problème Internet Explorer 7, premier démarrage

Posez toutes les questions concernant internet en général et son utilisation, les comptes Email, le chat, les opérateurs téléphoniques et fournisseurs d'accès, FTP etc...

Modérateur: Modérateurs

problème Internet Explorer 7, premier démarrage

Messagepar grime » 13 Juin 2007 12:48

Salut tout le monde,
après avoir effectué les windowsupdate j'ai ce problème sur plusieurs PC.

Lors du démarrage d'internet explorer avec un utilisateur normal (pas de droit admin en local), internet explorer essaye de sauvegarder un fichier (navcl.dll) et il est impossible de surfer, si on clique sur annuler il se passe rien et sauvegarder il ne se passe rien non plus.

avec un utilisateur avec les droits admin local, on peut ouvrir internet, il vient alors une page de démarrage sur laquelle on peut choisir le search engine ainsi que la page de démarrage par défaut. puis on peut surfer correctement.

est ce que quelqu'un sait comment faire pour ne pas devoir donner les droits admin a tout le monde.

merci d'avance

@+
Grime
Avatar de l’utilisateur
grime
 
Messages: 12
Inscription: 13 Juin 2007 12:34
Localisation: Bienne

Messagepar Falkra » 13 Juin 2007 17:25

Bonsoir, cela ressemble à une infection de spywares et assimilés. Beaucoup ont besoin des droits admin pour être pleinement opérationnels.

Poste un log hijackthis s'il te plait, qu'on l'analyse.
Un tuto hijackthis, si besoin.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Messagepar grime » 14 Juin 2007 07:40

hello,

j'ai un peu des doutes quand au spyware, vu que le problème est survenu après les windowsupdate et que cela démarre cette page de microsoft pour choisir son engin de recherche. et que si tu enleves les droits admin après ca fonctionne jusqu'a la prochaine update !

mais j'ai quand meme fait un scan hjackthis, voici le log:

merci d'avance pour votre aide

@+
Guillaume

Logfile of HijackThis v1.99.1
Scan saved at 08:34:53, on 14.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\sistray.EXE
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\TEMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.swisstxt.ch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.swisstxt.ch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1A18FE14-BE0D-11D3-BCB4-005056333319} (Zoom Teletext Control) - http://www.textzoom.com/swisstxt/cug/textzoom.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 9740965574
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SWISSTXT.AD.PROD
O17 - HKLM\Software\..\Telephony: DomainName = SWISSTXT.AD.PROD
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SWISSTXT.AD.PROD
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
Avatar de l’utilisateur
grime
 
Messages: 12
Inscription: 13 Juin 2007 12:34
Localisation: Bienne

Messagepar Falkra » 14 Juin 2007 16:28

Bonsoir, connais pas ça, ça peut être normal, mais c'est à vérifier :

O16 - DPF: {1A18FE14-BE0D-11D3-BCB4-005056333319} (Zoom Teletext Control) - http://www.textzoom.com/swisstxt/cug/textzoom.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SWISSTXT.AD.PROD
O17 - HKLM\Software\..\Telephony: DomainName = SWISSTXT.AD.PROD
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SWISSTXT.AD.PROD

Côté IE tout semble normal vu d'ici. Essaie éventuellement de désactiver le script proxy de l'antivirus (qui correspond à O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll) mais sans shooter le plugin forcément, tu peux le désactiver par les propriétés d'IE, dans les modules complémentaires.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Messagepar grime » 15 Juin 2007 07:15

Hello,

merci d'avoir analyser les log, alors pour ca:

Falkra a écrit:O16 - DPF: {1A18FE14-BE0D-11D3-BCB4-005056333319} (Zoom Teletext Control) - http://www.textzoom.com/swisstxt/cug/textzoom.cab


c'est un plugin pour un de nos programmes (normal)

quand à l'antivirus j'ai essayé, sans succès. je vais faire un printscreen la prochaine fois que cela apparait.

merci encore pour ton aide

@+
Guillaume
Avatar de l’utilisateur
grime
 
Messages: 12
Inscription: 13 Juin 2007 12:34
Localisation: Bienne

Messagepar grime » 18 Juil 2007 07:43

alors j'ai enfin trouvé de ou cela venais. c'est notre login script qui pose problème. je suis en train d'analyser de ou cela vient. !

je vous tiens au courant
Avatar de l’utilisateur
grime
 
Messages: 12
Inscription: 13 Juin 2007 12:34
Localisation: Bienne


Retourner vers Internet

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités