> Tous les forums > Forum Sécurité
 Enquête NavLogon.dll
Ajouter un message à la discussion
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]
ipl_001
  Posté le 03/04/2005 @ 11:36 
Aller en bas de la page 
Astucien

Bonjour à tous, J'ai besoin de tous les membres de PC Astuces pour m'aider à savoir que penser d'une ligne rencontrée dans certains fichiers log HijackThis... néfaste ou légitime ? à fixer ?
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
J'ai un différent (simple désaccord) avec un connaisseur sur un autre forum qui s'en réfère à la StartupList de Bleeping en ignorant les réserves (voir ci-dessous) quand moi, je me fie à cactus (voir ci-dessous). Mon contradicteur va faire appel aux experts de CastleCops dont il est membre. Je demande l'aide des membres de PCA. Eléments : Si l'on cherche 'VavLogon.dll' sur Google, on trouve : - http://bleepingcomputer.com/startups/NavLogon.dll-7645.html (la base de données Startups de Bleeping)
Name: NavLogon Filename: NavLogon.dll Description: Part of the Norton Antivirus product. Unsure as to what it does. File Location: %System% Startup Type: The Winlogon Notify key is used to run certain programs when specific actions occur such as computer starting up, a user logging in or logging off, or a computer shutting down. Note: %System% is a variable that refers to the Windows System folder. By default this is C:\Windows\System for Windows 95/98/ME, C:\Winnt\System32 for Windows NT/2000, or C:\Windows\System32 for Windows XP.
mais
This program has not been identified and should be treated with caution. Because this file has not been identified, you should run a virus scan and spyware scanner to see if it is detected as something that should be removed. If that does not help, feel free to ask us for assistance in the forums.
- http://www.mytechsupport.ca/support/topic.asp?TOPIC_ID=8243 Problème résolu sur MyTechSupport - redaxe -que je ne connais pas- fait fixer la ligne ! - http://www.mytechsupport.ca/support/topic.asp?TOPIC_ID=8410 Problème résolu sur MyTechSupport - cactus -que je connais très bien et en qui j'ai toute confiance- fait fixer la ligne ! - http://www.geekstogo.com/forum/window_installer_at_boot_up_also-t11847.html Le log est regardé par Efwis, GeekU Moderator, la ligne O20 n'est pas fixée mais le problème n'est pas résolu !!!
I still am and now it pops up all the time during my regular sessions also... it did not do this before... help
- de mon côté, j'ai déjà fixé cette ligne Questions : Il me faudrait la réponse à quelques questions préalables : - est-ce que cette ligne O20 ne se trouve que pour les systèmes ayant des produits Symantec ? - est-ce que cette ligne se trouve toujours avec les produits Symantec ? - que fait NavLogon.dll dans le dossier System32 ? Y a-t-il classiquement, des fichiers Symantec dans System32 ? - est-ce que NavLogon.dll peut se trouver dans les systèmes qui n'ont jamais connu de produits Symantec ? Je précise que je n'ai pas encore commencé mon enquête et que je n'ai pas regardé les discussions dont je donne les liens ci-dessus vis à vis de mes questions... Merci à tous pour vos réponses !

Modifié par ipl_001 le 03/04/2005 11:38
Publicité
ipl_001
 Posté le 03/04/2005 à 11:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Rebonjour à tous, Mes questions sont un peu brouillonnes, je simplifie ! Pour les possesseurs de produits Symantec (préciser lequel) : Est-ce que C:\Windows\System32\NavLogon.dll est sur votre disque ? Est-ce que la ligne
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
est dans votre rapport HijackThis ?

