Question sur les fichiers système non signés [résolu]

[jodes9112213]

Bonjour,

Dans mon ordi sous XP SP3, des fichiers système sont "non signés", pour certain c'est normal, puisque j'ai customisé le thème et certaines dll et créé un clavier amélioré il y a déjà un paquet d'années.

Mais pourquoi, ceux auxquels je n'ai jamais touché parce qu'aucun rapport avec l'interface graphique et qui sont dans leur version originale première ou mis à jour par Win Update ne le sont pas ?

J'ai fait cette recherche parce qu'après quelques BSOD, j'ai lu sur le site technet.microsoft.com que les plantages que j'ai subi peuvent être dû à des drivers non signé.

Cela ne s'est plus reproduit et je n'ai plus actuellement aucun souci mais j'aimerai quand même comprendre.

Mes fichiers non signés sur lesquels je ne suis jamais intervenue sont :

fichier, date, version,

explorer.exe- 13/04/2008 - 6.0.2900.5512- Non signé
fltr108.dll - 14/04/2004- 1.0.0.0- Non signé
a3d.dll - 17/11/2004- 0.0.0.0 - Non signé
msi.dll - 19/05/2008- 4.5.6001.22159- Non signé
msisip.dll - 19/05/2008- 4.5.6001.22159- Non signé
cm108.sys- 12/08/2010- 5.12.8.2150 - Non signé
tcpip.sys- 26/08/2011- 5.1.2600.5625- Non signé (en cause dans les BSOD)

J'ai cherché un peu dans les topics mais bien que beaucoup ont des fichiers système non signés, je n'ai pas l'explication.

Un Scannow ne les trouvent pas anormaux puisqu'il ne les remplace pas. (je ne met le CD d'XP que s'il le demande, et il ne me demande rien pour ceux-ci.)

Comment fait Windows pour reconnaître si un fichier est signé ou pas ?

Merci si vous pouvez m'éclairer.

[@stéroH]

Bonjour

as-tu envoyé ces fichiers sur virustotal?

je pense que la signature est présente dans les infos du fichier. Et quand le fichier est modifié, cette signature disparait.

Va voir dans l'observateur les fichiers en question pour ton souci.
OBSERVATEUR:

Spoiler!

- menu démarrer/barre de recherche ou démarrer exécuter sur XP
-- taper EVENTVWR
--- il apparait en haut sur seven/vista, le lancer
---- cliquer sur affichage personnalisés/évènements d'admin
----- voir si une information est laissée sur ce problème en regardant l'heure

ou alors comme cela
BSOD
pour voir le fichier qui est en cause :

[*] Télécharge, installe et lance Bluescreenview : http://www.nirsoft.net/utils/bluescreenview_setup.exe

[*] Patiente jusqu'à ce qu'une liste de crashes s'affichent. Pour chacun des crashes, clique dessus, va dans Options > Lower Pane Mode > Bluescreen in XP style. En bas va s'afficher le contenu de l'écran bleu, copie le texte (clic droit > Copier) et colle-le dans ta prochaine réponse sur ce forum.

[jodes9112213]

Merci de ta réponse AsteroHache,

Je n'ai plus de BSOD, et c'est parce que j'ai déjà Bluescreenview que je sais quel driver plantait.

Et quand le fichier est modifié, cette signature disparait.

Ça c'est évident ! Relis mon post, j'ai listé les fichiers que justement je n'ai jamais modifié

Virustotal : juste 1 alerte par McAfee-GW-Edition pour explorer.exe mais comme c'est le roi des faux positifs ! (et que ça ne résoud rien puisque c'est le fichier original pêché dans le pack sp3)...

Tant pis, je n'aurais pas d'explication !

Merci quand même.

[@stéroH]

j'ai listé les fichiers que justement je n'ai jamais modifié

Ouais, mais tu as dit avoir appliqué un thème, et c'est le genre de truc qui modifie pas mal de choses, sans vraiment te demander l'autorisation... je n'aime pas perso ces thèmes appliqués...

Virustotal : juste 1 alerte par McAfee-GW-Edition pour explorer.exe mais comme c'est le roi des faux positifs ! (et que ça ne résoud rien puisque c'est le fichier original pêché dans le pack sp3)...

