|
|
|
=?iso-8859-1?Q?Re:_Ralentissement_au_d=E9marrage?= |
|---|
| message from Philippe Gatbois on 28 May 2004 |
"Fabrice [MVP]" <entrop-goess@netcourrier.com> a écrit dans le message de
news:eF%23usZ1QEHA.2704@TK2MSFTNGP10.phx.gbl...
OK, voilà donc les éléments
pctspk
nwiz
NvCpl
navapw32
hpupd04
hphmon04
Grenouille
DSEntry
dmtdll
Apoint
adiras
Skype
<vide>
SNDMon
dmtdll
gsc
ctfmon
Adobe Gamma Loader
DSLMON
FotoStation Easy AutoLaunch
Microsoft Office
MSN Messenger 6.1
dmtdll
dmtdll
dur à la carte réseau, par exemple 192.168.0.1 (dans tous les cas, une
adresse
Je ne peux pas, mon FAI (free) me fait reporter l'erreur 734.
Il y a des choses intéressantes à l'heure du démarrage.
Dans System :
Erreur détecté par le Service Control Manager : ID évén 7000, cad "Le
service General Purpose USB Driver (adildr.sys) n'a pas pu démarrer en
raison de l'erreur : le service ne peut pas être démarré parcqu'il est
désactivé ou qu'aucun périphérique activé ne lui est associé."
Merci pour l'aide.
|
| Fabrice [MVP] replied to Philippe Gatbois on 28 May 2004 |
Supprimez toutes les coches devant ces applications (démarrer, exécuter,
MSCONFIG puis OK, dans l'onglet démarrage)
Et regardez si le PC ne vas pas plus vite au boot.
On feras le tris si cela change les choses.
Pour l'erreur de l'observateur, c'est typique du modem F@st Sagèm
Il faut mettre un ; devant la ligne qui port le nom adildr.sys dans la base
de registre
Fabrice
Microsoft MVP
http://www.fab3d.fr.st
Faq Windows XP :
http://a.vouillon.online.fr/faq-winxp.htm
"Le savoir vaut mieux qu'une illusion, accepter sans comprendre, c'est la
raison."
"Philippe Gatbois" <philippe@gatbois.mel.org> a écrit dans le message de
news:40b66def$0$13932$636a15ce@news.free.fr...
|
| Philippe Gatbois replied to Fabrice [MVP] on 28 May 2004 |
Bonjour Fabrice,
J'ai suivi les conseils de Ypoons en décochant les processus sans nom et
pour l'instant cela va.
Si malgré tout j'ai des problèmes j'utiliserai ce dispositif.
Merci.
J'ai plusieurs registres qui contient adildr.sys. Lequel choisir?
dans
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{n°de mise à
jour}\0015
..ligne NTMPDriver : adildr.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{n°de mise à
jour}\0010
..ligne NTMPDriver : adildr.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ADILOADER
..ligne DisplayName: General Purpose USB Driver (adildr.sys)
..ligne ImagePath: System32\Driver\adildr.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{n°de mise à
jour}\0010
..ligne NTMPDriver : adildr.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{n°de mise à
jour}\0015
..ligne NTMPDriver : adildr.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\\Services\ADILOADER
..ligne DisplayName: General Purpose USB Driver (adildr.sys)
..ligne ImagePath: System32\Driver\adildr.sys
|
| ypoons replied to Philippe Gatbois on 28 May 2004 |
Salut Philippe
Il y a des trucs bizarres dans ta liste :
- dtmdll lancé quatre fois : est-ce que la "commande" et
"l'emplacement" sont les mêmes ? Sais-tu ce qui est lancé
derrière ? Si il s'agit de dtm.dll, c'est une dll pour les
systèmes d'exploitation OS/2 de IBM. Or tu n'as pas OS/2 installé
en même temps que Windows ?
- la ligne "vide" est très suspecte. Un "bon" programme n'a pas
peur, il ne se cache pas. Donc, ligne suspecte, si la commande ou
l'emplacement ne te donnent pas des renseignements rassurants, je
le décocherais à ta place. Puis je redémarrerais, j'utiliserais
l'ordinateur, et si rien ne manque, j'irais par la suite
supprimer cet appel (là où il est indiqué dans "emplacement")
- pctspk : tu as un modem PCTEL 2304WT V.92 MDC ?
