ITBarLayout - SOS!

Bonjour à tous,

J’espère avoir tapé à la bonne porte…

Voila mon problème : je tourne avec XP SP2, utilise AVG Free comme antivirus et scanne fréquemment mon PC avec Ad-Aware SE et SpyBot S&D. Or, SpyBot m’avertit d’une tentative de modification par ITBarLayout. Je la refuse systématiquement mais rien ne semble y faire : le message de tentative de modification revient tout le temps. Autres signes pas sympas, mon explorer plante régulièrement, mes connexions internet sont lentes.

Que disent mes scans avec Ad-Aware et SpyBot S&D? Rien. AVG? Rien non plus. Soupçonnant un méchant spyware, j’ai utilisé RegFreeze : toujours rien. J’ai passé un coup de Hijackthis. Voici mon log :

Logfile of HijackThis v1.99.1
Scan saved at 22:39:57, on 01/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\BOINC\boincmgr.exe
C:\Program Files\RegFreeze\regfreeze.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\BOINC\boinc.exe
C:\Program Files\BOINC\projects\setiathome.berkeley.edu\setiathome_4.18_windows_intelx86.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Arnaud\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {16664845-0E00-11D2-8059-000000000000} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O4 - HKLM\…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM\…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\…\Run: [Skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized
O4 - Startup: BOINC Manager.lnk = C:\Program Files\BOINC\boincmgr.exe
O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe…nt.cab31267.cab
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.3/g_bin/eng/boards_2_0_0_24.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} -
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat…b?1132050185212
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} -
O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} -
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} -
O16 - DPF: {B3231E01-D1EA-4BF1-B872-CF21619704F3} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse…pDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Pouvez-vous m’aider?

Merci d’avance!

fait une sauvegarde de ton registre.,désactive la restauration du systeme,relance le pc en mode sans echec.
relance le scan de hijack dans ce mode et coche ceci:
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} -

(tres important!! fait vraiment la sauvegarde du registre avant de faire ca)

ps: il est preferable d’aller dans le forum xp pour poser ta question
:slight_smile:

Topic déplacé sur le forum XP :jap:

Essaye ce ci:

fait éventuellement une sauvegarde du registre avant:

démarrer -> exécuter -> regedit :

navigue jusque ->

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar

Il existe trois sous-clès nommées :

Explorer, ShellBrowser, WebBrowser

Dans chacune : tu fais/clic droit sur la valeur binaire " ITBarLayout " et tu la supprimes (tu le fais pour chacune des 3 sous clés)
et ensuite redémarre !

Est-ce que tu as un pare-feu (même celui de XP) ?

Bonjour à tous et merci pour vos réponses.

Tout d’abord, désolé de ne pas avoir posté mon message au bon endroit. Je recommencerai plus…

Ensuite, question bête, mais comment fais-je pour démarrer en mode sans échec? Je crois me souvenir qu’il faut appuyer sur une touche fquelquechose mais je ne me souviens plus la quelle (f8?).

Je suis allé voir dans ma base de registre : je n’ai trouvé ITBarLayout que dans la sous-clé Explorer. Je l’ai zappée, aprés redémarrage, mais SpyBot m’a encore affiché le message d’alerte de tentative de modification.

Enfin, oui, j’ai le pare-feu de Windows.

:hello:

désactive le TTimer et refait la procédure

O4 - HKCU\…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe <— !!

Ensuite lance un nouveau scan avec SSD et réactive le TT

Rien dans le log hijack c’est clean

édit : le
mode sans échec
voir/Touche F8 (ou F5)…
http://service1.symantec.com/SUPPORT/INTER…020325143456924

ps : Ric :hello: mais c’est à moi ça, pirate! :smiley:
Il existe trois sous-clès nommées :
Explorer, ShellBrowser, WebBrowser

Re bonjour à tous.

Quelques infos supplémentaires qui pourraient peut-être vous aider.

Sur conseils d’un ami, j’ai fait tourner Ewido sur ma machine. Je vous communique ses divers rapports :


ewido anti-malware - Rapport de scan

  • Créé le: 12:12:06, 02/02/2006

  • Somme de contrôle: 47A6DE29

  • Résultats du scan:

    Pas de fichiers infectés trouvés!