On va contrôler s'il a été modifié. Et passe le donc à ton AV à jour, pour être sûr qu'il ne renferme pas une connerie.

Télécharge OTL de Old Timer sur ton bureau.
[*] Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
[*] Coche en haut la case devant "Tous les utilisateurs"
[*] Sous Personnalisation,
[*] copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

====================
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

===================

[*] Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
[*] A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
[*]Pour les rapports, merci d'utiliser ce service de rapport en ligne :
[*] dépose le fichier via "parcourir"
[*] poste simplement le lien obtenu dans ta réponse.

Note : Les rapports sont aussi enregistrés sur le bureau, tu peux faire un copier coller simple dans la réponse

PS: ne clique surtout pas sur le bouton "purge outils", je ne sais pas si le bug a été réparé.


En tous les cas, si c'est un BSOD aléatoire, ce sera dur de corriger... on va chercher un peu quand même ;)

[jodes9112213]

Ouais, mais tu as dit avoir appliqué un thème

Ben non, je n'ai pas appliqué de ces thèmes en pack qu'on trouve en téléchargement.
J'ai travaillé et modifié le thème Luna par défaut et les dll par défaut manuellement avec ResHacker, il y a de ça 7 ans ! Et je n'ai pas de soucis avec ça.

Mon antivirus est à jour, il ne détecte rien (il est dans la liste de virustotal)

En tous les cas, si c'est un BSOD aléatoire, ce sera dur de corriger... on va chercher un peu quand même ;)

Heu, je vais me répéter là... Je n'ai plus de bsod ! c'était avant que je change de carte mère et de carte son et je n'en ai plus depuis

Je n'ai aucun problème sur mon ordi, je voulais juste savoir pourquoi des fichiers systèmes ne sont plus signés.
Maintenant je veux bien lancer OTL, comme ça...pour voir ! mais je ne veux pas te faire perdre ton temps, d'autres ont peut être plus besoin de ton aide !

[@stéroH]

Je n'ai plus de bsod ! c'était avant que je change de carte mère et de carte son et je n'en ai plus depuis

ok, mais tu n'avais pas dit avoir changé des pièces. La cause donc si tu n'as plus de souci.

Je veux bien t'aider à chercher, je t'ai donné l'observateur comme piste et OTL pour explorer.exe.

Maintenant, si tu n'as plus de souci, c'est un peu chercher pour rien.

De plus, quand une machine bugue, ce n'est pas toujours simple d'identifier exactement le coupable, surtout quand tu as changé la carte mère, qui était probablement la cause.

Perso, aider sur forum fait partie de ma détente, je fais cela sans contrainte, et j'aime bien chercher les bugs, donc vas-y, balance OTL qu'on voit si explorer.exe a été modifié, ce qui expliquerait le coup de la signature.
Ce n'est pas long à regarder, je vais simplement voir si le md5 est le même ou pas que les explorer.exe de sauvegarde, les originaux.

Pour le BSOD, ce sera dur de trouver je pense, mais regarde quand même dans l'observateur si des pistes sont indiquées. Faut se rappeler de l'heure exact des BSOD.

[jodes9112213]

Voilà le fichier OTL,
http://pjjoint.malekal.com/files.php?id ... 147o14g7c8
Dis moi si quelque chose cloche.
Merci d'avance

[@stéroH]

oui

tu as des restes d'infection par un rogue... sûrement lui qui a patché le fichier explorer.exe... on la tient l'explication.

Tu as fait quoi sur ce pc pour supprimer le rogue PersonalDefender2009 ?

comodo est ton AntiVirus? car je ne vois rien d'autre?

ton explorer.exe est signé: Microsoft Corporation pas de souci donc de ce coté là, mais son md5 est inconnu, c'est étrange...
et cela aussi: O20 - HKLM Winlogon: Shell - (explorer.exe) - File not found
je crois que ton explorer.exe est patché quand même, et c'est bizarre, OTL ne me renvoit aucun autre explorer.exe sur ta machine... y'a souci donc je pense..

je vais passer la main à un Helper, car je ne veux pas fixer la machine et faire des conneries...
mais en tous les cas, un outil me dit que tu as des soucis.