- navapw32 : Norton AV pour win 9x (pas pour XP ?) Tu as quel OS ?
- hpupd04 (peut-être hphupd04) : je suppose que tu as un ordi ou
une imprimante HP ?
- hphmon04 : idem ?
- Grenouille : la météo ?
- DSEntry : l'anti-spyware de ton ordinateur Dell ?
- Apoint : driver pour les touchpads Alps
- adiras : driver du modem Sagem Fast 800 - si tu n'as pas ce
modem, adiras est peut-être un dialer.
- Skype : la téléphonie P2P, par les développeurs de Kazaa. Quand
on sait que Kazaa était bourré de spywares, je me méfie de Skype.
Un anti-spyware et un anti-trojan pourraient t'aider...
- SNDMon : un composant de Norton Firewall
- gsc : un jeu, ou un portail de jeux ?
Le reste ne me semble pas suspect
|
| Philippe Gatbois replied to ypoons on 28 May 2004 |
Bravo 'Ypoons', pour l'enquête.
Je reprends ton message et y réponds.
Ils sont dans le dossier c:\windows\system32
et les registres suivants :
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:Run
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\\windows:Load
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Windows:Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Windows:Run
Qu'est-ce que j'en fais?
Cela me paraît effectivement suspect.
Je l'ai décochée. Le redémarrage se fait correctement.
Par contre au-delà d'une minute, l'écran se fige et je perds le contrôle
pendant 1 minute environ, ai moment où je démarre des appli comme IE, MSN
Messenger 6.1.
Oui
XP Pro. J'ai une mise à jour de Norton.
Oui hphupd04, avec une hp
La météo de l'ADSL
Bon, je note. Je ne savais pas.
oui.
J'utilise SpyBot
oui
Un anti spam G-Lock SpamCombat que je recommande.
Que penser de nwiz qui commande nwiz.exe/installquiet? et situé dans le
registre
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Windows:Run?
|
| ypoons replied to Philippe Gatbois on 28 May 2004 |
Salut Philippe
4 dtmdll : il semble (d'après ta réponse) que cela corresponde à
un seul fichier "dtmdll.exe" situé dans c:\windows\system32. Mais
ça ne dit pas d'où vient ce fichier, qui n'est pas présent dans
mon ordi (mais chaque ordi a sa propre configuration). Si tu
survoles avec la souris le nom du fichier dans l'explorateur, que
dit l'info-bulle qui apparaît ?
Cela ressemble à un programme qui s'est mal installé, ou que tu
as installé plusieurs fois. Normalement, un programme bien écrit
ne met une clé de démarrage dans la BdR qu'à un seul endroit :
- soit dans HKCU, soit dans HKLM (utilisable par un seul
utilisateur - HKCU - ou par tout le monde -HKLM)
- soit dans Windows, soit dans Windows NT
et
- soit dans run, soit dans load
Essaye de trouver quel programme t'a installé ça (soit par survol
de la souris, soit en regardant les CD d'installation). Si tu
trouves à qui il appartient, tu réagiras selon. Évidemment, si ça
vient d'une installation faite par le web, tu auras plus de mal.
Mais une recherche sur dtmdll chez Google ne donne rien, alors
que les autres process sont répertoriés chez
http://www.liutilities.com/ (c'est par là que je les ai identifiés)
Autre possibilité, puisque tu as XP Pro : dans une fenêtre
d'invite de commande, tu tapes "tasklist /svc" (sans les
guillemets, mais avec l'espace), et tu étudies la réponse.
Si tu ne trouves pas, qu'est-ce que tu en fais ? Tu décoches les
entrées dans msconfig, tu redémarres, tu utilises ton ordi, et si
tout va bien (tu t'en apercevras au bout de quelques jours), il
sera temps de supprimer les entrées dans la BdR, puis de remettre
msconfig en "démarrage normal".
De toutes façons, si tu utilises Spybot et qu'il ne t'en a rien
dit, c'est plutôt un bon point (mais pas 4 fois).
Ligne vide : que dit la colonne commande, et la colonne emplacement ?
Ton ordi se fige une minute : et après il fonctionne bien ?