::Fin du rapport

Super!


ewido anti-malware - Rapport de démarrage

  • Créé le: 13:03:57, 02/02/2006
  • Somme de contrôle: 8E3FA8B7

Reg\HKLM\Run QuickTime Task "C:\Program Files\QuickTime\qttask.exe" -atboottime
Reg\HKLM\Run KernelFaultCheck %systemroot%\system32\dumprep 0 -k
Reg\HKLM\Run AVG7_CC C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
Reg\HKCU\Run CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
Reg\HKCU\Run SpybotSD TeaTimer C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
Reg\HKCU\Run Skype "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
Shell\CommonStartup Microsoft Office.lnk C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
Shell\UserStartup BOINC Manager.lnk C:\Documents and Settings\Arnaud\Menu Démarrer\Programmes\Démarrage\BOINC Manager.lnk
Shell\UserStartup RegFreeze.lnk C:\Documents and Settings\Arnaud\Menu


ewido anti-malware - Rapport de connexion

  • Créé le: 13:05:03, 02/02/2006
  • Somme de contrôle: C9B5FDA4

TCP 0.0.0.0:7 0.0.0.0:0 LISTENING
TCP 0.0.0.0:9 0.0.0.0:0 LISTENING
TCP 0.0.0.0:13 0.0.0.0:0 LISTENING
TCP 0.0.0.0:17 0.0.0.0:0 LISTENING
TCP 0.0.0.0:19 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1031 127.0.0.1:1043 ESTABLISHED
TCP 127.0.0.1:1035 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1043 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1043 127.0.0.1:1031 ESTABLISHED
TCP 127.0.0.1:10110 0.0.0.0:0 LISTENING
TCP 192.168.2.2:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:7
UDP 0.0.0.0:9
UDP 0.0.0.0:13
UDP 0.0.0.0:17
UDP 0.0.0.0:19
UDP 0.0.0.0:161
UDP 0.0.0.0:445
UDP 0.0.0.0:500
UDP 0.0.0.0:1034
UDP 0.0.0.0:1090
UDP 0.0.0.0:1209
UDP 0.0.0.0:4500
UDP 127.0.0.1:123
UDP 127.0.0.1:1025
UDP 127.0.0.1:1239
UDP 127.0.0.1:1249
UDP 192.168.2.2:123
UDP 192.168.2.2:137
UDP 192.168.2.2:138
UDP 192.168.2.2:520

Bon, ok, maintenant, je crois que vous connaissez mon IP… Abusez pas…


ewido anti-malware - Rapport des processus

  • Créé le: 13:05:24, 02/02/2006

  • Somme de contrôle: 80B28B7A

    0: System Process
    4: System Process
    

    128: C:\WINDOWS\system32\ctfmon.exe
    160: C:\Program Files\BOINC\boincmgr.exe
    172: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    184: C:\Program Files\Skype\Phone\Skype.exe
    448: C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    456: C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    464: C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    492: \SystemRoot\System32\smss.exe
    600: \??\C:\WINDOWS\system32\csrss.exe
    684: C:\WINDOWS\System32\tcpsvcs.exe
    736: C:\WINDOWS\System32\snmp.exe
    792: \??\C:\WINDOWS\system32\winlogon.exe
    836: C:\WINDOWS\system32\services.exe
    848: C:\WINDOWS\system32\lsass.exe
    1016: C:\WINDOWS\system32\svchost.exe
    1064: C:\WINDOWS\system32\svchost.exe
    1160: C:\WINDOWS\System32\svchost.exe
    1212: C:\WINDOWS\System32\svchost.exe
    1228: C:\WINDOWS\System32\svchost.exe
    1248: C:\WINDOWS\system32\wdfmgr.exe
    1276: C:\WINDOWS\System32\svchost.exe
    1324: C:\WINDOWS\System32\alg.exe
    1336: C:\Program Files\BOINC\boinc.exe
    1404: C:\Program Files\BOINC\projects\setiathome.berkeley.edu\setiathome_4.18_windows_intelx86.exe
    1444: C:\WINDOWS\System32\MsPMSPSv.exe
    1604: C:\WINDOWS\system32\spoolsv.exe
    1856: C:\WINDOWS\Explorer.EXE
    2020: C:\Program Files\QuickTime\qttask.exe
    2268: C:\Program Files\Internet Explorer\iexplore.exe
    2376: C:\Program Files\ewido anti-malware\ewidoctrl.exe
    3308: C:\Program Files\ewido anti-malware\SecuritySuite.exe
    3456: C:\Program Files\Messenger\msmsgs.exe
    3596: C:\WINDOWS\system32\NOTEPAD.EXE
    3632: C:\Program Files\Outlook Express\msimn.exe

