Problème avec Windows Installer(voir Hijackthis)

[Christian54]

Bonsoir coolman, je n'arrive plus à utiliser WI depuis un certain temps, sans aucune raison apparente, (virus, et autres: RAS).

J'ai donc suivi ta procèdure, mais le paragraphe BdR me pose qques probs:

1- HKLM........MSIServer, Valeur Chaine: ImagePath (OK)

Donnés de la val: C:\......./V (quel nom doit être à la place du V?)

2- HKLM........MSIServer, Valeur DWORD: Start (semble OK)

3- HKLM\Softw\Policies.......\Installer

c'est ici que j'ai des soucis! Valeur DWORD: DisableMSI (Non, je n'ai pas ça)

Voila ce que j'ai: ab (par defaut) REG_SZ (Valeur non definie)

°"EnableAdminTSRemote REG_DW 0x00000001(1)

"°

4- HKLM\Softw\Policies........\Installer

Valeur DWORD: AlwaysInstallElevated (ça n'existe pas!).

 

Donc, que dois-je faire? Créer ces clés ? Avec quelles valeurs ? Et quoi faire avec

EnableAdminTSRemote ? Car je suppose que mes problèmes viennent de ça. Pour info, j'ai vérifié les paragraphes Services et Explorateur qui sont OK. Merci d'avance pour l'aide éventuelle.

Modifié le 12 mars 2007 par Christian54

[Nicolas Coolman]

Bonjour Christian54,

 

Question posée dans la FAQ :

Comment résoudre mon problème avec Windows Installer

 

1- HKLM........MSIServer, Valeur Chaine: ImagePath (OK)

Donnés de la val: C:\......./V (quel nom doit être à la place du V?)

2- HKLM........MSIServer, Valeur DWORD: Start (semble OK)

3- HKLM\Softw\Policies.......\Installer

As-tu bien cherché dans les branches "HKEY_LOCAL_MACHINE" et non pas "HKLM" qui n'est qu'une contraction ?

[Christian54]

Bonjour coolman, Merci tout d'abord d'avoir pris la peine de lire mon msg, je me suis rendu compte trop tard que j'avais posté sur un topic "fermé",mes excuses.

Bien sûr, j'ai bien ouvert regedit et toute l'arborescence, vérifié et revérifié les paramètres que j'ai, et c'est conforme à ce que j'ai mis dans le msg; j'ai seulement raccourci ces rubriques, mais mis le détail des clés. WI fonctionnait, il y a encore 3 ou 4 mois, sans problèmes.Je n'ai pas eu d'attaques détectées (KAVP), et j'utilise ZebUtility seulemnt une fois par hasard. Je ne suis pas un fan de la bidouille BdR, c'est pourquoi avant de créer les clés DisableMSI et AlwaysInstallElevated mentionnées dans ton article, je préfère avoir un avis compétent. Merci encore.

Rajout: j'ai tenté, en attendant une réponse, la manip: msiexec /unreg et regserver, en mode sans echec, en mode normal: rien de changé. Donc, j'attends!

Modifié le 11 mars 2007 par Christian54

[Nicolas Coolman]

Bonjour Christian54,

 

1- HKLM........MSIServer, Valeur Chaine: ImagePath (OK)

Donnés de la val: C:\......./V (quel nom doit être à la place du V?)

Tu peux laisser la lettre "V" par défaut. Verifier que la clé "Start" à bien la donnée "3" en hexadécimal

 

 

BRANCHE HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer

Pour cette branche, si la valeur DWORD "DisableMSI" n'est pas créée alors ne rien faire.

 

 

Je rappelle que que toutes ces clés "DisableMSI", "Start", "ImagePath" sont succeptibles d'être modifiées ou ajoutés par un malware mais aussi involontairement par un utilisateur.

 

Si toutes ces clés sont OK, il ne faut pas se polariser sur la BDR, le problème doit être ailleurs...

 

Si tu as Hijackthis, poste un rapport, si je suspecte la présence inutile de processus ou de services succeptibles d'interférer avec WI , je t'indiquerais la marche à suivre et éventuellement te rapprocherais d'un expert en sécurité...

Modifié le 12 mars 2007 par coolman

[Christian54]

Bonjour coolman, merci de ta réponse; je résume: je ne touche à rien pour le moment, et je passe Hijackthis, OK. A bientôt

[Christian54]

Re bonjour, voilà le rapport HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 15:30:58, on 12/03/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\Tray Commander Lite\TC.exe

C:\Program Files\Multimedia Keyboard & Mouse Driver\MouseDrv.exe

C:\Program Files\Multimedia Keyboard & Mouse Driver\PS2USBKbdDrv.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe

C:\Program Files\Webshots\webshots.scr

C:\Program Files\OpenOffice.org1.1.5\program\soffice.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\dllhost.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O2 - BHO: Piolet Toolbar Helper - {9F17C005-7BF0-4f13-8473-F3C3D2619DBD} - C:\Program Files\Piolet Toolbar\v2.0.0.5\Piolet_Toolbar.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Piolet Toolbar - {6A41F582-CC0E-402a-A16D-A32ABA3043CE} - C:\Program Files\Piolet Toolbar\v2.0.0.5\Piolet_Toolbar.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\Multimedia Keyboard & Mouse Driver\StartAutorun.exe MouseDrv.exe

O4 - HKLM\..\Run: [WireLessKeyboard] C:\Program Files\Multimedia Keyboard & Mouse Driver\StartAutorun.exe PS2USBKbdDrv.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Tray Commander Lite] C:\Program Files\Tray Commander Lite\TC.exe

O4 - HKCU\..\Run: [skwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Startup: OpenOffice.org 1.1.5.lnk = C:\Program Files\OpenOffice.org1.1.5\program\quickstart.exe

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe

O4 - Startup: WinTidy.lnk = C:\Program Files\WinTidy\WinTidy.exe

O8 - Extra context menu item: Afficher cette page dans Firefox - file://C:\Documents and Settings\Christian\Application Data\Mozilla\Firefox\Profiles\p15ro4ds.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html

O8 - Extra context menu item: Ouvrir la cible dans Firefox - file://C:\Documents and Settings\Christian\Application Data\Mozilla\Firefox\Profiles\p15ro4ds.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1C3C7387-2B94-4D32-A6BB-DFD98DF8F664}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{41391D7B-8021-4414-87EA-B3565FD01D1E}: NameServer = 84.103.237.144 86.64.145.144

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

[Nicolas Coolman]

Il y a un peu de nettoyage à faire,

 

Je te transfère sur le forum sécurité, un expert sécu te prendra en charge pour t'indiquer la marche à suivre.

 

Bonne soirée...

[Christian54]

merci coolman.