pb registre

Le
TjDAc
Bonsoir,
Je cherche un peu d'aide pour le problème suivant :
Dans ma base de registre, la clé "shortdate" est régulièrement modifiée par
un process : csrss.exe.
Je ne suis pas développeur mais je pense qu'à l'origine de cette action il y
a une appli windev qui commande csrss
J'utilise Processmonitor pour identifier qui modifie le format de date.

Ma question est : comment savoir quelle est l'application qui commande à
csrss de modifier le format de date.

Je vous remercie de votre aide, c'est super important et je suis un bleu
dans ce domaine.
Fred
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pierre BOUSQUET
Le #14563801
peut-être avec le logiciel registry Monitor (regmon.exe)

TjDAc a formulé la demande :
Bonsoir,
Je cherche un peu d'aide pour le problème suivant :
Dans ma base de registre, la clé "shortdate" est régulièrement modifiée par
un process : csrss.exe.
Je ne suis pas développeur mais je pense qu'à l'origine de cette action il y
a une appli windev qui commande csrss
J'utilise Processmonitor pour identifier qui modifie le format de date.

Ma question est : comment savoir quelle est l'application qui commande à
csrss de modifier le format de date.

Je vous remercie de votre aide, c'est super important et je suis un bleu dans
ce domaine.
Fred



--
Pierre BOUSQUET

" Ne me dites pas que ce problème est difficile.
S'il n'était pas difficile, ce ne serait pas un problème. "
Jacques
Le #14563771
TjDAc a écrit :
Bonsoir,
Je cherche un peu d'aide pour le problème suivant :
Dans ma base de registre, la clé "shortdate" est régulièrement modifiée
par un process : csrss.exe.
Je ne suis pas développeur mais je pense qu'à l'origine de cette action
il y a une appli windev qui commande csrss
J'utilise Processmonitor pour identifier qui modifie le format de date.

Ma question est : comment savoir quelle est l'application qui commande à
csrss de modifier le format de date.

Je vous remercie de votre aide, c'est super important et je suis un bleu
dans ce domaine.
Fred



Bonjour,

csrss.exe est un processus système de Windows, dont le rôle est
d'apporter des services Client Serveur aux applications. Il a pour
processus parent smss.exe qui est le gestionnaire de session Windows,
qui lui-même a pour parent le processus System.

Pour ce qui est du registre ce processus tape dans HKEY_LOCAL_MACHINE et
HKEY_CURRENT_USER. La clé 'sShortDate' se trouve sous HKCUControl
PanelInternational qui est également utilisée par csrss.exe mais je ne
vois rien de logique à ce que ce processus modifie le format de la date.
Il me semble qu'un autre processus doit faire la modification, peut-être
un malware ou un prog mal écrit.

RegMon est un programme qui audite le registre Windows. Tu le trouveras
sur le site http://www.sysinternals.com. Tu le lances et tu poses un
filtre sur sShortDate et il t'affichera la liste des processus qui
accèdent à cette valeur chaîne.

Alors, si tu as un retour, poste les infos ici pour qu'on puisse t'en
dire plus.

Perso, sur ma machine, aucun processus n'accède à la valeur sShortDate.

A plus

Jacques
TjDAc
Le #14563751
Merci pour vos réponses
Voici un lien vers un screenshot de regmon (enfin, dans ce cas précis c'est
processmonitor mais si j'ai bien compris c'est la même chose).
http://www.imgposting.com/view.php?img“bf34f31964.jpg Pour obtenir ce
résultat, j'ai filtré sur le chemin.
On y voit le process 'administratif.exe" qui vient lire 'sshortdate" mais il
ne la modifie pas.
Par contre, csrss la modifie.
En fait, je pense que c'est peyt-être un bug de l'application
'administratif.exe" mais je ne sais pas comment en être sûr.
ça peut-être effectivement un malware mais là encore, comment l'identifier ?
Pour info, ce problème est survenu sur plusieurs machines avec des OS
différents (XP, W2K3, VB) mais dont le point commun est d'utiliser
'administratif.exe'. D'autres machines sont sur le réseau.
Jacques, est-ce que par les paramamètres passés à csrrs ou smss on peut
remonter jusqu'à mon appli 'administratif.exe" ?
Merci
Fred



Bonjour,

csrss.exe est un processus système de Windows, dont le rôle est
d'apporter des services Client Serveur aux applications. Il a pour
processus parent smss.exe qui est le gestionnaire de session Windows,
qui lui-même a pour parent le processus System.

