk = C:\Program Files\FastStone Capture 6.7_FR\FSCapture.exe

J'ai 6 entrées comme ça, qui s'affichent en 18 exemplaires...
Le pb est nouveau, il n'existait pas le jour de l'install de HJT (il y a une dizaine de jours).
Les entrées Run du registre ne sont pas concernées, seules les lignes listant le contenu du dossier Démarrage sont affectées.
Le démarrage du système ne semble pas impacté (+/- 50 sec.)

Je suis seul utilisateur de ma machine, loggé en mode Admin (comme depuis toujours).
Comment faire pour que HJT ne liste pas les users (moi) superflus ?
Ou est-ce un bug d'Hijackthis ?
J'ai bien essayé avec l'exécutable (là, c'est le .msi), mais pb identique.

Le système est tout neuf, formaté il y a 3 semaines (réinstall en mode pépère), les changements apportés ces 10 derniers jours consistent surtout en des réinstallations de programmes que je connais bien pour les pratiquer depuis très longtemps, et ce sur la même config (pas de changement d'OS).
Je peux fournir la liste des programmes au besoin.

HJT v2.04 téléchargé chez Trend Micro en .msi et en .exe.
XP Pro SP3 à jour fraîchement réinstallé.

Merci d'avance à qui saura m'éclairer.

Oubli d'une précision : Dans C:\Documents and Settings, le dossier Démarrage de "All users" et "Default user" est vide, et inexistant dans "Administrateur". Seule ma session "Moi" contient les 6 raccourcis lancés au démarrage. Tout a donc l'air normal, excepté dans Hijackthis.
belfurnis
 
Messages: 5
Inscription: 01 Fév 2011, 20:51

Re: Entrées 04 en triple exemplaire, bug d'Hijackthis ?

Messagede nickW » 24 Juil 2011, 01:31

Bonsoir,

HijackThis est obsolète, il n'a pas été maintenu depuis sa cession à Trend Micro.

Exemple: il gère très mal Windows 7, ainsi que les systèmes 64-bit.

OTL de OldTimer n'a pas ces problèmes.

Mode d'emploi:

OTL (de OldTimer), téléchargement
Télécharger OTL.exe depuis l'un des liens ci-dessous:
http://oldtimer.geekstogo.com/OTL.exe
http://www.itxassociates.com/OT-Tools/OTL.exe
Enregistrer ce fichier sur le Bureau.


OTL (de OldTimer), analyse
Fermer toutes les fenêtres de programme ouvertes.

Faire un double clic sur OTL.exe pour lancer l'outil.
Si Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

L'écran principal de OTL s'affiche:
Image

Si ce n'est déjà fait, dans le paragraphe Registre: approfondi, cocher le bouton-radio Avec liste blanche:
Image

Si voulu, cocher (en haut) la case située devant Tous les utilisateurs:
Image

Puis cliquer sur le bouton Analyse:
Image

Laisser l'outil travailler sans l'interrompre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant un rapport (log).
Fermer le Bloc-notes.
Le second rapport est visible dans la Barre des tâches. Le fermer également.
Fermer la fenêtre de OTL.


Il y a création de deux rapports d'analyse: OTL.Txt et Extras.Txt.


Guide d'utilisation: OTL: Tutoriel.


Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Re: Entrées 04 en triple exemplaire, bug d'Hijackthis ?

Messagede belfurnis » 24 Juil 2011, 13:59

Bonjour nickW,

48 heures ont passé et je n'ai rien remarqué de notable, le PC se comporte normalement.

Voici les logs générés :

OTL.txt :
http://cjoint.com/?0Gyo1u7tR5D

Extras.txt :
http://cjoint.com/?0Gyo3mkW5tI

Merci de l'intérêt.

Edit : Effectivement, les lignes 04 listées par OTL sont conformes à ce que j'avais l'habitude de voir dans HJT avant le "bug".
S'il n'y a rien d'autre d'inhabituel, on peut classer l'affaire, mais je ne suis malheureusement pas assez familier des logs OTL pour en juger par moi-même (malgré le tuto). Je ne sais même pas quelles rubriques vérifier dans les logs :D
Merci :wink:
belfurnis
 
Messages: 5
Inscription: 01 Fév 2011, 20:51

Re: Entrées 04 en triple exemplaire, bug d'Hijackthis ?

Messagede nickW » 26 Juil 2011, 17:11

Bonjour,

Peut-être un petit défaut de sécurité:
Pour ta culture personnelle, ceci est visible dans "NoDriveTypeAutoRun = 145".

Désactiver la fonction de lancement automatique ("autorun") sur les lecteurs amovibles.
Voir ce sujet de Gof:
Guide sécurisation Windows face aux menaces infectieuses USB
viewtopic.php?t=25228
Le fichier de désactivation est téléchargeable depuis ce lien

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Re: Entrées 04 en triple exemplaire, bug d'Hijackthis ?

Messagede belfurnis » 26 Juil 2011, 21:17

Bonsoir nickW,

Merci pour cette piqûre de rappel, j'avais dans mes archives réinstallées un fichier "autorun_off.reg" - identique à celui de Gof - (& son pendant "autorun_on.reg"). J'avais complètement oublié de l'activer. Voilà qui est fait.

Si cela a résolu le pb de l'autorun, celui de HJT est toujours présent, mais on va considérer que c'est un bug de ce dernier et clore là l'affaire. D'autant que l'ordinateur démarre au quart de tour et tourne au poil, et qu'il n'y a absolument rien de suspect, du moins dans mes observations.

Merci à toi et bonne fin de soirée.
belfurnis
 
Messages: 5
Inscription: 01 Fév 2011, 20:51


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 36 invités

cron