Voir les programmes qui tournent "en parasite" sur les programmes
qui se connectent à Internet. Ton logiciel de messagerie n'a pas
cette bizarrerie de comportement ?
Non, c'était une question. Si ton ordi n'est pas un Dell, ou si
tu n'as pas activé l'anti-spyware de Dell, ce truc devient suspect.
NWiz et NvCpl sont des processus normaux et non suspects liés aux
drivers de carte graphique NVidia
Il te faudra peut-être utiliser d'autres "nettoyeurs", chacun a
ses petites particularités.
Quelques adresses :
antivirus en ligne (après avoir désactivé ton résident)
- http://www.secuser.com/outils/antivirus.htm
- http://www.pandasoftware.com/activescan/
N'oublie pas de réactiver ton résident après
Spywares et trojans :
- Ad-Aware (mis à jour)
http://lavasoft.element5.com/default.shtml.fr
- Spybot (mis à jour)
http://www.safer-networking.org/index.php?page=download (ne pas
oublier de vacciner) puis SpywareBlaster pour empêcher leur retour
- CWShredder de Merijn
http://www.blocus-zone.com/modules/mydownloads/singlefile.php?lid=222
ou http://www.majorgeeks.com/download4086.html ou
http://www.spywareinfo.com/~merijn/files/CWShredder.exe
- SpywareGuard, Spyware Blaster et MRU Blaster (Anti-BHO,
Anti-ActiveX nuisibles, Videur de cochonneries "temporaires") :
http://www.javacoolsoftware.com/products.html
- HijackThis
http://www.spywareinfo.com/~merijn/downloads.html ou
http://www.spychecker.com/program/hijackthis.html
- http://www.technicland.com/article.php3?sid=175
- http://www.simplysup.com/tremover/ (mis à jour)
- A² Free http://www.emsisoft.net/fr/software/free/
- SpywareScanner
http://www.kephyr.com/spywarescanner/index.html
- WinPatrol (Programmes au démarrage, BHO, Tâches
planifiées, Services, Tâches actives, cookies, HOSTS):
http://winpatrol.com/
- PestPatrol (payant)
Voilà, à toi de te mettre en chasse pour résoudre ton problème de
ralentissement au démarrage.
|
| Philippe Gatbois replied to ypoons on 28 May 2004 |
Ma réponse ci-dessous
Une recherche des dtmdll.exe dans system32 ne donne rien.
Conclusion : ils ont été supprimés. Mais quand?
Cela peut expliquer l'attente le temps de les chercher.
Dans les registres le nom dtmdll apparaît
dans
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 et 5604
HKEY_USERS\<N>\Software\Microsoft\Search Assistant\ACMru\5603 et 5604 où <N>
ressemble aux codes d'identificateurs de restauration.
Le tableau donne
dmtdll.exe PID: 976; Services : N/D
Je ne peux rien clonclure.
Rien dans la commande et SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Run dans
l'emplacement.
Je l'ai décochée.
Pas vu pour l'instant.
C'est un Dell, donc OK.
Très bien.
Oui, une liste à conserver.
Merci de ton assistance.
|
| ypoons replied to Philippe Gatbois on 28 May 2004 |
Re Philippe
Mais non, ils n'ont pas été supprimés, puisqu'ils font partie de
la liste des processus actifs que tu as donnée à Fabrice [MVP],
dans la catégorie utilisateur. dtmdll EST ACTIF ! Il se cache
sous le nom d'un autre exécutable (et là, ça va peut-être être
plus dur de le débusquer).
OK, de ce côté-là pas de panique, MRU signifie Most Recently
Used. C'est juste la liste des derniers trucs que tu as cherché
(dans l'explorateur probablement).
Mais il y a une incohérence :
- dtmdll est actif
- il est lancé par l'une des 4 clés citées dans msconfig
- il n'est présent dans aucune de ces clés ?
où <N>
Dans HKU, il y a les différents utilisateurs de ton ordinateur.
Je te copie une question que j'ai posée et la réponse de JCB :
début de copie----------------------------------
Il me semble que dans la base de registre, il existe une branche
qui enregistre les paramètres de chaque utilisateur.
