ITBarLayout - SOS!

Arno12 · Février 1, 2006, 11:07

Bonjour à tous,

J’espère avoir tapé à la bonne porte…

Voila mon problème : je tourne avec XP SP2, utilise AVG Free comme antivirus et scanne fréquemment mon PC avec Ad-Aware SE et SpyBot S&D. Or, SpyBot m’avertit d’une tentative de modification par ITBarLayout. Je la refuse systématiquement mais rien ne semble y faire : le message de tentative de modification revient tout le temps. Autres signes pas sympas, mon explorer plante régulièrement, mes connexions internet sont lentes.

Que disent mes scans avec Ad-Aware et SpyBot S&D? Rien. AVG? Rien non plus. Soupçonnant un méchant spyware, j’ai utilisé RegFreeze : toujours rien. J’ai passé un coup de Hijackthis. Voici mon log :

Logfile of HijackThis v1.99.1
Scan saved at 22:39:57, on 01/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\BOINC\boincmgr.exe
C:\Program Files\RegFreeze\regfreeze.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\BOINC\boinc.exe
C:\Program Files\BOINC\projects\setiathome.berkeley.edu\setiathome_4.18_windows_intelx86.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Arnaud\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {16664845-0E00-11D2-8059-000000000000} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O4 - HKLM\…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM\…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\…\Run: [Skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized
O4 - Startup: BOINC Manager.lnk = C:\Program Files\BOINC\boincmgr.exe
O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe…nt.cab31267.cab
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.3/g_bin/eng/boards_2_0_0_24.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} -
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat…b?1132050185212
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} -
O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} -
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} -
O16 - DPF: {B3231E01-D1EA-4BF1-B872-CF21619704F3} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse…pDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Pouvez-vous m’aider?

Merci d’avance!

crocodudule_1_1 · Février 1, 2006, 11:26

fait une sauvegarde de ton registre.,désactive la restauration du systeme,relance le pc en mode sans echec.
relance le scan de hijack dans ce mode et coche ceci:
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} -

(tres important!! fait vraiment la sauvegarde du registre avant de faire ca)

ps: il est preferable d’aller dans le forum xp pour poser ta question

chafoin_1_1 · Février 1, 2006, 11:41

Topic déplacé sur le forum XP :jap:

_Ric_1_1 · Février 2, 2006, 12:04

Essaye ce ci:

fait éventuellement une sauvegarde du registre avant:

démarrer -> exécuter -> regedit :

navigue jusque ->

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar

Il existe trois sous-clès nommées :

Explorer, ShellBrowser, WebBrowser

Dans chacune : tu fais/clic droit sur la valeur binaire " ITBarLayout " et tu la supprimes (tu le fais pour chacune des 3 sous clés)
et ensuite redémarre !

AdminOfPlaygroup · Février 2, 2006, 12:58

Est-ce que tu as un pare-feu (même celui de XP) ?

Arno12 · Février 2, 2006, 11:26

Bonjour à tous et merci pour vos réponses.

Tout d’abord, désolé de ne pas avoir posté mon message au bon endroit. Je recommencerai plus…

Ensuite, question bête, mais comment fais-je pour démarrer en mode sans échec? Je crois me souvenir qu’il faut appuyer sur une touche fquelquechose mais je ne me souviens plus la quelle (f8?).

Je suis allé voir dans ma base de registre : je n’ai trouvé ITBarLayout que dans la sous-clé Explorer. Je l’ai zappée, aprés redémarrage, mais SpyBot m’a encore affiché le message d’alerte de tentative de modification.

Enfin, oui, j’ai le pare-feu de Windows.

westernunion · Février 2, 2006, 1:16

:hello:

désactive le TTimer et refait la procédure

O4 - HKCU\…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe <— !!

Ensuite lance un nouveau scan avec SSD et réactive le TT

Rien dans le log hijack c’est clean

édit : le
mode sans échec
voir/Touche F8 (ou F5)…
http://service1.symantec.com/SUPPORT/INTER…020325143456924

ps : Ric :hello: mais c’est à moi ça, pirate!
Il existe trois sous-clès nommées :
Explorer, ShellBrowser, WebBrowser
…

Arno12 · Février 2, 2006, 1:17

Re bonjour à tous.

Quelques infos supplémentaires qui pourraient peut-être vous aider.

Sur conseils d’un ami, j’ai fait tourner Ewido sur ma machine. Je vous communique ses divers rapports :

ewido anti-malware - Rapport de scan

Créé le: 12:12:06, 02/02/2006
Somme de contrôle: 47A6DE29
Résultats du scan:

Pas de fichiers infectés trouvés!

