grodep

bonjour à tous,j'aurai besoin de votre aide afin de m'aider à supprimer une barre d'outils. J'ai tenté d'utiliser superantyspyware et thecleaner mais ni l'un ni l'autre ne l'ont trouvé. Du coup, j'ai scanné avec hijackthis et je vous soumets le rapport, car je ne maitrise pas ce truc. MErci d'avance aux contributeurs Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:27:49, on 11/09/2011 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16839) Boot mode: Normal Running processes: C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe C:\PROGRA~2\Webshots\315~1.761\webshots.scr C:\Program Files\AVAST Software\Avast\AvastUI.exe C:\Users\marion\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\marion\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\marion\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\marion\AppData\Local\Google\Chrome\Application\chrome.exe C:\Windows\SysWOW64\rundll32.exe C:\Users\marion\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\marion\Downloads\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Emachines | MSN R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Emachines | MSN R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Emachines | MSN R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: agihelper.AGUtils - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - mscoree.dll (file missing) F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: agihelper.AGUtils - {0bc6e3fa-78ef-4886-842c-5a1258c4455a} - mscoree.dll (file missing) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll O4 - HKLM\..\Run: [iAStorIcon] C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui O4 - HKCU\..\Run: [Google Update] "C:\Users\marion\AppData\Local\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [tcactive] C:\Program Files (x86)\The Cleaner\tcap.exe O4 - HKCU\..\RunOnce: [Application Restart #0] C:\Users\marion\AppData\Local\Google\Chrome\Application\chrome.exe --flag-switches-begin --flag-switches-end --restore-last-session -- Proshots - Corbiere Lighthouse, Jersey, Channel Islands - Professional Photos O4 - Startup: Webshots Daily Features.lnk = C:\Program Files (x86)\Webshots Daily Features\Webshots Daily Features.exe O4 - Startup: Webshots.lnk = C:\Program Files (x86)\Webshots\3.1.5.7619\Launcher.exe O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll O13 - Gopher Prefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{9DA19724-03A1-43D5-B111-A62CB091BEDA}: NameServer = 192.168.1.1 O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE O23 - Service: AG Core Services (AGCoreService) - AG Interactive - C:\Program Files (x86)\AGI\core\4.2.0.10754\AGCoreService.exe O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: Acer ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\eMachines\eMachines Power Management\ePowerSvc.exe O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: GamesAppService - WildTangent, Inc. - C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe O23 - Service: GREGService - Acer Incorporated - C:\Program Files (x86)\eMachines\Registration\GREGsvc.exe O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe O23 - Service: Intel® Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Norton Online Backup (NOBU) - Symantec Corporation - C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - NTI, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: Updater Service - Acer Group - C:\Program Files\eMachines\eMachines Updater\UpdaterService.exe O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 8783 bytes

Et bien merci pour cette remarque qui m'a permis de confirmer plusieurs choses : d'une part, il est clair, contrairement à ce que tu disais (ou à ce que j'en ai compris) que si je modifie dans la bdr une clef sous HKCU, cela impacte la session en cours et UNIQUEMENT la session en cours, c'est bien logique puisque dans HKCU, il y a Current User. Cela étant, à partir de la session 1, on peut trouver et modifier la clef USER d'une autre session et donc la modifier depuis une autre session : dans la clef HK_USERS, on trouve tout un tas de sous clef correspondant à, a priori, différentes sessions. LE tout est de réussir à identifier celle qu'on veut modifier.. En ce qui me concerne, j'ai donc fait une recherche sur DisallowRun, sachant que seule ma session S2 avait cette clef! Une fois trouvée, j'ai pu constaté, vérole de vérole de m***, que, parmi les valeurs créées, j'avais (dans un grand excès de bêtise) crée une valeur regedit pour empêcher l'ouverture de la bdr depuis la session S2... très malin, quand on a oublié... Ca m'a aussi permis de vérifier que cette "astuce" pour empêcher l'exécution de programmes est très facile à contourner: il suffit de modifier le nom de l'exe et la bdr ne sait plus l'empêcher Merci à tous, on peut considérer le problème comme résolu, cela étant, je ne vais pas refuser l'analyse des spécialistes sécurité pour désinfecter mon pc.

Effectivement j'ai omis de préciser qu'il s'agissait de XP. Sans méchanceté, tu dis ne pas utilise les comptes limités, mais tu précises aussi que tu es dans cette configuration sur le pc de ton fils ON EST D'ACCORD: perso, je n'utilise jamais non plus de comptes limités, c'est trop le bordel, mais, en l'occurence, je suis un peu dans la meme situation que toi avec ton fils: je tente de protéger le pc de ses utilisateurs, non des infections extérieures.. Merci pour les softs proposés, je vais voir s'ils peuvent m'apporter une autre solution.

Le but de cette manipulation, je le répète, n'est pas d'empecher les infections, ça se saurait si c'était aussi simple que ça, mais d'empecher les utilisateurs de la session S2 de faire n'importe quoi avec le pc, à savoir : accéder à internet, utiliser messenger, foutre le pc en vrac en utilisant certains programmes, bref, le but n'est pas de protéger le pc contre les virus, mais contre les utilisateurs. Pour replacer dans le contexte, ce pc est mis à la disposition d'élèves afin qu'ils puissent utiliser certains programmes dessus, et je ne veux pas qu'ils l'utilisent pour d'autres choses.

Alors:j'ai tenté la manip proposée par petitepouce, la commande s'est bien exécutée mais pas de changement pour le registre. Pour galimatias, je confirme que j'ai DEJA accès à msnconfig, je le précisais car, dans une session "limitée", on n'y a logiquement pas accès, d'ou le paradoxe crée sur mon problème. Je vais tenter le JV16 pour voir si ça peut changer quelque chose. J'ai installé et lancé zhpdiag, ci joint le lien du fichier créé: Cijoint.fr - Service gratuit de dépôt de fichiers Merci à tous les contributeurs

Je reconnais le caractère un peu pénible de la manipulation, mais à ce jour, je n'ai toujours pas trouvé d'autres moyens de faire ce que je souhaite: pour empecher le lancement de certains programmes (partition magic, msnmessenger,...) sur S2, il me faut créer une nouvelle clef(DisallowRun) dans la bdr sous HKCU, ce que je ne peux pas faire depuis la session S1, me trompe-je? Si je crée cette clef sous S1, c'est la session S1 qui va être impactée et non S2. Il y a sans doute moyen de faire aussi bien sans toucher au registre directement, peut-être par le biais de stratégies de groupe, mais j'avoue que je ne maitrise pas du tout celles ci et je n'ai jamais trouvé de tuto pour le faire.

L'intéret de basculer d'un mode à l'autre : aucun. L'intéret d'être en mode "compte limité", je n'ai, je pense, pas besoin de te l'expliquer. Alors pourquoi repasser en mode compte admin ?Tout simplement,car si je veux accéder à la bdr sur cette session, je dois repasser dans ce mode. Pourquoi toucher à la bdr? Pour, par exemple, interdire l'utilisation de certains logiciels sur cette session (utilisation de la clef DisallowRun). Merci à tous vos conseils avisés, je vais tacher de m'y atteler tout à l'heure, et vous tiendrai au courant.

Bonjour, je sais qu'il s'agit d'un problème maintes fois évoquées, avec bon nombre de causes variées à ce problème, malheureusement je n'arrive pas à trouver comment résoudre mon problème : j'ai deux sessions sur mon ordi, une en compte administrateur S1 et une en compte limité S2. Pour des raisons de sécurité, j'ai besoin de modifier la bdr sur la sessions S2, j'ai donc à partir de S1 modifié le type de compte de S2 en "compte administrateur" puis basculé sur S2 et modifié la bdr. Ensuite, j'ai de nouveau changé la session S2 en "compte limité". J'ai effectué plusieurs fois cette opération il y a longtemps sur mon ordi. Aujourd'hui, j'ai de nouveau besoin d'accéder à la bdr sur cette session, mais j'ai beau repasser la sessions S2 en "compte administrateur", lorsque je tente d'accéder à celle ci par la commande "regedit" , j'ai le fameux message; " cette opération a été annulé en raison des conditions en vigueur sur cette session. Veuillez contacter l'administrateur système". Et là, je bloque... j'ai tenté en mode sans échec, j'ai tenté d'ouvrir directement regedt32, j'ai scanné avec avast au cas ou, je ne vois pas ce qui ne va pas, d'autant que j'arrive à lancer la commande msconfig. Si une âme charitable avait des solutions.... Merci d'avance