Pour ce qui est du registre ce processus tape dans HKEY_LOCAL_MACHINE et
HKEY_CURRENT_USER. La clé 'sShortDate' se trouve sous HKCUControl
PanelInternational qui est également utilisée par csrss.exe mais je ne
vois rien de logique à ce que ce processus modifie le format de la date.
Il me semble qu'un autre processus doit faire la modification, peut-être
un malware ou un prog mal écrit.

RegMon est un programme qui audite le registre Windows. Tu le trouveras
sur le site http://www.sysinternals.com. Tu le lances et tu poses un
filtre sur sShortDate et il t'affichera la liste des processus qui
accèdent à cette valeur chaîne.

Alors, si tu as un retour, poste les infos ici pour qu'on puisse t'en
dire plus.

Perso, sur ma machine, aucun processus n'accède à la valeur sShortDate.

A plus

Jacques


Jacques
Le #14560091
TjDAc a écrit :
Merci pour vos réponses
Voici un lien vers un screenshot de regmon (enfin, dans ce cas précis
c'est processmonitor mais si j'ai bien compris c'est la même chose).
http://www.imgposting.com/view.php?img“bf34f31964.jpg Pour obtenir ce
résultat, j'ai filtré sur le chemin.
On y voit le process 'administratif.exe" qui vient lire 'sshortdate"
mais il ne la modifie pas.
Par contre, csrss la modifie.
En fait, je pense que c'est peyt-être un bug de l'application
'administratif.exe" mais je ne sais pas comment en être sûr.
ça peut-être effectivement un malware mais là encore, comment
l'identifier ?
Pour info, ce problème est survenu sur plusieurs machines avec des OS
différents (XP, W2K3, VB) mais dont le point commun est d'utiliser
'administratif.exe'. D'autres machines sont sur le réseau.
Jacques, est-ce que par les paramamètres passés à csrrs ou smss on peut
remonter jusqu'à mon appli 'administratif.exe" ?
Merci
Fred



Bonjour,

csrss.exe est un processus système de Windows, dont le rôle est
d'apporter des services Client Serveur aux applications. Il a pour
processus parent smss.exe qui est le gestionnaire de session Windows,
qui lui-même a pour parent le processus System.

Pour ce qui est du registre ce processus tape dans HKEY_LOCAL_MACHINE et
HKEY_CURRENT_USER. La clé 'sShortDate' se trouve sous HKCUControl
PanelInternational qui est également utilisée par csrss.exe mais je ne
vois rien de logique à ce que ce processus modifie le format de la date.
Il me semble qu'un autre processus doit faire la modification, peut-être
un malware ou un prog mal écrit.

RegMon est un programme qui audite le registre Windows. Tu le trouveras
sur le site http://www.sysinternals.com. Tu le lances et tu poses un
filtre sur sShortDate et il t'affichera la liste des processus qui
accèdent à cette valeur chaîne.

Alors, si tu as un retour, poste les infos ici pour qu'on puisse t'en
dire plus.

Perso, sur ma machine, aucun processus n'accède à la valeur sShortDate.

A plus

Jacques






Bonjour,

Pardon pour le retard, mais les fêtes...

Au vu du screenshot, je vois que le programme Administratif.exe essaie
de lire la valeur de sShortDate, mais retourne une erreur de débordement
de pile (buffer overflow). Cela signifie que le programme essaie de
stocker la valeur dans une variable sous-dimensionnée. Ce programme
tente de stocker 22 octets dans une variable de 16 octets.

Par contre, csrss.exe change bien le format de date de mm/jj/aaaa en
mm/jj/aa, ce qui est curieux.