::Fin du rapport

Super!

ewido anti-malware - Rapport de démarrage

Créé le: 13:03:57, 02/02/2006
Somme de contrôle: 8E3FA8B7

Reg\HKLM\Run QuickTime Task "C:\Program Files\QuickTime\qttask.exe" -atboottime
Reg\HKLM\Run KernelFaultCheck %systemroot%\system32\dumprep 0 -k
Reg\HKLM\Run AVG7_CC C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
Reg\HKCU\Run CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
Reg\HKCU\Run SpybotSD TeaTimer C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
Reg\HKCU\Run Skype "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
Shell\CommonStartup Microsoft Office.lnk C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
Shell\UserStartup BOINC Manager.lnk C:\Documents and Settings\Arnaud\Menu Démarrer\Programmes\Démarrage\BOINC Manager.lnk
Shell\UserStartup RegFreeze.lnk C:\Documents and Settings\Arnaud\Menu

ewido anti-malware - Rapport de connexion

Créé le: 13:05:03, 02/02/2006
Somme de contrôle: C9B5FDA4

TCP 0.0.0.0:7 0.0.0.0:0 LISTENING
TCP 0.0.0.0:9 0.0.0.0:0 LISTENING
TCP 0.0.0.0:13 0.0.0.0:0 LISTENING
TCP 0.0.0.0:17 0.0.0.0:0 LISTENING
TCP 0.0.0.0:19 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1031 127.0.0.1:1043 ESTABLISHED
TCP 127.0.0.1:1035 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1043 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1043 127.0.0.1:1031 ESTABLISHED
TCP 127.0.0.1:10110 0.0.0.0:0 LISTENING
TCP 192.168.2.2:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:7
UDP 0.0.0.0:9
UDP 0.0.0.0:13
UDP 0.0.0.0:17
UDP 0.0.0.0:19
UDP 0.0.0.0:161
UDP 0.0.0.0:445
UDP 0.0.0.0:500
UDP 0.0.0.0:1034
UDP 0.0.0.0:1090
UDP 0.0.0.0:1209
UDP 0.0.0.0:4500
UDP 127.0.0.1:123
UDP 127.0.0.1:1025
UDP 127.0.0.1:1239
UDP 127.0.0.1:1249
UDP 192.168.2.2:123
UDP 192.168.2.2:137
UDP 192.168.2.2:138
UDP 192.168.2.2:520

Bon, ok, maintenant, je crois que vous connaissez mon IP… Abusez pas…

ewido anti-malware - Rapport des processus

Créé le: 13:05:24, 02/02/2006
Somme de contrôle: 80B28B7A
```
0: System Process
4: System Process
```
128: C:\WINDOWS\system32\ctfmon.exe
160: C:\Program Files\BOINC\boincmgr.exe
172: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
184: C:\Program Files\Skype\Phone\Skype.exe
448: C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
456: C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
464: C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
492: \SystemRoot\System32\smss.exe
600: \??\C:\WINDOWS\system32\csrss.exe
684: C:\WINDOWS\System32\tcpsvcs.exe
736: C:\WINDOWS\System32\snmp.exe
792: \??\C:\WINDOWS\system32\winlogon.exe
836: C:\WINDOWS\system32\services.exe
848: C:\WINDOWS\system32\lsass.exe
1016: C:\WINDOWS\system32\svchost.exe
1064: C:\WINDOWS\system32\svchost.exe
1160: C:\WINDOWS\System32\svchost.exe
1212: C:\WINDOWS\System32\svchost.exe
1228: C:\WINDOWS\System32\svchost.exe
1248: C:\WINDOWS\system32\wdfmgr.exe
1276: C:\WINDOWS\System32\svchost.exe
1324: C:\WINDOWS\System32\alg.exe
1336: C:\Program Files\BOINC\boinc.exe
1404: C:\Program Files\BOINC\projects\setiathome.berkeley.edu\setiathome_4.18_windows_intelx86.exe
1444: C:\WINDOWS\System32\MsPMSPSv.exe
1604: C:\WINDOWS\system32\spoolsv.exe
1856: C:\WINDOWS\Explorer.EXE
2020: C:\Program Files\QuickTime\qttask.exe
2268: C:\Program Files\Internet Explorer\iexplore.exe
2376: C:\Program Files\ewido anti-malware\ewidoctrl.exe
3308: C:\Program Files\ewido anti-malware\SecuritySuite.exe
3456: C:\Program Files\Messenger\msmsgs.exe
3596: C:\WINDOWS\system32\NOTEPAD.EXE
3632: C:\Program Files\Outlook Express\msimn.exe