Modifié par ipl_001 le 03/04/2005 11:48
Nono 34
 Posté le 03/04/2005 à 11:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonjour, Je viens de vérifier sur une analyse de mars, je n'ai pas cette ligne 020 dans le résultat. Il est vrai que je n'ai pas Norton (viré depuis longtemps). Bon dimanche.
ipl_001
 Posté le 03/04/2005 à 12:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Nono 34 a écrit :
Bonjour, Je viens de vérifier sur une analyse de mars, je n'ai pas cette ligne 020 dans le résultat. Il est vrai que je n'ai pas Norton (viré depuis longtemps). Bon dimanche.
Merci pour ta réponse Nono 34 ! ;-)
Chercheur
 Posté le 03/04/2005 à 12:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour, [hello] J'ai actuellement Norton Internet Security 2004. * Sur le rapport HijackThis, pas de NavLogon.dll, pas de ligne 020. * Sur le System32 : Pas de NavLogon.dll Quelques produits Symantec. Et maintenant, dans ce beau dimanche ensoleillé, je vais travailler .... [boom]
Tesgaz
 Posté le 03/04/2005 à 12:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
Salut ipl_001, salut à tous, moi, je reviens toujours sur une installation standard du système d'exploitation. Il n'existe aucune ligne 020 après l'installation du système d'exploitation si on fait un contrôle de routine avec hijackthis. Donc, pour moi cette ligne n'a pas lieu d'exister ( mais entre-guillemet, Symantec nous a habitué à coller un gros nombre de services ou processus sur le système, donc, va savoir) Des fois, je me demande pour les gens qui utilise Norton, j'ai l'impression qu'ils ont 2 systèmes d'exploitation tellement norton est envahissant. j'ai déja fais le nettoyage de norton sur des pc infectés, j'ai rarement vu cette entrée pour les possesseurs de Norton. afin de confirmer mes dires (pas de chance, j'ai fais hier une sécurisation de pc neuf en supprimant norton) dans mon backup d'hijackthis, cette ligne n'existe pas, donc, n'a pas lieu d'être la startup list est une chose, l'original d'un système tout neuf en est une autre
ipl_001
 Posté le 03/04/2005 à 12:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour Chercheur,
Chercheur a écrit :
Bonjour, [hello] J'ai actuellement Norton Internet Security 2004. * Sur le rapport HijackThis, pas de NavLogon.dll, pas de ligne 020. * Sur le System32 : Pas de NavLogon.dll Quelques produits Symantec. Et maintenant, dans ce beau dimanche ensoleillé, je vais travailler .... [boom]
Un grand merci pour ta réponse ! Tu as Norton Internet Security (donc, si je ne m'abuse, Norton antivirus + pare-feu) et pas de tel fichier Navlogon.dll dans System32 ni de ligne O20. Maintenant, il se pourrait que NavLogon.dll corresponde à une des options mais il y a de fortes chances pour que Navlogon.dll ne soit pas nécessaire au bon fonctionnement du produit (il me faut attendre pour conclure que NavLogon.dll est un malware) ! Merci ! Bon dimanche à toi ! bien ensoleillé !
griggione
 Posté le 03/04/2005 à 12:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien
Bonjour tous
Tesgaz a écrit :
Il n'existe aucune ligne 020 après l'installation du système d'exploitation si on fait un contrôle de routine avec hijackthis.
Confirmé sur une nouvelle installation d'un voisin.
Tesgaz a écrit :
la startup list est une chose, l'original d'un système tout neuf en est une autre
La aussi il faut bien sur admettre un temps de "retard" pour les MàJ. Toutefois au fil des nombreux posts consultés pour confirmation/infirmation,je prefere virer cette ligne. Ne serait-ce que parce que justement Norton est trop envahissant et que bien souvent il se loge dans des parties de programme ou il n'a pas vraiment a aller. Je dis ça pour les eternelles ressources qu'il demande dans ces cas-là,bientot il faudra lui demander la permission d'occuper l'onglet processus.........(je schematise bien sur).
ipl_001
 Posté le 03/04/2005 à 12:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour Tesgaz,
Tesgaz a écrit :
Salut ipl_001, salut à tous, moi, je reviens toujours sur une installation standard du système d'exploitation. Il n'existe aucune ligne 020 après l'installation du système d'exploitation si on fait un contrôle de routine avec hijackthis. Donc, pour moi cette ligne n'a pas lieu d'exister ( mais entre-guillemet, Symantec nous a habitué à coller un gros nombre de services ou processus sur le système, donc, va savoir) Des fois, je me demande pour les gens qui utilise Norton, j'ai l'impression qu'ils ont 2 systèmes d'exploitation tellement norton est envahissant. j'ai déja fais le nettoyage de norton sur des pc infectés, j'ai rarement vu cette entrée pour les possesseurs de Norton. afin de confirmer mes dires (pas de chance, j'ai fais hier une sécurisation de pc neuf en supprimant norton) dans mon backup d'hijackthis, cette ligne n'existe pas, donc, n'a pas lieu d'être la startup list est une chose, l'original d'un système tout neuf en est une autre
Grazie mille! Merci pour ton message ! S'il y a quelqu'un qui sait mener de telles investigations, c'est bien toi et ta réponse est des plus importantes ! NavLogon.dll semble donc ne rien avoir à faire avec Norton ! Merci ! Bonne journée, Tesgaz !
Publicité
ipl_001
 Posté le 03/04/2005 à 13:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour griggione, Merci beaucoup pour ta réponse ! Mon contradicteur ;-) va en référer aux experts de CastleCops ! Avec griggione, Tesgaz, Chercheur, Nono 34.. voici quelques experts de PCA ! Merci à tous, Griggione, je n'y ai pas vu de post de ta part, as-tu vu la discussion sur "une grosse erreur" dans les grands fichiers Hosts ? ( https://forum.pcastuces.com/sujet.asp?SUJET_ID=163338 ) Merci à tous pour votre réponses ! Ca me semble trop facile... y aurait-il des témoignages contre ?
j@b
 Posté le 03/04/2005 à 13:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
bonjour a tous&toutes
Est-ce que C:\Windows\System32\NavLogon.dll est sur votre disque ?
produits symantec installés:norton internet security2005(firewall/antivirus/antispam=actifs/controlparental=desactivé)et systemwork pro2003 pas de NavLogon.dll present dans C:\Windows\System32
Est-ce que la ligne O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll est dans votre rapport HijackThis ?
non bonne journée [clindoeil]
ipl_001
 Posté le 03/04/2005 à 13:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour j@b, bonjour à tous, Merci pour ta réponse très précise (et très précieuse) ! Si je trouve du temps cette après-midi (déclaration de revenus), je vais tacher de trouver plein d'exemples sur l'Internet et essayer de voir : ligne O20 et pas de Symantec actif (je ne pourrai pas trop savoir si un produit Symantec n'a pas existé) Ca ne devrait pas être difficile : il me faut un peu de temps et de méthode... inventaire des logs trouvés sur Google et recherche de produits Symantec. Merci à tous pour votre aide !

Modifié par ipl_001 le 03/04/2005 13:56
queruak
 Posté le 03/04/2005 à 13:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
Bonjour à tous, -En recherchant cette dll ici: http://www.processlibrary.com/notfound/index.php La réponse etait:This DLL was not found in our library -En analysant les rapports Hijackthis,j'ai eu justement à vérifier quelques lignes020. Sur cette discussion,par exemple: https://forum.pcastuces.com/sujet.asp?SUJET_ID=154174 Norton est présent,il y'avait deux lignes020,mais pas de NavLogon.dll.
O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\p08qlal51dq.dll O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\fp8u03l9e.dll
Je fais appel à cet outil notify.bat http://www.greyknight17.com/spy/notify.bat
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] "DLLName"="Ati2evxx.dll" "Asynchronous"=dword:00000000 "Impersonate"=dword:00000001 "Lock"="AtiLockEvent" "Logoff"="AtiLogoffEvent" "Logon"="AtiLogonEvent" "Disconnect"="AtiDisConnectEvent" "Reconnect"="AtiReConnectEvent" "Safe"=dword:00000000 "Shutdown"="AtiShutdownEvent" "StartScreenSaver"="AtiStartScreenSaverEvent" "StartShell"="AtiStartShellEvent" "Startup"="AtiStartupEvent" "StopScreenSaver"="AtiStopScreenSaverEvent" "Unlock"="AtiUnLockEvent" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\IPConfTSP] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\p08qlal51dq.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Nls] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\fp8u03l9e.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001
qui me retrouve, en effet les deux dll,mais ne montre pas de navlogon.dll. Mais si je me réfer à ceci: http://www.olinformatique.com/dll-ocx-vxd/files/NavLogon.dll.php Navlogon.dll fait bien partie de Symantac/Norton -Ici,inconnu File Name: Navlogon.dll File Size: 45.056 File Version: N/A File Company: N/A File Description: N/A http://www.dynamiclink.nl/htmfiles/rframes/dll-n01.htm Je reviens si j'ai un complément d'informations.

Modifié par queruak le 03/04/2005 13:58
Sebastien.B
 Posté le 03/04/2005 à 13:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
Slt, Je n'ai pas Norton donc je ne pourrai pas vous confirmer ou non l'existence de ce fichier, cependant avant de parvenir à une conclusion il faudrait comparer les logs de différentes version de Norton. Pour les posts plus haut il y a un Norton internet security 2004, 2005 et sinon? Quelqun qui a t'il une version corporate?

Modifié par Sebastien.B le 03/04/2005 13:56
ipl_001
 Posté le 03/04/2005 à 14:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour queruak,
queruak a écrit :
Bonjour à tous, -En recherchant cette dll ici: http://www.processlibrary.com/notfound/index.php La réponse etait:This DLL was not found in our library...
Merci pour ton message ! J'utilise moi aussi la base de données de ProcessLibrary.com pour les processus mais je trouve que j'ai trop souvent la réponse "This DLL was not found in our library". Je te fais remarquer que je n'ai jamais vu NavLogon.dll en processus... Ce qu'on pourrait rechercher : - les logs sur Internet avec O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll sont-ils nettoyés sans fixer cette ligne ? - si quelqu'un avait ce fichier sur son disque, qu'y a-t-il en Propriétés ? ligne O20 ? infection ?