Ainsi HKCU/Software/Microsoft/Windows/CurrentVersion/etc, c'est
moi, dans ma session actuelle (current version)
HKU/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/etc, ce
sera les paramètres initiaux de n'importe quel nouveau profil que
je créerai (.default)
Mais qui est HKU/S-1-5-18 ?
Qui est HKU/S-1-5-19 ?
Qui est HKU/S-1-5-20 ?
et qui est HKU/S-1-5-21-448539723-1563985344-854245398-1003 ?
Lequel de ces quatre est moi ? Lequel est l'Administrateur ? Qui
sont les deux autres ? (je n'ai qu'un utilisateur inscrit, le
compte invité n'est pas activé - peut-être l'un d'eux est le
compte ASP.NET, dont j'ai viré l'invite dans les comptes
d'utilisateurs)
Pourquoi les utilisateurs 19, 20 et 21 ont-ils une deuxième clé
appelée par exemple S-1-5-19_Classes, et pas 18 ?
Et, question subsidiaire, quel (bon) usage peut-on faire de cette
information ?
Réponse (JCB)
HKU/S-1-5-18 est le (pseudo) compte SYSTEM
HKU/S-1-5-19 est le (pseudo) compte SERVICE LOCAL
HKU/S-1-5-20 est le (pseudo) compte SERVICE RÉSEAU
HKU/S-1-5-21-448539723-1563985344-854245398-1003 ?
çà, je n'en sais rien, c'est un compte que tu as créé, mais très
vraisemblablement ton compte
Pour afficher les correspondances entre les SID et les noms de
compte, j'ai écrit un script VBS (WSF) qui fait cela automatiquement
"NAME2SID.WSF"
http://www.bellamyjc.net/fr/vbsdownload.html#name2sid
Ce script permet de récupérer le SID d'un compte utilisateur d'un
ordinateur local ou distant. JCB © 2004
Utilisation : name2sid.wsf [/comp:valeur] [/user:valeur] [/?:valeur]
Options :
comp : Nom de l'ordinateur (si vide, ordinateur local)
user : Nom de l'utilisateur (si vide, affichage de la liste des
comptes)
? : Affiche la présente aide
Exemples:
name2sid.wsf /comp:SPRINGFIELD
affiche la liste des comptes et SID de l'ordinateur
"SPRINGFIELD"
name2sid.wsf /user:Homer
affiche le SID du compte "Homer" sur l'ordinateur local
name2sid.wsf /comp:BINGERVILLE /user:Bart
affiche le SID du compte "Bart" sur l'ordinateur
"BINGERVILLE"
cette information ?
Les SID ne sont pas d'un usage courant pour l'utilisateur "lambda" !
P.ex., cela permet de s'y retrouver dans la clef
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
dont chaque sous-clef est un SID et contient une entrée
"ProfileImagePath" qui contient le chemin du profil du compte
concerné (c'est là où il faut agir pour modifier ce profil.
Attention : Opération à faire prudemment!)
Également dans
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData
dont chaque sous-clef est un SID, laquelle contient une sous
clefs "Products" dans laquelle se situe (vai d'autres sous-clefs)
le "RegOwner" des différentes applis installées.
ou plus généralement dans HKU
|
| Philippe Gatbois replied to ypoons on 30 May 2004 |
Re, message très long, dense et intéressant.
Donc je donne les résultats et commentaires dans la suite.
"ypoons" <debut@nt> a écrit dans le message de
news:%23k8IG6NREHA.2876@TK2MSFTNGP09.phx.gbl...
*** dtmdll.exe
************
Après avoir recoché tous les processus au démarrage et rebooté
dtmdll.exe apparaît dans le dossier system32.
Une recherche dans les registres révele un lien des HK avec dmtdll :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Dmtdll
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKU\S-1-5-21-...\Software\Microsoft\Windows\CurrentVersion\Run
HKU\S-1-5-21-...\Software\Microsoft\Windows\CurrentVersion\Uninstall\Dmtdll
HKU\S-1-5-21-...\Software\Microsoft\Windows NT\CurrentVersion\Windows
*** ligne vide
***********
Non, j'ai toujours cette lenteur malgré le décochage du process sans nom.
*** msinfo32
***********
Dans les tâches en cours il y a dmtdll.exe dans system32, ID du proc 1000;
version 1.0.0.4, datant du 28/8/2001 09:00.
