Assiste.Forums

[belfurnis]

Bonjour,

Je viens de taper une très (trop) longue tartine décrivant les faits tels qu'ils m'apparaissaient être survenus, mais à la relecture je m'aperçois que mon pb n'est pas grave en soi. Et surtout que moult détails sans doute superflus n'auraient fait que vous embrouiller. Donc je vais tâcher de faire court (hum).

(ceci n'est pas une demande d'analyse, toutes mes excuses si je poste dans un mauvais fil)

Depuis quelque temps, Hijackthis m'affiche les entrées 04 pointant vers le dossier Démarrage en triple exemplaire. Exemple :

O4 - S-1-5-18 Startup: FastStone Capture.lnk = C:\Program Files\FastStone Capture 6.7_FR\FSCapture.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: FastStone Capture.lnk = C:\Program Files\FastStone Capture 6.7_FR\FSCapture.exe (User 'Default user')
O4 - Startup: FastStone Capture.lnk = C:\Program Files\FastStone Capture 6.7_FR\FSCapture.exe

J'ai 6 entrées comme ça, qui s'affichent en 18 exemplaires...
Le pb est nouveau, il n'existait pas le jour de l'install de HJT (il y a une dizaine de jours).
Les entrées Run du registre ne sont pas concernées, seules les lignes listant le contenu du dossier Démarrage sont affectées.
Le démarrage du système ne semble pas impacté (+/- 50 sec.)

Je suis seul utilisateur de ma machine, loggé en mode Admin (comme depuis toujours).
Comment faire pour que HJT ne liste pas les users (moi) superflus ?
Ou est-ce un bug d'Hijackthis ?
J'ai bien essayé avec l'exécutable (là, c'est le .msi), mais pb identique.

Le système est tout neuf, formaté il y a 3 semaines (réinstall en mode pépère), les changements apportés ces 10 derniers jours consistent surtout en des réinstallations de programmes que je connais bien pour les pratiquer depuis très longtemps, et ce sur la même config (pas de changement d'OS).
Je peux fournir la liste des programmes au besoin.

HJT v2.04 téléchargé chez Trend Micro en .msi et en .exe.
XP Pro SP3 à jour fraîchement réinstallé.

Merci d'avance à qui saura m'éclairer.

Oubli d'une précision : Dans C:\Documents and Settings, le dossier Démarrage de "All users" et "Default user" est vide, et inexistant dans "Administrateur". Seule ma session "Moi" contient les 6 raccourcis lancés au démarrage. Tout a donc l'air normal, excepté dans Hijackthis.

[nickW]

Bonsoir,

HijackThis est obsolète, il n'a pas été maintenu depuis sa cession à Trend Micro.

Exemple: il gère très mal Windows 7, ainsi que les systèmes 64-bit.

OTL de OldTimer n'a pas ces problèmes.

Mode d'emploi:

OTL (de OldTimer), téléchargement
Télécharger OTL.exe depuis l'un des liens ci-dessous:
http://oldtimer.geekstogo.com/OTL.exe
http://www.itxassociates.com/OT-Tools/OTL.exe
Enregistrer ce fichier sur le Bureau.


OTL (de OldTimer), analyse
Fermer toutes les fenêtres de programme ouvertes.

Faire un double clic sur OTL.exe pour lancer l'outil.
Si Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

L'écran principal de OTL s'affiche:


Si ce n'est déjà fait, dans le paragraphe Registre: approfondi, cocher le bouton-radio Avec liste blanche:


Si voulu, cocher (en haut) la case située devant Tous les utilisateurs:


Puis cliquer sur le bouton Analyse:


Laisser l'outil travailler sans l'interrompre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant un rapport (log).
Fermer le Bloc-notes.
Le second rapport est visible dans la Barre des tâches. Le fermer également.
Fermer la fenêtre de OTL.


Il y a création de deux rapports d'analyse: OTL.Txt et Extras.Txt.


Guide d'utilisation: OTL: Tutoriel.


Salut,

[belfurnis]

Bonjour nickW,

48 heures ont passé et je n'ai rien remarqué de notable, le PC se comporte normalement.

Voici les logs générés :

OTL.txt :
http://cjoint.com/?0Gyo1u7tR5D

Extras.txt :
http://cjoint.com/?0Gyo3mkW5tI

Merci de l'intérêt.

Edit : Effectivement, les lignes 04 listées par OTL sont conformes à ce que j'avais l'habitude de voir dans HJT avant le "bug".
S'il n'y a rien d'autre d'inhabituel, on peut classer l'affaire, mais je ne suis malheureusement pas assez familier des logs OTL pour en juger par moi-même (malgré le tuto). Je ne sais même pas quelles rubriques vérifier dans les logs
Merci

[nickW]

Bonjour,

Peut-être un petit défaut de sécurité:
Pour ta culture personnelle, ceci est visible dans "NoDriveTypeAutoRun = 145".

Désactiver la fonction de lancement automatique ("autorun") sur les lecteurs amovibles.
Voir ce sujet de Gof:
Guide sécurisation Windows face aux menaces infectieuses USB
viewtopic.php?t=25228
Le fichier de désactivation est téléchargeable depuis ce lien

Salut,

[belfurnis]

Bonsoir nickW,

Merci pour cette piqûre de rappel, j'avais dans mes archives réinstallées un fichier "autorun_off.reg" - identique à celui de Gof - (& son pendant "autorun_on.reg"). J'avais complètement oublié de l'activer. Voilà qui est fait.

Si cela a résolu le pb de l'autorun, celui de HJT est toujours présent, mais on va considérer que c'est un bug de ce dernier et clore là l'affaire. D'autant que l'ordinateur démarre au quart de tour et tourne au poil, et qu'il n'y a absolument rien de suspect, du moins dans mes observations.

Merci à toi et bonne fin de soirée.