Entree bizarre dans registre

Le
Nikopol
Bonsoir

comme j'ai un drole de probleme de surf sur internet ( plus aucun accès aux
sites commerciaux alors que tout le reste du web est accessible ), j'ai
scanné le registre avec " jv16 PowerTools ".
celui ci me trouve cette entrée HKLMsoftwareC07ft5YWinXP

une recherche sur goolge a donné des résultats contradictoire - " trojan à
effacer " ou " surtout pas y troucher ".
Est-ce une quelconque saleté de malware ou alors une entrée légitime de
XP?

merci de votre aide.
NiKo
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Claude LaFrenière
Le #1265996
Salut *Nikopol* :


comme j'ai un drole de probleme de surf sur internet ( plus aucun accès aux
sites commerciaux alors que tout le reste du web est accessible ), j'ai
scanné le registre avec " jv16 PowerTools ".
celui ci me trouve cette entrée HKLMsoftwareC07ft5YWinXP

une recherche sur goolge a donné des résultats contradictoire - " trojan à
effacer " ou " surtout pas y troucher ".
Est-ce une quelconque saleté de malware ou alors une entrée légitime de
XP?


1)

C07ft5Y est relatif à la protection Safe Disk de Macrovision.
Un driver est installé lors de votre installation initiale de XP.
(secdrv.sys)

Voir dans le dossier (caché): C:WINDOWSinf

[Version]
Signature="$CHICAGO$"
LayoutFile=layout.inf

[DefaultInstall]
AddReg = Secdrv.AddRefCount

[DefaultInstall.Services]
AddService = Secdrv,0x0400,SecDrv.AddService

[Secdrv.AddRefCount]
HKLM,"SoftwareC07ft5Y",,,"SafeDisc RefCount"
HKLM,"SoftwareC07ft5YWinXP"

[SecDrv.AddService]
Description = "SafeDisc driver"
DisplayName = "Secdrv"
ServiceType = 1 ; SERVICE_KERNEL_DRIVER
StartType = 3 ; SERVICE_DEMAND_START
ErrorControl = 1 ; SERVICE_ERROR_NORMAL
ServiceBinary = %12%secdrv.sys

C'est un bidule qui semble tout à fait légitime.

2)

Pour le problème de surf:

Spyware Blaster: (pour prévenir l'installation des parasites)
http://www.javacoolsoftware.com/spywareblaster.html

[Ces deux-là peuvent être utilisés en mode sans échec si nécessaire]:

SpyBot Search & Destroy:
http://www.spybot.info/fr/download/index.html

AdAware:
http://lavasoft.element5.com/default.shtml.fr

et ceci aussi:

Windows Defender
http://www.microsoft.com/canada/fr/athome/security/spyware/software/default.mspx

Voir aussi:
Le "Safe-Hex" :
http://sebsauvage.net/safehex.html

Si tu n'y arrive pas:

Fait un scan avec HijackThis, ne coche rien et envoi le résultat ici.

Télécharge HJT depuis le site de l'auteur:
[HijackThis pas Starter...]
http://www.spywareinfo.com/~merijn/

Décompresse le fichier (clic droit, décompresser...)
Exécute le programme et choisi "scan and save log"
Sélectionne ce log qui apparaît dans le bloc-notes
et
fait un copié-collé de celui-ci dans ton prochain message

Qq1 va te venir en aide.


:)

--
Claude LaFrenière
« Les controverses les plus furieuses ont pour objet
des matières où il n'y a aucune sorte de preuve. » Bertrand Russell

Nikopol
Le #1265993
Bonsoir à tous

Merci Claude pour les infos concernant la clé de registre.

J'avais déja passé mon PC à la moulinette de Ad-aware => RAS ( juste
quelques MRU que j'ai supprimé ) et Spybot => RAS avec Félicitations.

entre temps, j'ai passé la soirée à désinstaller ZA ( avec nettoyage du
registre comme conseillé par Zone Labs ) puis à le reinstaller.
Idem avec mon antivirus Avast - désinstall puis réinstall.
C'est trop tard pour que je fasse également mon navigateur Opera 9.20.

y un truc qui me chagrine dans le rapport de hijackthis c'est:
O15 - Trusted Zone: http://www.vente-privee.com
car je vois pas ou il a été chercher cette ligne car elle n'est plus dans
ZA depuis la reinstallation et pas non plus dans le fichier host.