Modifié par ipl_001 le 03/04/2005 14:06
ipl_001
 Posté le 03/04/2005 à 14:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour Sébastien, Merci pour ton message !
Sebastien.B a écrit :
Slt, Je n'ai pas Norton donc je ne pourrai pas vous confirmer ou non l'existence de ce fichier, cependant avant de parvenir à une conclusion il faudrait comparer les logs de différentes version de Norton. Pour les posts plus haut il y a un Norton internet security 2004, 2005 et sinon? Quelqun qui a t'il une version corporate?
ou autres versions... il y en a tant ! Une précision : je n'ai pas (et n'ai jamais eu) de produit Norton sur le disque de l'ordinateur que j'utilise en ce moment... pas de fichier NavLogon.dll nulle part sur le disque !

Modifié par ipl_001 le 03/04/2005 14:09
DaGill
 Posté le 03/04/2005 à 14:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Salut tout le monde ! Pour mon compte j'ai Norton 2003 et le *.dll ainsi que la ligne 020 ne ressortent pas de mon HJT. Bien à vous !
Publicité
Sebastien.B
 Posté le 03/04/2005 à 14:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
Dans le cas du rapport d'Acrobaze il s'agit d'une version corporate.
ipl_001
 Posté le 03/04/2005 à 14:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

DaGill a écrit :
Salut tout le monde ! Pour mon compte j'ai Norton 2003 et le *.dll ainsi que la ligne 020 ne ressortent pas de mon HJT. Bien à vous !
Bonjour DaGill, Merci pour ton témoignage ! ;-) NavLogon.* nulle part sur le disque ? même pas dans Program Files où Symantec stocke ses ficheirs et peut-être bien des fichiers en attente d'installation selon l'option demandée ?
ipl_001
 Posté le 03/04/2005 à 14:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Sebastien.B a écrit :
Dans le cas du rapport d'Acrobaze il s'agit d'une version corporate.
Bien vu Sébastien ! Pourrais-tu, s'il te plaît, regarder sur quelques rapports HJT trouvés par Google si c'est aussi chaque fois la Corporate ?
queruak
 Posté le 03/04/2005 à 14:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
Rebonjour, ipl,moi j'aimerais que tu t'appuies sur ceci:
queruak a écrit :
Bonjour à tous, .... -En analysant les rapports Hijackthis,j'ai eu justement à vérifier quelques lignes020. Sur cette discussion,par exemple: https://forum.pcastuces.com/sujet.asp?SUJET_ID=154174 Norton est présent,il y'avait deux lignes020,mais pas de NavLogon.dll.
O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\p08qlal51dq.dll O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\fp8u03l9e.dll
Je fais appel à cet outil notify.bat http://www.greyknight17.com/spy/notify.bat
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] "DLLName"="Ati2evxx.dll" "Asynchronous"=dword:00000000 "Impersonate"=dword:00000001 "Lock"="AtiLockEvent" "Logoff"="AtiLogoffEvent" "Logon"="AtiLogonEvent" "Disconnect"="AtiDisConnectEvent" "Reconnect"="AtiReConnectEvent" "Safe"=dword:00000000 "Shutdown"="AtiShutdownEvent" "StartScreenSaver"="AtiStartScreenSaverEvent" "StartShell"="AtiStartShellEvent" "Startup"="AtiStartupEvent" "StopScreenSaver"="AtiStopScreenSaverEvent" "Unlock"="AtiUnLockEvent" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\IPConfTSP] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\p08qlal51dq.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Nls] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\fp8u03l9e.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001
qui me retrouve, en effet les deux dll,mais ne montre pas de navlogon.dll. -Ici,inconnu File Name: Navlogon.dll File Size: 45.056 File Version: N/A File Company: N/A File Description: N/A http://www.dynamiclink.nl/htmfiles/rframes/dll-n01.htm
Sebastien.B
 Posté le 03/04/2005 à 14:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
ipl_001
 Posté le 03/04/2005 à 14:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Merci d'insister, queruak ! Dans la discussion PCA à laquelle tu te réfères ( https://forum.pcastuces.com/sujet.asp?SUJET_ID=154174 ), il y a Norton Corporate et pas de NavLogon ! Excuse moi, je n'avais pas prêté une assez bonne attention à la fin de ton post : La vraie URL est : http://www.dynamiclink.nl/htmfiles/rframes/info_dll/info_n/121.htm
File Name: Navlogon.dll File Size: 45.056 File Version: N/A File Company: N/A File Description: N/A
Merci, ton message est des plus précieux ! (désolé mais avec ma déclaration de revenus à faire, je suis très crispé cette après midi !)