Merci angelique de passer ;)

O2 - BHO: (PlusIEEventHelper Class) - {551A852F-39A6-44A7-9C13-AFBEC9185A9D} - F:\utilitaires\PDF\bin\PlusIEContextMenu.dll (Zeon Corporation)
O2 - BHO: (ZeonIEEventHelper Class) - {DA986D7D-CCAF-47B2-84FE-BFA1549BEBF9} - F:\utilitaires\PDF\bin\ZeonIEFavClient.dll (Zeon Corporation)
O3 - HKLM\..\Toolbar: (Nuance PDF) - {E3286BF1-E654-42FF-B4A6-5E111731DF6B} - F:\utilitaires\PDF\bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: Ajouter à un fichier PDF existant - F:\utilitaires\PDF\Bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: Ajouter le contenu des liens sélectionnés à un fichier PDF existant - F:\utilitaires\PDF\Bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: Ajouter le contenu du lien à un fichier PDF existant - F:\utilitaires\PDF\Bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: Créer des fichiers PDF à partir des liens sélectionnés - F:\utilitaires\PDF\Bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: Créer un fichier PDF - F:\utilitaires\PDF\Bin\ZeonIEFavClient.dll (Zeon Corporation)

[angelique]

comme l'a fait remarquer AsteroHache O20 - HKLM Winlogon: Shell - (explorer.exe) - File not found, ton bureau se lance correctement au démarrage de windows ???


tu as modifié le welcome screen de windows ? logonui.exe qui normalement est en system32 :

O20 - HKLM Winlogon: UIHost - (C:\Documents and Settings\All Users\Application Data\BleuvertCustom\logonui.exe) - C:\Documents and Settings\All Users\Application Data\BleuvertCustom\logonui.exe (Microsoft Corporation)

et tu fais alors pointer sur C:\Documents and Settings\All Users\Application Data\BleuvertCustom\logonui.exe


Enfin comme tu dis que tout fonctionne , ton rapport est OK à part ça.

[@stéroH]

ton rapport est OK à part ça.

Merci d'être passé angelique, l'outil que tu connais m'a en fait induit en erreur, il me mettait toutes ces lignes néfastes.
Cool si y'a rien et pas de reste de rogue donc ;)

[jodes9112213]

comme l'a fait remarquer AsteroHache O20 - HKLM Winlogon: Shell - (explorer.exe) - File not found, ton bureau se lance correctement au démarrage de windows ???

Oui parfaitement, mais mon xp est très personnalisé, comme c'est une config lourde j'ai fait en sorte de le booster un max par diverses manipulations, il est étalé, de plus sur plusieurs partitions, et il y a deux systèmes clones sur deux dd. et beaucoup de déplacements, par junction ou redirection. mon système ne pèse que 9 gigas ce qui permet des sauvegardes et restaurations d'images disque en 7 mn chrono d'un système vers son clône.

tu as modifié le welcome screen de windows ? logonui.exe qui normalement est en system32 :

oui j'ai renommé l'original et forcé le chemin pour celui modifié.

Tu as fait quoi sur ce pc pour supprimer le rogue PersonalDefender2009 ?

rien, je n'ai jamais entendu parler de ce truc là.

comodo est ton AntiVirus? car je ne vois rien d'autre?

oui c'est la suite antivirus et pare feu

Merci d'être passé angelique, l'outil que tu connais m'a en fait induit en erreur, il me mettait toutes ces lignes néfastes.
Cool si y'a rien et pas de reste de rogue donc ;)

Ça c'est chaque fois pareil, j'ignore pourquoi ce logiciel Nuance PDF Pro provoque ce faux positif, depuis des années ça n'a jamais été corrigé (et pourtant il est parfaitement légitime)

ton explorer.exe est signé: Microsoft Corporation pas de souci donc de ce coté là, mais son md5 est inconnu, c'est étrange...

Oui c'est étrange car "sigverif" me dit qu'il n'est pas signé.
Mais bon, tout fonctionne, j'ai la main sur le bureau en 7 secondes. J'aurais bien aimé quand même un Explorer signé, avec un MD5 correct !

[@stéroH]

si tout marche, ne cherchons pas plus loin.

Cool, j'ai cru un instant qu'un rogue était passé par là.
Pas le cas donc, angelique a confirmé.

En effet super réactif ta config.

passes en résolu, si tu estimes que c'est le cas

[jodes9112213]

Ok, je passe en résolu.
Merci