Qu'est-ce que ce programme administratif.exe? L'appli Windev?

Il faudrait repérer le chemin exact de csrss.exe et le passer à
l'antivirus. Au mieux, une recherche de tout le disque dur pour
s'assurer qu'il n'y a qu'un programme qui s'appelle csrss.exe dans le
système. Un clic droit et la lecture des propriétés du process devraient
donner la réponse à la première question.

Enfin, pour répondre à la dernière question, il faut utiliser process
explorer (du site sysinternals) qui permet de lister l'ensemble des
processus et leurs processus enfants. On doit voir que csrss.exe est
fils de smss et lui-même enfant du processus System. csrss.exe n'a pas
de processus enfant. smss est le gestionnaire de session et a donc
beaucoup de processus fils, ce qui est normal.

A la limite une capture écran du process explorer m'en dira plus. Faire
Ctrl-L pour afficher le panneau du bas et Ctrl-H pour voir les handles.
Là on peut voir notamment les clés du registre accédées par le processus.

Voilà ce que je peux dire à la veille du grand génocide de dindes.

A plus

Jacques
TjDAc
Le #14559961
Salut,
Effectivement on est un peu au ralenti pendant les fêtes mais c'est quand
même fait pour ça ; changer de préoccupations quelques jours pour se
concentrer un peu sur la famille et les amis.

Pour mon problème, j'aurais les machine demain sous la main pour lancer
d'autres tests.
Je vais essayer de vérifier les points que tu m'as donné.
Pour te donner quelques indications de plus, effectivement le programme
administratif.exe est l'application dévéloppée sous windev. C'est un
programme de gestion d'établissement scolaire.
Bien sùr on y manipule beaucoup de dates. Le problème qui se passe ici c'est
que dès que la date revient sur 2 caractères, si on accède (en modification)
à la fiche d'un élève, sa date de naissance est modifiée et réengegistrée
même si on a modifié que l'adresse. Il est alors né par exemple en 2097 au
lieu de 1997.
Comme les utilisateurs ne pensent pas systématiquement à vérifier les listes
d'élèves qui sont envoyées au rectorat sont archies fausses.
L'éditeur du logiciel ne veut pas entendre parler du problème en disant que
si ça venait de son appli, il aurait forcement des problèmes chez d'autres
clients (ce qui parait logique).
Il n'empêche que la date des postes qui n'utilisent pas cette appli n'est
pas modifiée... ???

Je vois ça demain et je te tiens au courant.
Merci encore pour le coup de main.
Fred


Bonjour,

Pardon pour le retard, mais les fêtes...

Au vu du screenshot, je vois que le programme Administratif.exe essaie
de lire la valeur de sShortDate, mais retourne une erreur de débordement
de pile (buffer overflow). Cela signifie que le programme essaie de
stocker la valeur dans une variable sous-dimensionnée. Ce programme
tente de stocker 22 octets dans une variable de 16 octets.

Par contre, csrss.exe change bien le format de date de mm/jj/aaaa en
mm/jj/aa, ce qui est curieux.

Qu'est-ce que ce programme administratif.exe? L'appli Windev?

Il faudrait repérer le chemin exact de csrss.exe et le passer à
l'antivirus. Au mieux, une recherche de tout le disque dur pour
s'assurer qu'il n'y a qu'un programme qui s'appelle csrss.exe dans le
système. Un clic droit et la lecture des propriétés du process devraient
donner la réponse à la première question.

Enfin, pour répondre à la dernière question, il faut utiliser process
explorer (du site sysinternals) qui permet de lister l'ensemble des
processus et leurs processus enfants. On doit voir que csrss.exe est
fils de smss et lui-même enfant du processus System. csrss.exe n'a pas
de processus enfant. smss est le gestionnaire de session et a donc
beaucoup de processus fils, ce qui est normal.

A la limite une capture écran du process explorer m'en dira plus. Faire
Ctrl-L pour afficher le panneau du bas et Ctrl-H pour voir les handles.
Là on peut voir notamment les clés du registre accédées par le processus.