Modifié par ipl_001 le 03/04/2005 14:37
philae
 Posté le 03/04/2005 à 14:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

Bonjour à tous mon père ayant symantec av +firewall, je peux vous dire que dans son rapport HJT, il n'apparait pas cette ligne 020. Pour savoir si il se trouve dans C\windows\system32, je le lui fais vérifier dès que possible, et vous tiens au courant.
ipl_001
 Posté le 03/04/2005 à 14:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour philae,
philae a écrit :
Bonjour à tous mon père ayant symantec av +firewall, je peux vous dire que dans son rapport HJT, il n'apparait pas cette ligne 020. Pour savoir si il se trouve dans C\windows\system32, je le lui fais vérifier dès que possible, et vous tiens au courant.
Merci pour ton aide ! S'il te plaît, fais rechercher navlogon.* sur l'ensemble du disque car j'aimerais savoir aussi, s'il y avait une navlogon.dl_ c'est à dire une dll prête à être installée.
queruak
 Posté le 03/04/2005 à 14:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
Rebonjour, ipl,j'aimerais aussi que tu relises ceci:
queruak a écrit :
Bonjour à tous, -En analysant les rapports Hijackthis,j'ai eu justement à vérifier quelques lignes020. Sur cette discussion,par exemple: https://forum.pcastuces.com/sujet.asp?SUJET_ID=154174 Norton est présent,il y'avait deux lignes020,mais pas de NavLogon.dll.
O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\p08qlal51dq.dll O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\fp8u03l9e.dll
Je fais appel à cet outil notify.bat http://www.greyknight17.com/spy/notify.bat
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] "DLLName"="Ati2evxx.dll" "Asynchronous"=dword:00000000 "Impersonate"=dword:00000001 "Lock"="AtiLockEvent" "Logoff"="AtiLogoffEvent" "Logon"="AtiLogonEvent" "Disconnect"="AtiDisConnectEvent" "Reconnect"="AtiReConnectEvent" "Safe"=dword:00000000 "Shutdown"="AtiShutdownEvent" "StartScreenSaver"="AtiStartScreenSaverEvent" "StartShell"="AtiStartShellEvent" "Startup"="AtiStartupEvent" "StopScreenSaver"="AtiStopScreenSaverEvent" "Unlock"="AtiUnLockEvent" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\IPConfTSP] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\p08qlal51dq.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Nls] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\fp8u03l9e.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001
qui me retrouve, en effet les deux dll néfastes,mais ne montre pas de navlogon.dll. [
Regarde bien le log de notify.bat

Modifié par queruak le 03/04/2005 14:49
Publicité
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
39,99 €Boîtier PC Corsair Carbide Series 275R avec fenêtre à 39,99 €
Valable jusqu'au 29 Septembre

Cdiscount propose actuellement le boîtier PC moyen tour avec fenêtre Corsair Carbide Series 275R à 39,99 €. On le trouve ailleurs à partir de 70 €. Le Corsair Carbide 275R est compact et conçu pour créer des systèmes hautes performances à l'aspect minimaliste. il offre une capacité de refroidissement efficace (2 ventilateurs 120 mm fournis), tout en vous permettant de faire évoluer ses performances grâce aux autres emplacements disponibles.


> Voir l'offre
329 €Smartphone Google Pixel 4A (5.8' FHD+, 8 coeurs, 6 Go RAM, 128 Go) à 329 €
Valable jusqu'au 29 Septembre

Boulanger fait une promotion sur l'excellent smartphone Google Pixel 4A qui passe à 329 €. On le trouve ailleurs à 349 €. Ce smartphone possède un écran OLD FHD+ de 5.8 pouces, un processeur Snapdragon 730G octocoeurs, 6 Go de RAM et un espace de stockage de 128 Go. Les gros points forts de ce smartphone sont la qualité exceptionnelles des photos et qu'il bénéficie des mises à jour de sécurité et d'Android pendant au moins 3 ans. Autonomie de 24 heures.


> Voir l'offre
Les French Days chez Cdiscount
Valable jusqu'au 29 Septembre

Cdiscount participe aux French Days et fait des milliers de promotions imbattables. De plus vous pourrez obtenir 20 € de réduction à partir de 299 € d'achats avec le code promo 20EUROS.


> Voir l'offre

Sujets relatifs
demande enquete
antivirus: dossier - enquête
 > Tous les forums > Forum Sécurité