Est-ce que ça vous parle? Moi, non…

Il faut aussi que je vous dise que, lorsque j’ai voulu télécharger Ewido, mon routeur (Comtrend CT-633) s’est pris pour un arbre de Noel avec tout plein de voyants qui se mettent à clignoter alors que d’habitude ils sont éteints ou allumés mais fixes. Une des choses les plus étonnantes : le voyant indiquant que la connexion adsl est établie s’éteint. J’y comprends rien du tout et pleure sur mon clavier…

westernunion · Février 2, 2006, 1:24

1 scan Ewido se fait en mode sans échec uniquement

lancer Ewido (faire la mise à jour avant)

Redémarrer en mode sans échec
attention ! pendant le scan, n’ouvrir aucun dossier ou autres
le scan est terminé, cliquer sur "Save Report" (sauvegarde)
copier/coller la sauvegarde dans un forum si tu veux une aide
ensuite supprimer la sauvegarde pour ne pas qu’un logiciel de sécu bugue dessus

Arno12 · Février 2, 2006, 2:35

Re bonjour!

Désolé, j’ignorais qu’il fallait scanner en mode sans échec.

Voici ce que me dit le scan effectué comme préconisé :

ewido anti-malware - Rapport de scan

Créé le: 14:18:12, 02/02/2006
Somme de contrôle: 996372AD
Résultats du scan:

Pas de fichiers infectés trouvés!

::Fin du rapport

ewido anti-malware - Rapport des processus

Créé le: 14:18:56, 02/02/2006
Somme de contrôle: 4B260BE0
```
0: System Process
4: System Process
```
148: \SystemRoot\System32\smss.exe
196: \??\C:\WINDOWS\system32\csrss.exe
220: \??\C:\WINDOWS\system32\winlogon.exe
264: C:\WINDOWS\system32\services.exe
276: C:\WINDOWS\system32\lsass.exe
424: C:\WINDOWS\system32\svchost.exe
468: C:\WINDOWS\system32\svchost.exe
532: C:\WINDOWS\system32\svchost.exe
748: C:\WINDOWS\Explorer.EXE
828: C:\Program Files\ewido anti-malware\SecuritySuite.exe
1588: C:\WINDOWS\system32\NOTEPAD.EXE
1600: C:\WINDOWS\system32\NOTEPAD.EXE

ewido anti-malware - Rapport de démarrage

Créé le: 14:18:29, 02/02/2006
Somme de contrôle: 389DFE8F

Reg\HKLM\Run QuickTime Task "C:\Program Files\QuickTime\qttask.exe" -atboottime
Reg\HKLM\Run KernelFaultCheck %systemroot%\system32\dumprep 0 -k
Reg\HKLM\Run AVG7_CC C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
Reg\HKCU\Run CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
Reg\HKCU\Run SpybotSD TeaTimer C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
Reg\HKCU\Run Skype "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
Shell\CommonStartup Microsoft Office.lnk C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
Shell\UserStartup BOINC Manager.lnk C:\Documents and Settings\Arnaud\Menu Démarrer\Programmes\Démarrage\BOINC Manager.lnk
Shell\UserStartup RegFreeze.lnk C:\Documents and Settings\Arnaud\Menu Démarrer\Programmes\Démarrage\RegFreeze.lnk

J’espère que cela vous inspire…

darkryss · Février 2, 2006, 2:40

Je ne vois rien d’anormal la dedans si tu sait ce que sont BOINC manager er Regfreez…

la seule entrée “anormale c’est le dumprep…”… je ne vois pas pouquoi il essaye de faire un Dump… tu as testé ta mémoire ?

Arno12 · Février 2, 2006, 3:23

Hop!

Oui, je sais ce que sont Boinc et Regfreeze : le 1er est le nouveau programme du SETI (Search for EtxraTerrestrial Intelligence - Arf…) et le 2nd est un anti spyware.

Tester ma mémoire? Comment?

Merci encore!

darkryss · Février 2, 2006, 3:36

Télécharge l’ultimate Boot CD (présent dans la logithèque du site) et lance les utilitaires de test mémoire…

verifie aussi au niveau des journaux d’erreur, l’origine du dumprep y est peut etre mentionnée

_Ric_1_1 · Février 2, 2006, 8:35

Exact mais en recherche google, avec le lien, je revenais sur la page d’acceuil de clubic … . dOnc j’ai repris ce sui concernait la clé à vérifier