Voilà ce que je peux dire à la veille du grand génocide de dindes.

A plus

Jacques


Jacques
Le #14559851
Salut,

Ton problème est simple. Il te faut aller dans le panneau de
configuration de Windows et, dans les Options régionales et
linguistiques, cliquer sur le bouton personnaliser, et ensuite sur
l'onglet Date pour sélectionner le format de date courte jj/MM/aaaa.

En fait, ce qui pose problème dans ton cas, c'est que le programme
administratif.exe travaille sur des formats de dates du type 25/12/2007
mais que la ou les machines fautives ont la date courte formatée en
25/12/07, ce qui fait que ton programme Windev s'y perd.

Voilà. Et bonne année.

Jacques

TjDAc a écrit :
Salut,
Effectivement on est un peu au ralenti pendant les fêtes mais c'est
quand même fait pour ça ; changer de préoccupations quelques jours pour
se concentrer un peu sur la famille et les amis.

Pour mon problème, j'aurais les machine demain sous la main pour lancer
d'autres tests.
Je vais essayer de vérifier les points que tu m'as donné.
Pour te donner quelques indications de plus, effectivement le programme
administratif.exe est l'application dévéloppée sous windev. C'est un
programme de gestion d'établissement scolaire.
Bien sùr on y manipule beaucoup de dates. Le problème qui se passe ici
c'est que dès que la date revient sur 2 caractères, si on accède (en
modification) à la fiche d'un élève, sa date de naissance est modifiée
et réengegistrée même si on a modifié que l'adresse. Il est alors né par
exemple en 2097 au lieu de 1997.
Comme les utilisateurs ne pensent pas systématiquement à vérifier les
listes d'élèves qui sont envoyées au rectorat sont archies fausses.
L'éditeur du logiciel ne veut pas entendre parler du problème en disant
que si ça venait de son appli, il aurait forcement des problèmes chez
d'autres clients (ce qui parait logique).
Il n'empêche que la date des postes qui n'utilisent pas cette appli
n'est pas modifiée... ???

Je vois ça demain et je te tiens au courant.
Merci encore pour le coup de main.
Fred


Bonjour,

Pardon pour le retard, mais les fêtes...

Au vu du screenshot, je vois que le programme Administratif.exe essaie
de lire la valeur de sShortDate, mais retourne une erreur de débordement
de pile (buffer overflow). Cela signifie que le programme essaie de
stocker la valeur dans une variable sous-dimensionnée. Ce programme
tente de stocker 22 octets dans une variable de 16 octets.

Par contre, csrss.exe change bien le format de date de mm/jj/aaaa en
mm/jj/aa, ce qui est curieux.

Qu'est-ce que ce programme administratif.exe? L'appli Windev?

Il faudrait repérer le chemin exact de csrss.exe et le passer à
l'antivirus. Au mieux, une recherche de tout le disque dur pour
s'assurer qu'il n'y a qu'un programme qui s'appelle csrss.exe dans le
système. Un clic droit et la lecture des propriétés du process devraient
donner la réponse à la première question.

Enfin, pour répondre à la dernière question, il faut utiliser process
explorer (du site sysinternals) qui permet de lister l'ensemble des
processus et leurs processus enfants. On doit voir que csrss.exe est
fils de smss et lui-même enfant du processus System. csrss.exe n'a pas
de processus enfant. smss est le gestionnaire de session et a donc
beaucoup de processus fils, ce qui est normal.

A la limite une capture écran du process explorer m'en dira plus. Faire
Ctrl-L pour afficher le panneau du bas et Ctrl-H pour voir les handles.
Là on peut voir notamment les clés du registre accédées par le processus.

Voilà ce que je peux dire à la veille du grand génocide de dindes.

A plus

Jacques





Jacques
Le #14559841
Et en fait, administratif.exe change le format de date selon ses
besoins, mais crss.exe reformate la date selon ce qui est configuré au
niveau des options régionales. D'où le pb.