Est-ce que ça vous parle? Moi, non…

Il faut aussi que je vous dise que, lorsque j’ai voulu télécharger Ewido, mon routeur (Comtrend CT-633) s’est pris pour un arbre de Noel avec tout plein de voyants qui se mettent à clignoter alors que d’habitude ils sont éteints ou allumés mais fixes. Une des choses les plus étonnantes : le voyant indiquant que la connexion adsl est établie s’éteint. J’y comprends rien du tout et pleure sur mon clavier…

1 scan Ewido se fait en mode sans échec uniquement

lancer Ewido (faire la mise à jour avant)

  • Redémarrer en mode sans échec
  • attention ! pendant le scan, n’ouvrir aucun dossier ou autres
  • le scan est terminé, cliquer sur "Save Report" (sauvegarde)
  • copier/coller la sauvegarde dans un forum si tu veux une aide
  • ensuite supprimer la sauvegarde pour ne pas qu’un logiciel de sécu bugue dessus

Re bonjour!

Désolé, j’ignorais qu’il fallait scanner en mode sans échec.

Voici ce que me dit le scan effectué comme préconisé :


ewido anti-malware - Rapport de scan

  • Créé le: 14:18:12, 02/02/2006

  • Somme de contrôle: 996372AD

  • Résultats du scan:

    Pas de fichiers infectés trouvés!

::Fin du rapport


ewido anti-malware - Rapport des processus

  • Créé le: 14:18:56, 02/02/2006

  • Somme de contrôle: 4B260BE0

    0: System Process
    4: System Process
    

    148: \SystemRoot\System32\smss.exe
    196: \??\C:\WINDOWS\system32\csrss.exe
    220: \??\C:\WINDOWS\system32\winlogon.exe
    264: C:\WINDOWS\system32\services.exe
    276: C:\WINDOWS\system32\lsass.exe
    424: C:\WINDOWS\system32\svchost.exe
    468: C:\WINDOWS\system32\svchost.exe
    532: C:\WINDOWS\system32\svchost.exe
    748: C:\WINDOWS\Explorer.EXE
    828: C:\Program Files\ewido anti-malware\SecuritySuite.exe
    1588: C:\WINDOWS\system32\NOTEPAD.EXE
    1600: C:\WINDOWS\system32\NOTEPAD.EXE


ewido anti-malware - Rapport de démarrage

  • Créé le: 14:18:29, 02/02/2006
  • Somme de contrôle: 389DFE8F

Reg\HKLM\Run QuickTime Task "C:\Program Files\QuickTime\qttask.exe" -atboottime
Reg\HKLM\Run KernelFaultCheck %systemroot%\system32\dumprep 0 -k
Reg\HKLM\Run AVG7_CC C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
Reg\HKCU\Run CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
Reg\HKCU\Run SpybotSD TeaTimer C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
Reg\HKCU\Run Skype "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
Shell\CommonStartup Microsoft Office.lnk C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
Shell\UserStartup BOINC Manager.lnk C:\Documents and Settings\Arnaud\Menu Démarrer\Programmes\Démarrage\BOINC Manager.lnk
Shell\UserStartup RegFreeze.lnk C:\Documents and Settings\Arnaud\Menu Démarrer\Programmes\Démarrage\RegFreeze.lnk

J’espère que cela vous inspire…

Je ne vois rien d’anormal la dedans si tu sait ce que sont BOINC manager er Regfreez…

la seule entrée “anormale c’est le dumprep…”… je ne vois pas pouquoi il essaye de faire un Dump… tu as testé ta mémoire ?

Hop!

Oui, je sais ce que sont Boinc et Regfreeze : le 1er est le nouveau programme du SETI (Search for EtxraTerrestrial Intelligence - Arf…) et le 2nd est un anti spyware.

Tester ma mémoire? Comment?

Merci encore!

Télécharge l’ultimate Boot CD (présent dans la logithèque du site) et lance les utilitaires de test mémoire…

verifie aussi au niveau des journaux d’erreur, l’origine du dumprep y est peut etre mentionnée

Exact :slight_smile: mais en recherche google, avec le lien, je revenais sur la page d’acceuil de clubic … :confused: . dOnc j’ai repris ce sui concernait la clé à vérifier :smiley: