Salut,

Avez vous supprimé la configuration de sécurité renforcée pour Internet Explorer?
Cette commande bride énormément la navigation et mérite d'être supprimée (c'est en tout cas comme ça que j'effectue mes installations de 2003).

Cet outil peut être supprimé dans Ajout/suppression de programmes, Supprimer des élements Windows.
"J’ignore la nature des armes qu’on utilisera pour la prochaine guerre mondiale.
Mais pour la quatrième, on se battra à coup de pierres."
- Albert Einstein

Bonjour,

Non, la sécurité renforcée est bien décochée dans les composants windows.
Auparavant, IE fonctionnait correctement mais le poste a du choper un virus, malware ou autre qui a modifié quelque chose. Mais ni spybot, ni malware antibyte ne trouvent qq chose.

Merci

Je viens de me renseigner sur ce "winrnr.dll", et il semblerait qu'un spyware en soit effectivement la cause.
Cela-dit, il semblerait également que l'installation de LSP-Fix puisse parfois résoudre ce problème (logiciel fixant les winsock2 endommagés).
"J’ignore la nature des armes qu’on utilisera pour la prochaine guerre mondiale.
Mais pour la quatrième, on se battra à coup de pierres."
- Albert Einstein

Re,

J'ai déjà lancé LSPFix.
Au lancement, il m'indique No problems found. Donc, il ne faut rien faire avec cet outil. J'avais déjà en effet tenté de faire glisser la dll du tableau Keep vers Remove puis clic sur Finish.
ça n'avait rien fait d'autre que de me casser ma connexion réseau.
J'ai du faire ensuite un netsh winsock reset dans l'invite dos
Merci.

Après demande de conseils au Bureau CCMiste, il apparaît que vous devriez scanner ces deux fichiers sur le site de VirusTotal:

O4 - HKLM\..\Run: [PspUsbCf] pspusbcf.exe
O4 - HKLM\..\Run: [Psp6164a] Psp6164a.exe

Il ne semble pas qu'il y ait beaucoup d'informations concrètes sur ces fichiers sur différents sites web officiels.
"J’ignore la nature des armes qu’on utilisera pour la prochaine guerre mondiale.
Mais pour la quatrième, on se battra à coup de pierres."
- Albert Einstein

Slt Jipelou, Re El_Rigolo ;-)


Pour suivre... si besoin d'aide pour l'analyse virustotal... il faut les rapports des deux fichiers, soit un rapport pour lui pspusbcf.exe et un rapport pour l'autre --> Psp6164a.exe

Attention : les cracks et keygens dissimulent Bagle !

~#*'"»€le©τ®!C™«"'*#~

InfernO.vir

Si tu rencontres des problemes au niveau de l'analyse en ligne, voici un petit tutoriel bien pratique, redigé clairement et illustré --> http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm


Attention : les cracks et keygens dissimulent Bagle !

~#*'"»€le©τ®!C™«"'*#~

InfernO.vir

Re, Re,

Les 2 fichiers pspusbcf.exe et Psp6164a.exe sont inoffensifs.
Ce sont des fichiers propres à du matériel usb philipps. D'ailleurs, l'analyse sur virustotal le confirme.
Je pense vraiment que le souci vient de la base de registre comme silent runners l'indique:

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\N­ameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Mais je ne sais vraiment pas comment ajouter proprement les clés manquantes concernant mswsock.dll.

Merci à vous.

As-tu essayé ceci WinsockXPFix ?

Balaye ton pc avec MBAM :

1/ Telechargement :

# Télécharge Malwarebytes' Anti-Malware

NOTE : S'il te manque COMCTL32.OCX alors télécharge le --> comctl32.ocx


2/ Installation et mise a jour :

# Installe MBAM en double-cliquant sur Mbam-setup.exe ,il se mettra a jour automatiquement.

# Une fois a jour, le programme va se lancer. Clique sur l'onglet Paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".


3/ Recherche :

# Clique a présent sur l'onglet Recherche et coche la case : "exécuter un examen complet".

# Clique ensuite sur "rechercher".

Laisse-le scanner ton PC ...
a

4/ Suppression :

# Si des éléments on été trouvés ~> Clique sur "Supprimer la selection".

# Si le programme te demande de redemarrer ~> Clique sur "yes".

# A la fin, un rapport va s'ouvrir dans le Bloc-notes ~> Sauvegarde le de manière a le retrouver pour le poster sur le forum.