En rétablissant les params système de date au format jj/MM/aaaa, tu
règleras ton pb.

Jacques

Jacques a écrit :
Salut,

Ton problème est simple. Il te faut aller dans le panneau de
configuration de Windows et, dans les Options régionales et
linguistiques, cliquer sur le bouton personnaliser, et ensuite sur
l'onglet Date pour sélectionner le format de date courte jj/MM/aaaa.

En fait, ce qui pose problème dans ton cas, c'est que le programme
administratif.exe travaille sur des formats de dates du type 25/12/2007
mais que la ou les machines fautives ont la date courte formatée en
25/12/07, ce qui fait que ton programme Windev s'y perd.

Voilà. Et bonne année.

Jacques

TjDAc a écrit :
Salut,
Effectivement on est un peu au ralenti pendant les fêtes mais c'est
quand même fait pour ça ; changer de préoccupations quelques jours pour
se concentrer un peu sur la famille et les amis.

Pour mon problème, j'aurais les machine demain sous la main pour lancer
d'autres tests.
Je vais essayer de vérifier les points que tu m'as donné.
Pour te donner quelques indications de plus, effectivement le programme
administratif.exe est l'application dévéloppée sous windev. C'est un
programme de gestion d'établissement scolaire.
Bien sùr on y manipule beaucoup de dates. Le problème qui se passe ici
c'est que dès que la date revient sur 2 caractères, si on accède (en
modification) à la fiche d'un élève, sa date de naissance est modifiée
et réengegistrée même si on a modifié que l'adresse. Il est alors né par
exemple en 2097 au lieu de 1997.
Comme les utilisateurs ne pensent pas systématiquement à vérifier les
listes d'élèves qui sont envoyées au rectorat sont archies fausses.
L'éditeur du logiciel ne veut pas entendre parler du problème en disant
que si ça venait de son appli, il aurait forcement des problèmes chez
d'autres clients (ce qui parait logique).
Il n'empêche que la date des postes qui n'utilisent pas cette appli
n'est pas modifiée... ???

Je vois ça demain et je te tiens au courant.
Merci encore pour le coup de main.
Fred

Bonjour,

Pardon pour le retard, mais les fêtes...

Au vu du screenshot, je vois que le programme Administratif.exe essaie
de lire la valeur de sShortDate, mais retourne une erreur de débordement
de pile (buffer overflow). Cela signifie que le programme essaie de
stocker la valeur dans une variable sous-dimensionnée. Ce programme
tente de stocker 22 octets dans une variable de 16 octets.

Par contre, csrss.exe change bien le format de date de mm/jj/aaaa en
mm/jj/aa, ce qui est curieux.

Qu'est-ce que ce programme administratif.exe? L'appli Windev?

Il faudrait repérer le chemin exact de csrss.exe et le passer à
l'antivirus. Au mieux, une recherche de tout le disque dur pour
s'assurer qu'il n'y a qu'un programme qui s'appelle csrss.exe dans le
système. Un clic droit et la lecture des propriétés du process devraient
donner la réponse à la première question.

Enfin, pour répondre à la dernière question, il faut utiliser process
explorer (du site sysinternals) qui permet de lister l'ensemble des
processus et leurs processus enfants. On doit voir que csrss.exe est
fils de smss et lui-même enfant du processus System. csrss.exe n'a pas
de processus enfant. smss est le gestionnaire de session et a donc
beaucoup de processus fils, ce qui est normal.

A la limite une capture écran du process explorer m'en dira plus. Faire
Ctrl-L pour afficher le panneau du bas et Ctrl-H pour voir les handles.
Là on peut voir notamment les clés du registre accédées par le processus.

Voilà ce que je peux dire à la veille du grand génocide de dindes.

A plus

Jacques






TjDAc
Le #14559801
J'ai bien sùr passé les paramètres système régionaux des machines sur
jj/MM/aaaa mais le changement ne dure jamais très lontemps.
Vendredi j'ai mis process monitor en place sur une des machines avec un
filtre.
Il ne reste plus qu'à attendre que la date change "seule".
Bon réveillon.
Fred


"Jacques" news:
Et en fait, administratif.exe change le format de date selon ses
besoins, mais crss.exe reformate la date selon ce qui est configuré au
niveau des options régionales. D'où le pb.