J'ai l'impression que c'est une vieille application
*** autre indice
**************
J'ai fait la manip suivante :
reboot du système sans connection au web et observations.
Résultats: tout se semble opérationnel.
lancement de la connexion web, observations
Résultats: ce qui est lié à Office se fige : le lancement des appli se fait
mais elle n'apparaissent que 2 minutes plus tard.
|
| ypoons replied to Philippe Gatbois on 30 May 2004 |
Re Philippe
Mais pourquoi donc grands dieux ?
Il y a un rapport entre l'un des exécutables lancés au démarrage
et l'apparition (et la non-apparition dans le cas contraire) de
cet exe. Il faut cerner le fautif.
Dans msconfig, tu décoches toutes les lignes de l'onglet
Démarrage sauf une (au hasard), tu rebootes, et tu vérifies la
présence de cet exe. Si il n'est pas présent, tu coches une ligne
de plus dans msconfig, tu rebootes, jusqu'à ce que tu trouves le
truc qui "fabrique" l'exe. Quand tu en as trouvé un, tu le
décoches, et tu en coches un autre jusqu'à ce que tu identifies
tous les processus qui *peuvent* le faire (il y a quatre clefs
dans la BdR, il y a peut-être quatre "lanceurs").
Une présomption de plus : dans ta liste des tâches actives
(CTRL+ALT+SUPPR), dtmdll est lancé quatre fois...
Comme je t'ai expliqué, HKCU est une copie de HKU\S-1-5-21-...
(HKey CURRENT User)
Par contre, HKLM est lié au système lui-même (ton ordi)
Laisse-le décoché, jusqu'à ce que tu t'aperçoives que l'un de tes
logiciels installés ne marche pas comme il faut. Les programmes
sans nom, j'aime pas du tout. Mais tu disais avant-hier : "Je
l'ai décochée. Le redémarrage se fait correctement. Par contre,
au-delà d'une minute, l'écran se fige et je perds le contrôle
pendant 1 minute environ, au moment où je démarre des appli comme
IE, MSN Messenger 6.1."
Toutes ces applis ont besoin de la connexion. Si la ligne est
décochée, elles figent une minute... Et après ? elles marchent
correctement ?
As-tu passé un ou des logiciels anti-spyware autre que Spybot ?
Commence par faire un survol de la souris sur le fichier dans
system32 dans l'explorateur. Y a t'il une indication de l'auteur
? Microsoft ou quelqu'un d'autre ou pas d'auteur ?
Lance une recherche sur ton disque dur de tous les fichiers de
la même date. Si pas d'autre fichier, agrandis à tout ce qui date
d'un mois autour de la date.
Non, mais ! On l'aura ! (peut-être ;) )
Au fait... on ne sait toujours pas si ce "truc" est nuisible...
Il est peut-être tout à fait légitime... même s'il ne devrait pas
être lancé quatre fois...
Il y avait au début de l'année un problème avec un certificat
Verisign pour les applications Office. Mais ça devrait être
résolu depuis. Est-ce que dans ton pare-feu (pas celui de XP), tu
as interdit de web les applications Office ?
Il faudra (si on ne trouve rien de mieux) creuser dans cette
direction.
Bon, je récapépète :
- 4 dtmdll lancés -> dtmdll.exe visible dans system32
- les processus non lancés -> dtmdll.exe non visible
????????????????
Ça "sent" le spyware à plein nez (il se cache s'il n'est pas
lancé, il apparaît quand il est lancé).
Essaye un truc :
Quand il est lancé, tu vas dans le gestionnaire des tâches, et tu
"kill" les processus. Puis tu vas dans l'explorateur, et, si le
fichier ne s'est pas caché, tu le renommes (dtmdll.exe.old par
exemple).
Puis tu rebootes, et tu vois le comportement de ton ordinateur.
Reviens avec ces réponses.
|
| Philippe Gatbois replied to ypoons on 2 Jun 2004 |
"ypoons" a écrit
A PROPOS DE dmtdll.exe
**********************
Autres manipulations:
1. Démarrer sans aucun process au démarrage : résultat tout est ok tant au
démarrage sans web qu'au branchement au web.
2. Démarrer avec 3 dmtdll.exe cochés seulement pour démarrage : résultat
tout
est ok au démarrage, et ca gêle à la connexion web.
