Impossible de lancer internet explorer Résolu

Question

Bonjour, 

Sur un windows server 2003, nous avons un petit souci. A savoir, l'impossibilité de lancer Internet Explorer.
Les connexions sortantes sont toutes refusées. Dans Internet Explorer, il y a le message "Internet Explorer ne peut pas afficher cette page Web".
Impossible d'envoyer un email également.
En revanche, les connexions entrantes sont acceptées: une connexion TSE à ce serveur ne pose pas de problème. 

Je poste un rapport de hijackthis et de Silent Runners (juste la partie Winsock2 Service Provider DLLs)

-------------------------------------------
HIJACKTHIS
-------------------------------------------
La ligne O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrateur\windows\system32\winrnr.dll' missing
a retenu mon attention. Y a t'il un pb sur la dll? De plus le chemin indiqué n'est pas correct. Cette dll se trouve en effet dans windows\system32.
Aucune trace de cette dll dans le chemin indiqué (c:\documents and settings\administrateur\windows\system32)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:14, on 27/04/2009
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\Documents and Settings\Administrateur\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\Symantec Endpoint Protection Manager\ASA\win32\dbsrv9.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\lserver.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32dpclip.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32dpclip.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWSegedit.exe
C:\HijackThis\TJH1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [PspUsbCf] pspusbcf.exe
O4 - HKLM\..\Run: [Psp6164a] Psp6164a.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-479957466-4257256195-1976789789-1004\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'LASEYNE1')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Raccourci vers CREATH.BAT.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrateur\windows\system32\winrnr.dll' missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AAD8F848-6C47-437F-A0F3-47F8B4C5F280}: NameServer = 80.10.246.2,80.10.246.129,80.10.246.130
O23 - Service: Base de données intégrée Symantec (ASANYs_sem5) - iAnywhere Solutions, Inc. - C:\Program Files\Symantec\Symantec Endpoint Protection Manager\ASA\win32\dbsrv9.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Symantec Endpoint Protection Manager (semsrv) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection Manager	omcat\bin\SemSvc.exe

jipelou · Accepted Answer

Bonjour,

Tout d'abord, je réponds à ta question:
Est ce que les clés 
HKLM\SYSTEM\ControlSet00X\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries et 
HKLM\SYSTEM\ControlSet00X\Services\Winsock2\Parameters\ProtocolCatalog9\Catalog_Entries 
sont identiques ? 

==> Dans la clé HKLM\SYSTEM\ControlSet001\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries, j'ai 3 sous-clés

000000000001
000000000002
000000000003
chacune possède différentes valeurs (voir plus bas)
Pour la clé HKLM\SYSTEM\ControlSet00X\Services\Winsock2\Parameters\ProtocolCatalog9\Catalog_Entries, j'ai 17 sous-clés
000000000001
............
000000000017
Chaque sous-clé contient juste une valeur binaire nommée PackedCatalogItem.
Sur un poste Windows Server 2003 qui fonctionne, j'ai regardé et c'est la même chose. Au détail près qu'il n'y a pas 17 sous-clés dans ProtocolCatalog9\Catalog_Entries mais juste un peu moins.

Je pense que le problème vient de ce qui suit.

Dans ma base de registre, dans la clé HKLM\SYSTEM\,  il existe 3 sous-clés ControlSet001, ControlSet002 et ControlSet003 et une sous-clé CurrentControlSet
Si j'ai bien compris, chaque sous-clé ControlSet00X représente une connexion réseau définie sur le poste. La sous-clé CurrentControlSet doit représenter la connexion réseau active pour la session en cours.

Détail de la clé ControlSet001:
j'ai 3 sous-clés dans

HKLM\SYSTEM\ControlSet001\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries

000000000001
000000000002
000000000003

chaque sous-clé 00000000000X contient des valeurs.
Pour 000000000001,
DisplayString = TCP/IP
Enabled=1
LibraryPath=%SystemRoot%\System32\mswsock.dll
ProviderId= valeur binaire 40 9d 05 22........
StoresServiceClassInfo=0
SupportedNameSpace=0x0000000c = 12 en décimal
Version=0

Pour 000000000002,
DisplayString = NTDS
Enabled=1
LibraryPath=%SystemRoot%\System32\winrnr.dll
ProviderId= valeur binaire ee 37 26 3b........
StoresServiceClassInfo=0
SupportedNameSpace=0x00000020 = 32 en décimal
Version=0

Pour 000000000003,
DisplayString = Espace de noms NLA (Network Location Awareness)
Enabled=1
LibraryPath=%SystemRoot%\System32\mswsock.dll
ProviderId= valeur binaire 3a 24 42 66........
StoresServiceClassInfo=0
SupportedNameSpace=0x0000000f = 15 en décimal
Version=0

Ces 3 sous-clés (000000000001, 000000000002 et 000000000003 sont exactement les mêmes que celles lues sur un poste Windows Server 2003 qui fonctionne correctement)

Détail de la clé ControlSet002:
c'est là, je pense que le problème se situe.
Je n'ai que la sous-clé 000000000001
Elle contient:
DisplayString = NTDS
Enabled=1
LibraryPath=%SystemRoot%\System32\winrnr.dll
ProviderId= valeur binaire ee 37 26 3b........
StoresServiceClassInfo=0
SupportedNameSpace=0x00000020 = 32 en décimal
Version=0

Il manque la clé concernant le TCP/IP et la clé concernant le Espace de noms NLA (Network Location Awareness)

Pour la clé ControlSet003, c'est le même problème que pour la clé ControlSet002. Pas de TCP/IP, ni de Espace de noms NLA (Network Location Awareness)

Et la clé CurrentControlSet correspond à la ControlSet002, donc incomplète, ce qui explique peut-être le problème de connexion Internet.

Qu'en pensez-vous?
Est-ce que je peux reconstruire les clés ControlSet002 et ControlSet003 et redémarrer le poste.
Je pense que je n'ai pas le droit de modifier directement la clé CurrentControlSet et que celle-ci se remplit automatiquement au démarrage du poste.

Merci

El_Rigolo · Answer

Salut,

Avez vous supprimé la configuration de sécurité renforcée pour Internet Explorer?
Cette commande bride énormément la navigation et mérite d'être supprimée (c'est en tout cas comme ça que j'effectue mes installations de 2003).

Cet outil peut être supprimé dans Ajout/suppression de programmes, Supprimer des élements Windows.

jipelou · Answer

Bonjour,

Non, la sécurité renforcée est bien décochée dans les composants windows.
Auparavant, IE fonctionnait correctement mais le poste a du choper un virus, malware ou autre qui a modifié quelque chose. Mais ni spybot, ni malware antibyte ne trouvent qq chose.

Merci

El_Rigolo · Answer

Je viens de me renseigner sur ce "winrnr.dll", et il semblerait qu'un spyware en soit effectivement la cause.
Cela-dit, il semblerait également que l'installation de LSP-Fix puisse parfois résoudre ce problème (logiciel fixant les winsock2 endommagés).

jipelou · Answer

Re,

J'ai déjà lancé LSPFix.
Au lancement, il m'indique No problems found. Donc, il ne faut rien faire avec cet outil. J'avais déjà en effet tenté de faire glisser la dll du tableau Keep vers Remove puis clic sur Finish.
ça n'avait rien fait d'autre que de me casser ma connexion réseau.
J'ai du faire ensuite un netsh winsock reset dans l'invite dos
Merci.

El_Rigolo · Answer

Après demande de conseils au Bureau CCMiste, il apparaît que vous devriez scanner ces deux fichiers sur le site de VirusTotal:

O4 - HKLM\..\Run: [PspUsbCf] pspusbcf.exe
O4 - HKLM\..\Run: [Psp6164a] Psp6164a.exe

Il ne semble pas qu'il y ait beaucoup d'informations concrètes sur ces fichiers sur différents sites web officiels.

InfernO.vir · Answer

Slt Jipelou, Re El_Rigolo ;-)


Pour suivre... si besoin d'aide pour l'analyse virustotal... il faut les rapports des deux fichiers, soit un rapport pour lui pspusbcf.exe  et un rapport pour l'autre --> Psp6164a.exe

InfernO.vir · Answer

Si tu rencontres des problemes au niveau de l'analyse en ligne, voici un petit tutoriel bien pratique, redigé clairement et illustré --> http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

jipelou · Answer

Re, Re,

Les 2 fichiers pspusbcf.exe et Psp6164a.exe sont inoffensifs.
Ce sont des fichiers propres à du matériel usb philipps. D'ailleurs, l'analyse sur virustotal le confirme.
Je pense vraiment que le souci vient de la base de registre comme silent runners l'indique:

Namespace Service Providers 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 
000000000001\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 

Mais je ne sais vraiment pas comment ajouter proprement les clés manquantes concernant mswsock.dll.

Merci à vous.

InfernO.vir · Answer

As-tu essayé ceci WinsockXPFix ?

Balaye ton pc avec MBAM :

1/ Telechargement :

# Télécharge Malwarebytes' Anti-Malware

NOTE : S'il te manque COMCTL32.OCX alors télécharge le --> comctl32.ocx 


2/ Installation et mise a jour :

# Installe MBAM en double-cliquant sur Mbam-setup.exe ,il se mettra a jour automatiquement.  

# Une fois a jour, le programme va se lancer. Clique sur l'onglet Paramètre, et coche la case : "Arrêter internet explorer pendant la suppression". 


3/ Recherche :

# Clique a présent sur l'onglet Recherche et coche la case : "exécuter un examen complet". 

# Clique ensuite sur "rechercher". 

Laisse-le scanner ton PC ... 
a

4/ Suppression :

# Si des éléments on été trouvés ~> Clique sur "Supprimer la selection".

# Si le programme te demande de redemarrer ~> Clique sur "yes". 

# A la fin, un rapport va s'ouvrir dans le Bloc-notes ~> Sauvegarde le de manière a le retrouver pour le poster sur le forum. 

# Copie (Ctrl + C) et colle (Ctrl + V) le rapport dans ton prochain message stp. 


PS : Les rapports sont aussi classés par date et heure du scan dans l'onglet Rapport/Log 


Données : Un tutoriel de chez Malekal est disponible ~> 

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

jipelou · Answer

Re,
Un scan a déjà été passé avec Malware anti byte.
Il n'avait rien trouvé de nuisible.
Merci

InfernO.vir · Answer

Le probleme, c'est que je ne sais pas si ton probleme est de nature virale ou non, je ne veux pas te faire passer des fix sans savoir quoi combattre.

Lyonnais92 · Answer

Bonsoir,

je n'exclus rien sur la base de registre (mais il n'est pas évident de connaitre les valeurs par défaut sur cet OS).

Par contre, ce fichier est suspect :

C:\Documents and Settings\Administrateur\WINDOWS\System32\smss.exe 

Je te propose de le contrôler sur VirusTotal :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Documents and Settings\Administrateur\WINDOWS\System32\smss.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant  

=======

Je note aussi cette ligne :

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Ces restrictions sont en place volontairement ?

InfernO.vir · Answer

Bonsoir Lyonnais92 ;-)

En effet smss.exe a l'air foireux vu l'emplacement ! mais apres les machines reseau c'est pas vraiment ma tasse de thé.

En tout cas sujet interressant :)

jipelou · Answer

Bonjour,
merci de votre aide.

Concernant le fichier C:\Documents and Settings\Administrateur\WINDOWS\System32\smss.exe:
Effectivement, c'est bizarre. Comme je le dis dans mon premier msg, il n'y a pas ce fichier dans le répertoire indiqué. (Même en affichant les fichiers cachés). Donc, je sais pas comment il me trouve cette instance. ce smss.exe est présent dans c:\windows\system32
Il y a peut-être un lien avec la ligne O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrateur\windows\system32\winrnr.dll' missing 
on me parle du même répertoire utilisateur.

Concernant les restrictions O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
C'était juste une restriction pour empêcher la modif de la page d'accueil de internet explorer
dans HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage. La valeur était à 1. Je l'ai supprimée.

jipelou · Answer

Re,

"Comme je le dis dans mon premier msg, il n'y a pas ce fichier dans le répertoire indiqué. (Même en affichant les fichiers cachés). Donc, je sais pas comment il me trouve cette instance. ce smss.exe est présent dans c:\windows\system32 "
==> Désolé, je croyais en avoir parlé lors du premier message mais ce n'est pas le cas

Pour les restrictions, il y avait également NoBrowserOptions dans HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer mais la valeur était 0

A+

Lyonnais92 · Answer

Bonjour,

comme on l'a déjà dit, ton OS n'est pas aussi courant qu'un Xp ce qui fait à la fois qu'on patauge un peu plus et qu'on doit être prudent (ce qui est légitime sous Xp ne l'est pas forcément sous 2003 et inversement).


Ouvre le registre.

Cherche la clé HKLM\SYSTEM.

Tu as CurrentControlset et des Controlset00x. Il en manque 1 (c'est normal, c'est le Current).

Est ce que les clés 

HKLM\SYSTEM\ControlSet00X\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries et

HKLM\SYSTEM\ControlSet00X\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries

sont identiques ?

Tu peux t'aider de la fonction Exportation pour générer un fichier texte qui facilitera les comparaisons.

Au passage, fais une copie de de sauvegarde de HKLM\SYSTEM sous la forme d'un fichier .reg

Lyonnais92 · Answer

Re,

on va d'abord installer et optimiser la Console de récupération.

En cas de problème, ça devrait permettre de récupérer le système;

Suis cette astuce : 

http://www.commentcamarche.net/faq/sujet 1968 installer et optimiser la console de recuperation sous xp

Xp et server 2003 se comportent de la même manière pour l'installation de la console :

https://docs.microsoft.com/fr-fr/previous-versions/exchange-server/exchange-server-2000//aa998795(v=exchg.65)?redirectedfrom=MSDN

Ensuite, tu copies la clé HKLM\SYSTEM dans un fichier .reg.

Tu dis quand c'est fait.

jipelou · Answer

Merci de votre aide.
Je ne pourrai pas faire cette manip avant lundi.
Je vous recontacterai.

Merci beaucoup

Lyonnais92 · Answer

Re,

no souci, je serai là.

jipelou · Answer

Bonjour,
un déplacement technique est prévu chez le client vers la fin du mois.
Je pense qu'une réisntallation sera faite

Merci encore de vos contributions.

Lyonnais92 · Answer

Bonjour,

si je comprends bien, il ne s'agit pas d'un de tes serveurs mais du serveur d'un de tes clients (car tu es un professionnel).

jipelou · Answer

C'est bon on a résolu le problème en recopiant dans la base de registres les clé manquantes

Lyonnais92 · Answer

Bonjour,

merci du retour.

La réfection des clés était donc bien la solution.

Très content que ton problème soit résolu.

Bonne suite.

Impossible de lancer internet explorer - Page 2

Discussions similaires

Newsletters