Merci d'avance de votre aide même si maintenant je dois être hors sujet par
rapport au forum.

---------------------------------
ci dessous, rapport de hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 00:12:09, on 16/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32RunDll32.exe
C:Program FilesTechCity SolutionsAliceSAVAliceAgent.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:Program FilesSlySoftAnyDVDAnyDVD.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesJavajre1.6.0_01binjusched.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesZone LabsZoneAlarmzlclient.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesNikonPictureProjectNkbMonitor.exe
C:antispamMagic Mail Monitor 3Magic.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32HPZipm12.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSSystem32svchost.exe
C:news readerxnews 5.04.25Xnews.exe
C:_temp_instalHiJackThis 1.99.1HijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.fr/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Alice
ADSL
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-
0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:
Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1
SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:
Program FilesJavajre1.6.0_01binssv.dll
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [AliceSAV] C:Program FilesTechCity SolutionsAliceSAV
AliceAgent.exe
O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVD
PDVDServ.exe"
O4 - HKLM..Run: [AnyDVD] C:Program FilesSlySoftAnyDVDAnyDVD.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32
NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_01
binjusched.exe"
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [Zone Labs Client] C:Program FilesZone LabsZoneAlarm
zlclient.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - Startup: Magic.exe.lnk = C:antispamMagic Mail Monitor 3Magic.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program Files
AdobeAcrobat 7.0Readerreader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:Program FilesNikon
PictureProjectNkbMonitor.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:
PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:
Program FilesJavajre1.6.0_01binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:Program FilesJavajre1.6.0_01binssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:
PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:
Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - C:Program FilesMessengermsmsgs.exe
O15 - Trusted Zone: http://www.vente-privee.com
O17 - HKLMSystemCCSServicesTcpip..{CD940F6A-BE3D-417E-A1CF-
233F3E8B8A65}: NameServer = x.x.x.x,x.x.x.x ( c'est moi qui ai mis des x )
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software -
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil
SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:WINDOWSsystem32nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSsystem32HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:
WINDOWSsystem32ZoneLabsvsmon.exe
Claude LaFrenière
Le #1265990
Salut *Nikopol* :

Bonsoir à tous

Merci Claude pour les infos concernant la clé de registre.

J'avais déja passé mon PC à la moulinette de Ad-aware => RAS ( juste
quelques MRU que j'ai supprimé ) et Spybot => RAS avec Félicitations.

entre temps, j'ai passé la soirée à désinstaller ZA ( avec nettoyage du
registre comme conseillé par Zone Labs ) puis à le reinstaller.
Idem avec mon antivirus Avast - désinstall puis réinstall.
C'est trop tard pour que je fasse également mon navigateur Opera 9.20.

y un truc qui me chagrine dans le rapport de hijackthis c'est:
O15 - Trusted Zone: http://www.vente-privee.com
car je vois pas ou il a été chercher cette ligne car elle n'est plus dans
ZA depuis la reinstallation et pas non plus dans le fichier host.


La ligne se trouve dans les options internet:
onglet "sécurité", sites de confiance, bouton "sites" ...


Merci d'avance de votre aide même si maintenant je dois être hors sujet par
rapport au forum.


Pas du tout.
Vous avez besoin d'aide sous W xp et vous êtes au bon endroit.


---------------------------------
ci dessous, rapport de hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 00:12:09, on 16/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


[...]


Les 4 suivants sont-ils nécessaires?
Vous pouvez les *désactiver* en les décochant pour voir ce que ça donne ou pas:
(avec Msconfig ou Starter de CodeStuff pas HijackThis!)

O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM..Run: [AliceSAV] C:Program FilesTechCity SolutionsAliceSAV
AliceAgent.exe

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32
NvCpl.dll,NvStartup

O4 - HKLM..Run: [nwiz] nwiz.exe /install


Celle-ci n'est pas nécessaire.
Panneau de configuration, Java, décocher les mises à jour automatiques.
Vous pouvez vérifier manuellemnt de temps à autre (au mois ou deux mois...)

O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_01
binjusched.exe"


Pas de malware en vue.

:)

--
Claude LaFrenière
« Les controverses les plus furieuses ont pour objet
des matières où il n'y a aucune sorte de preuve. » Bertrand Russell

Publicité
Poster une réponse
Anonyme