3. Démarrer tous cochés sauf les 3 dmtdll.exe et l'élément sans nom, au
démarrage : résultat tout est ok au démarrage et ça gêle à la connexion web
pendant 2 minutes environ.
dmtdll.exe n'est plus dans system32. ?????
Il est aussi cité dans les registres comme
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Dmtdll
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Dmtdll
HKU\S-1-5-21-...\Software\Microsoft\Windows\CurrentVersion\Uninstall\Dmtdll
Le process sans nom a disparu. tant mieux.
Oui, bien sûr. et rien.
Il a été modifié le 29/8/2002 à 12h44.
A cette heure et ce jour près de 200 fichiers de SYSTEM32 ont été modifiés.
Ils sont de MS.
Par google j'ai trouvé plusieurs pages parlant de dmtdll.exe
http://www.faqfarm.com/Computer/Virus/7420
parle de Trojan Horse Dowloader.Crypter.B.
Simple piste.
HijackThis le classe dans le groupe F1 des vieux programmes ??
Mais http://www.sysinfo.org/startuplist.php Pacman's Startup list est
inaccessible pour en savoir plus.
J'ai par ailleurs désassemblé le code de cet .exe pour trouver un indice de
parenté.
Il se connecte à des modules comme kernel32.dll, user32.dll, GDI32.dll,
urlmon.dll, version.dll, wininet.dll, msvrt.dll..
Suite également dans mon message posté il y a 1'.
|
| ypoons replied to Philippe Gatbois on 03 Jun 2004 |
Re Philippe
Ce qui confirme qu'il y a un process dans le Démarrage qui te
fout la merde.
Quand il est lancé, il se cache ?
Chez moi, cette clé est vide
Chez moi, toutes les clés de HKLM\Software\Microsoft\Shared
Tools\MSConfig sont "vides", sauf la clé "state", qui (je crois)
donne la liste des onglets désactivés (ils sont tous à zéro, donc
aucun n'est désactivé)
Non, je te demandais spécifiquement l'info sur le fichier
dtmdll.exe. Y a t'il une indication de l'auteur ?
Je viens de l'essayer. Il dit que c'est inaccessible pour le
moment, et qu'il faut cliquer sur le bouton "Actualiser". Ce que
j'ai fait. Mais je n'ai rien trouvé sur cette page qui en parle.
Je n'ai pas vu dans tes réponses si tu as cherché et trouvé des
fichiers datant de la même date sur ton disque dur (soit du
28/08/2001 à 09h00, soit du 29/08/2002 à 12h44) ou de dates proches.
Ni si, lorsque dtmdll.exe est visible dans l'explorateur, tu as
pu le renommer (par exemple en dtmdll.old), et rebooter pour
savoir si "tout baigne".
Dans ton autre post de 18h32, tu dis :
"Avant (cad toute ma configuration normale de travail) le gel a
lieu non pas au démarrage mais au branchement web."
Ça me semble confirmer une action de trojan (pas forcément
Dowloader.Crypter.B., mais pourquoi pas ? Les réponses du thread
n'ont pas été décisives pour l'éradication de ce trojan)
Tu y dis aussi :
"Ma connexion est protégée par le pare-feu de connexion de XP
professionnel".
Ce pare-feu est parfait pour ne pas (trop) être infecté. Il est
par contre NUL pour empêcher une application de communiquer
depuis l'intérieur de ton PC vers le Web. Et c'est ce qui semble
bien se produire. Il te faut absolument utiliser un pare-feu "à
règles", paramétrable application par application, et qui te
signalera les tentatives d'accès vers l'extérieur.
Il en existe des gratuits. Le plus cité dans ce forum est KERIO
v2.1.5 (attention, actuellement on est à la version 4 - que
j'utilise - c'est devenu shareware, et il ne me satisfait pas
totalement).
Où télécharger :
http://kerio215.free.fr/
Lien vers réglages :
http://the.dark.sniper.free.fr/Progs/Kerio/index.html
Lien (en anglais) vers réglages :
http://www.blarp.com/faq/faqmanager.cgi?file=kerio_genrules&toc=kerio
Un outil pour te faciliter la vie : Tiny Logger pour lire le
filter.log de Kerio plus clairement...
http://hem.passagen.se/pluppis/dator_egnaprogram.html
Il en est fait mention dans la FAQ de Alain VOUILLON, avec des
renseignements supplémentaires.
Tu dis encore dans ton post de 18h32 :
"Dans les paramètres, un services que je ne connais pas est coché
: teredo. Il semble qu'il s'agisse d'un protocole de tunnel
automatique de Microsoft pour permettre au PC de communiquer en
IPv6 par le réseau web qui est de l'IPv4."
C'est exact, c'est parce que tu as téléchargé la mise à jour
817778 sur le site de WindowsUpdate.
Je n'ai lu nulle part que cette mise à jour posait problème.
Tu dis encore dans ton post de 18h32 :
"l'observateur d'événements montre des avertissements..."
Attention : le code 7035 concerne le démarrage d'un service, et
le code 7036 la fermeture d'un service. Il y en a qui s'ouvrent,
et qui se referment de suite ? C'est pas normal !
Encore peut-être un truc à tester. Tu dis : quand tout est actif
dans msconfig/Démarrage, tout est OK, le gel a lieu au
branchement web. Pour voir si un process accapare le PC pendant
cette phase, il faut auparavant :
- démarrer le gestionnaire des tâches (CTRL+ALT+SUPPR)
- trier les process par ordre décroissant d'activité. Pour cela,
clique deux fois (pas double-clic, deux clics successifs) sur
l'en-tête de la colonne "Processeur". Tu te retrouves alors avec
en haut de la colonne "Processus inactifs du système" qui doit
tourner à 98 ou 99%.
- laisse cette fenêtre ouverte
- se connecter au web, et suivre dans le gestionnaire des tâches
le ou les processus qui prennent toute l'activité pendant tout le
temps où le "gel" dure.
Tu verras ainsi quel est le process fautif (qu'il soit présent
auparavant ou qu'il n'apparaisse que à ce moment-là)
J'espère que tu ne te décourages pas !
|
| Philippe Gatbois replied to ypoons on 3 Jun 2004 |
Très sympa, tes signes d'encouragement.
Je réponds ci-dessous.
Sa disparation semble avoir eu lieu qu'une seule, puisque depuis elle est
présente dans system32. De même la suppression définitive de deux autres
lignes dmtdll.exe, ainsi que celle sans nom.
Aucun nom ne figure. Totalement anonyme sauf les étiquettes de lignes
relevées dans le programme assembleur.
Oui, mais ce sont des MS avec l'auteur MS.
Oui, je l'ai fais. Une erreur d'absence a été détectée. Mais sans plus,
visible.
J'ai installé kerio.
Il faut que je le paramètre progressivement.
Les 7035 viennent du SYSTEM et les 7036 acuitent en quelque sorte la demande
précédente puisqu'il est entré dans l'état exécution.
Rien vu de particulier. Certains process apparaissent avec un poids fort (40
ou plus) mais très momentanément.
Vos réponses maintiennent ma motivation.
|
| ypoons replied to Philippe Gatbois on 03 Jun 2004 |
Re Philippe
Donc, quand cet exécutable n'est pas lancé, ton ordi gèle quand
même ?
C'est un firewall qui "apprend" au fur et à mesure que tu
utilises ton ordi. Fais attention à ne pas cliquer trop vite sur
le bouton "autoriser".
Pour le moment, tu n'as remarqué aucune action suspecte liée au
moment où tu te connectes ?
J'avais lu que 7036 = fermeture du service. J'avais mal lu.
Ce qui veut dire que ton ordinateur freeze, mais qu'aucun process
ne "capte" l'utilisation du PC pendant ce temps ? Le "Processus
inactifs du système" est toujours à 98/99 %, et l'ordi est gelé ?
Il faudrait faire la même "chasse" aux processus actifs dans le
gestionnaire des tâches que celle qu'on a fait dans
msconfig/Démarrage. Identification formelle de tous les process
actifs, application qui les lance, etc.
Dans un de tes premiers posts, tu mentionnais le process apntex.
Je n'ai fait aucune recherche dessus, je ne le connais pas chez
moi (mais je ne le "pointe" pas du doigt pour autant).
Et je répète :
|
|