En rétablissant les params système de date au format jj/MM/aaaa, tu
règleras ton pb.

Jacques

Jacques a écrit :
Salut,

Ton problème est simple. Il te faut aller dans le panneau de
configuration de Windows et, dans les Options régionales et
linguistiques, cliquer sur le bouton personnaliser, et ensuite sur
l'onglet Date pour sélectionner le format de date courte jj/MM/aaaa.

En fait, ce qui pose problème dans ton cas, c'est que le programme
administratif.exe travaille sur des formats de dates du type 25/12/2007
mais que la ou les machines fautives ont la date courte formatée en
25/12/07, ce qui fait que ton programme Windev s'y perd.

Voilà. Et bonne année.

Jacques

TjDAc a écrit :
Salut,
Effectivement on est un peu au ralenti pendant les fêtes mais c'est
quand même fait pour ça ; changer de préoccupations quelques jours pour
se concentrer un peu sur la famille et les amis.

Pour mon problème, j'aurais les machine demain sous la main pour lancer
d'autres tests.
Je vais essayer de vérifier les points que tu m'as donné.
Pour te donner quelques indications de plus, effectivement le programme
administratif.exe est l'application dévéloppée sous windev. C'est un
programme de gestion d'établissement scolaire.
Bien sùr on y manipule beaucoup de dates. Le problème qui se passe ici
c'est que dès que la date revient sur 2 caractères, si on accède (en
modification) à la fiche d'un élève, sa date de naissance est modifiée
et réengegistrée même si on a modifié que l'adresse. Il est alors né par
exemple en 2097 au lieu de 1997.
Comme les utilisateurs ne pensent pas systématiquement à vérifier les
listes d'élèves qui sont envoyées au rectorat sont archies fausses.
L'éditeur du logiciel ne veut pas entendre parler du problème en disant
que si ça venait de son appli, il aurait forcement des problèmes chez
d'autres clients (ce qui parait logique).
Il n'empêche que la date des postes qui n'utilisent pas cette appli
n'est pas modifiée... ???

Je vois ça demain et je te tiens au courant.
Merci encore pour le coup de main.
Fred

Bonjour,

Pardon pour le retard, mais les fêtes...

Au vu du screenshot, je vois que le programme Administratif.exe essaie
de lire la valeur de sShortDate, mais retourne une erreur de
débordement
de pile (buffer overflow). Cela signifie que le programme essaie de
stocker la valeur dans une variable sous-dimensionnée. Ce programme
tente de stocker 22 octets dans une variable de 16 octets.

Par contre, csrss.exe change bien le format de date de mm/jj/aaaa en
mm/jj/aa, ce qui est curieux.

Qu'est-ce que ce programme administratif.exe? L'appli Windev?

Il faudrait repérer le chemin exact de csrss.exe et le passer à
l'antivirus. Au mieux, une recherche de tout le disque dur pour
s'assurer qu'il n'y a qu'un programme qui s'appelle csrss.exe dans le
système. Un clic droit et la lecture des propriétés du process
devraient
donner la réponse à la première question.

Enfin, pour répondre à la dernière question, il faut utiliser process
explorer (du site sysinternals) qui permet de lister l'ensemble des
processus et leurs processus enfants. On doit voir que csrss.exe est
fils de smss et lui-même enfant du processus System. csrss.exe n'a pas
de processus enfant. smss est le gestionnaire de session et a donc
beaucoup de processus fils, ce qui est normal.

A la limite une capture écran du process explorer m'en dira plus. Faire
Ctrl-L pour afficher le panneau du bas et Ctrl-H pour voir les handles.
Là on peut voir notamment les clés du registre accédées par le
processus.

Voilà ce que je peux dire à la veille du grand génocide de dindes.

A plus

Jacques








Publicité
Poster une réponse
Anonyme