# Copie (Ctrl + C) et colle (Ctrl + V) le rapport dans ton prochain message stp.


PS : Les rapports sont aussi classés par date et heure du scan dans l'onglet Rapport/Log


Données : Un tutoriel de chez Malekal est disponible ~>

http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php


Attention : les cracks et keygens dissimulent Bagle !

~#*'"»€le©τ®!C™«"'*#~

InfernO.vir

Re,
Un scan a déjà été passé avec Malware anti byte.
Il n'avait rien trouvé de nuisible.
Merci

Le probleme, c'est que je ne sais pas si ton probleme est de nature virale ou non, je ne veux pas te faire passer des fix sans savoir quoi combattre.

Attention : les cracks et keygens dissimulent Bagle !

~#*'"»€le©τ®!C™«"'*#~

InfernO.vir

Bonsoir,

je n'exclus rien sur la base de registre (mais il n'est pas évident de connaitre les valeurs par défaut sur cet OS).

Par contre, ce fichier est suspect :

C:\Documents and Settings\Administrateur\WINDOWS\System32\smss.exe

Je te propose de le contrôler sur VirusTotal :

Rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier : C:\Documents and Settings\Administrateur\WINDOWS\System32\smss.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

=======

Je note aussi cette ligne :

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Ces restrictions sont en place volontairement ?

@+
Avez vous une sauvegarde de vos données personnelles ?
Même si Windows ne démarre plus, nous savons encore les sauv­er. Ne formatez pas !

Bonsoir Lyonnais92 ;-)

En effet smss.exe a l'air foireux vu l'emplacement ! mais apres les machines reseau c'est pas vraiment ma tasse de thé.

En tout cas sujet interressant :)
Attention : les cracks et keygens dissimulent Bagle !

~#*'"»€le©τ®!C™«"'*#~

InfernO.vir

Bonjour,
merci de votre aide.

Concernant le fichier C:\Documents and Settings\Administrateur\WINDOWS\System32\smss.exe:
Effectivement, c'est bizarre. Comme je le dis dans mon premier msg, il n'y a pas ce fichier dans le répertoire indiqué. (Même en affichant les fichiers cachés). Donc, je sais pas comment il me trouve cette instance. ce smss.exe est présent dans c:\windows\system32
Il y a peut-être un lien avec la ligne O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrateur\windows\system32\winrnr.dll' missing
on me parle du même répertoire utilisateur.

Concernant les restrictions O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
C'était juste une restriction pour empêcher la modif de la page d'accueil de internet explorer
dans HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage. La valeur était à 1. Je l'ai supprimée.

Re,

"Comme je le dis dans mon premier msg, il n'y a pas ce fichier dans le répertoire indiqué. (Même en affichant les fichiers cachés). Donc, je sais pas comment il me trouve cette instance. ce smss.exe est présent dans c:\windows\system32 "
==> Désolé, je croyais en avoir parlé lors du premier message mais ce n'est pas le cas

Pour les restrictions, il y avait également NoBrowserOptions dans HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer mais la valeur était 0

A+

Bonjour,

comme on l'a déjà dit, ton OS n'est pas aussi courant qu'un Xp ce qui fait à la fois qu'on patauge un peu plus et qu'on doit être prudent (ce qui est légitime sous Xp ne l'est pas forcément sous 2003 et inversement).


Ouvre le registre.

Cherche la clé HKLM\SYSTEM.

Tu as CurrentControlset et des Controlset00x. Il en manque 1 (c'est normal, c'est le Current).

Est ce que les clés

HKLM\SYSTEM\ControlSet00X\Services\Winsock2\Parameters\NameS­pace_Catalog5\Catalog_Entries et

HKLM\SYSTEM\ControlSet00X\Services\Winsock2\Parameters\Proto­col_Catalog9\Catalog_Entries

sont identiques ?

Tu peux t'aider de la fonction Exportation pour générer un fichier texte qui facilitera les comparaisons.

Au passage, fais une copie de de sauvegarde de HKLM\SYSTEM sous la forme d'un fichier .reg @+
Avez vous une sauvegarde de vos données personnelles ?
Même si Windows ne démarre plus, nous savons encore les sauv­er. Ne formatez pas !

Bonjour,

Tout d'abord, je réponds à ta question:
Est ce que les clés
HKLM\SYSTEM\ControlSet00X\Services\Winsock2\Parameters\NameS­pace_Catalog5\Catalog_Entries et
HKLM\SYSTEM\ControlSet00X\Services\Winsock2\Parameters\Proto­colCatalog9\Catalog_Entries
sont identiques ?

==> Dans la clé HKLM\SYSTEM\ControlSet001\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries, j'ai 3 sous-clés

000000000001
000000000002
000000000003
chacune possède différentes valeurs (voir plus bas)
Pour la clé HKLM\SYSTEM\ControlSet00X\Services\Winsock2\Parameters\ProtocolCatalog9\Catalog_Entries, j'ai 17 sous-clés
000000000001
............
000000000017
Chaque sous-clé contient juste une valeur binaire nommée PackedCatalogItem.
Sur un poste Windows Server 2003 qui fonctionne, j'ai regardé et c'est la même chose. Au détail près qu'il n'y a pas 17 sous-clés dans ProtocolCatalog9\Catalog_Entries mais juste un peu moins.

Je pense que le problème vient de ce qui suit.

Dans ma base de registre, dans la clé HKLM\SYSTEM\, il existe 3 sous-clés ControlSet001, ControlSet002 et ControlSet003 et une sous-clé CurrentControlSet
Si j'ai bien compris, chaque sous-clé ControlSet00X représente une connexion réseau définie sur le poste. La sous-clé CurrentControlSet doit représenter la connexion réseau active pour la session en cours.

Détail de la clé ControlSet001:
j'ai 3 sous-clés dans

HKLM\SYSTEM\ControlSet001\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries

000000000001
000000000002
000000000003

chaque sous-clé 00000000000X contient des valeurs.
Pour 000000000001,
DisplayString = TCP/IP
Enabled=1
LibraryPath=%SystemRoot%\System32\mswsock.dll
ProviderId= valeur binaire 40 9d 05 22........
StoresServiceClassInfo=0
SupportedNameSpace=0x0000000c = 12 en décimal
Version=0

Pour 000000000002,
DisplayString = NTDS
Enabled=1
LibraryPath=%SystemRoot%\System32\winrnr.dll
ProviderId= valeur binaire ee 37 26 3b........
StoresServiceClassInfo=0
SupportedNameSpace=0x00000020 = 32 en décimal
Version=0

Pour 000000000003,
DisplayString = Espace de noms NLA (Network Location Awareness)
Enabled=1
LibraryPath=%SystemRoot%\System32\mswsock.dll
ProviderId= valeur binaire 3a 24 42 66........
StoresServiceClassInfo=0
SupportedNameSpace=0x0000000f = 15 en décimal
Version=0

Ces 3 sous-clés (000000000001, 000000000002 et 000000000003 sont exactement les mêmes que celles lues sur un poste Windows Server 2003 qui fonctionne correctement)

Détail de la clé ControlSet002:
c'est là, je pense que le problème se situe.
Je n'ai que la sous-clé 000000000001
Elle contient:
DisplayString = NTDS
Enabled=1
LibraryPath=%SystemRoot%\System32\winrnr.dll
ProviderId= valeur binaire ee 37 26 3b........
StoresServiceClassInfo=0
SupportedNameSpace=0x00000020 = 32 en décimal
Version=0

Il manque la clé concernant le TCP/IP et la clé concernant le Espace de noms NLA (Network Location Awareness)

Pour la clé ControlSet003, c'est le même problème que pour la clé ControlSet002. Pas de TCP/IP, ni de Espace de noms NLA (Network Location Awareness)

Et la clé CurrentControlSet correspond à la ControlSet002, donc incomplète, ce qui explique peut-être le problème de connexion Internet.

Qu'en pensez-vous?
Est-ce que je peux reconstruire les clés ControlSet002 et ControlSet003 et redémarrer le poste.
Je pense que je n'ai pas le droit de modifier directement la clé CurrentControlSet et que celle-ci se remplit automatiquement au démarrage du poste.

Merci

Re,

on va d'abord installer et optimiser la Console de récupération.

En cas de problème, ça devrait permettre de récupérer le système;

Suis cette astuce :

http://www.commentcamarche.net/faq/sujet 1968 installer et optimiser la console de recuperation sous xp

Xp et server 2003 se comportent de la même manière pour l'installation de la console :

http://technet.microsoft.com/fr-fr/library/aa998795(EXCHG.65­).aspx

Ensuite, tu copies la clé HKLM\SYSTEM dans un fichier .reg.

Tu dis quand c'est fait.

@+
Avez vous une sauvegarde de vos données personnelles ?
Même si Windows ne démarre plus, nous savons encore les sauv­er. Ne formatez pas !

Merci de votre aide.
Je ne pourrai pas faire cette manip avant lundi.
Je vous recontacterai.

Merci beaucoup