Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Windows Windows XP Discussions Générales aidez-moi SVP : problem boot fichier manquant ou endommagé

aidez-moi SVP : problem boot fichier manquant ou endommagé

57 réponses
Avatar
Paul Martin
au démarrage de mon PC, il ma affiché :

"Windows n'a pas pu démarrer car le fichier suivant est manquant ou
endommagé :
\windows\system32\config\system
vous pouvez tenter de réparer ce fichier en démarrant le programme
d'installation de Windows XP avec le CD-Rom originel d'instalation.
Choisissez "R" dans le premier écran pour démarrer la réparation.

J'ai redemarrer avec la console de recupération, puis j'ai fait CHKDISQ /R
aprés 1h15, il m"affiche :
Vérification du système de fichiers sur C:
Le type du système de fichiers est NTFS.
Le nom de volume est HP_PAVILION.
Nettoyage en cours de petites incohérences sur le lecteur.
Nettoyage en cours de 62 entrées d'index inutilisées à partir de l'index
$SII du fichier 0x9.
Nettoyage en cours de 62 entrées d'index inutilisées à partir de l'index
$SDH du fichier 0x9.
Nettoyage en cours de 62 descripteurs de sécurité non utilisés.
CHKDSK est en train de vérifier les données du fichier (étape 4 de 5)...
La vérification des données du fichier est terminée.
CHKDSK est en train de vérifier l'espace libre (étape 5 de 5)...
La vérification de l'espace libre est terminée.
CHKDSK a découvert de l'espace libre marqué alloué dans la
bitmap de la table de fichiers maîtres (MFT).
Windows a effectué des corrections sur le système de fichiers.
151192439 Ko d'espace disque au total.
40957520 Ko dans 95952 fichiers.
38224 Ko dans 5652 index.
0 Ko dans des secteurs défectueux.
181587 Ko utilisés par le système.
65536 Ko occupés par le fichier journal.
110015108 Ko disponibles sur le disque.
4096 octets dans chaque unité d'allocation.
37798109 unités d'allocation au total sur le disque.
27503777 unités d'allocation disponibles sur le disque.


Ensuite j'ai redemarrer et tout était normale.

Il y a 1 mois, j'avais eu exactement le meme probleme, je ne sait pas ce qui
en est la cause,
j'ai verifier le systeme avec un anti-virus, tout est OK.
J'ai regardé dans l' observateur d'evenements / application , il y a un
événement intrigant qui pourrait peut-etre indiquer quelques indices mais je
n'en suis pas sure du tout, il s'est produit juste aprés que j'ai éteint
normalement mon PC hier soir avant que je le rallume ce matin avec ce
probleme de boot, il se produit regulierement 1 fois par jour.

le voici :

Type de l'événement : Avertissement
Source de l'événement : Userenv
Catégorie de l'événement : Aucun
ID de l'événement : 1517
Date : 25/04/2006
Heure : 00:27:10
Utilisateur : AUTORITE NT\SYSTEM
Ordinateur : HP-PAVILLON-T82
Description :
Windows a sauvegardé le Registre utilisateur HP-PAVILLON-T82\HP_Propriétaire
alors qu'une application ou un service utilisait toujours le Registre
pendant la fermeture de la session. La mémoire utilisée par le Registre de
l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne
sera plus utilisé.
Cela est souvent causé par des services s'exécutant en tant que compte
d'utilisateur, essayez de configurer les services pour s'exécuter dans le
compte service réseau ou service local.
Pour plus d'informations, consultez le centre Aide et support à l'adresse
http://go.microsoft.com/fwlink/events.asp


Je ne sait pas quoi faire,
je suis maintenant constament sous la menace de ce probleme a chaque fois
que j'allumerais mon PC.

Aidez-moi SVP , que dois-je faire ?
Signaler un problème avec ce contenu

10 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2 3 4 5
Avatar
Sabrem JORAM
*Bonjour Sabrem JORAM* ! Tu disais, dans le message
news:

En passant j'ai retrouvé ça :
Questions à propos de UPHClean
http://groups.google.com/groups?threadmBce6147$0$3136$8fcfb975%40news.wanadoo.fr
Jack suggère de vérifier que ces trois services sont bien en Compte
Système Local.
- Emplacement protégé (*)
- Gestionnaire des comptes de sécurité
- Services IPSEC

(*) Cocher aussi Autoriser le service à interagir avec le bureau.

Il doit savoir pourquoi il faut faire comme ça.
Je l'ignore.
J'ignore aussi ce que recouvre cette notion d'interaction avec le
bureau :o)


Salut Jean-François,

Je l'ignore aussi mais c'est tout simplement la configuration par
défaut de ces services ; il s'agit donc, me semble-t-il, simplement de
vérifier que le paramétrage n'en a pas été modifié.

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/dc8ee28b-13c9-4e4f-beaa-f9aeed6c1d54.mspx?mfr=true

"Une modification des paramètres par défaut d'un service risque
d'entraver le bon fonctionnement de services essentiels. Il est très
important de faire preuve de prudence lors de la modification des
paramètres Type de démarrage et Ouvrir une session en tant que de
services configurés pour démarrer automatiquement. Dans la plupart des
cas, il est déconseillé de modifier le paramètre Autoriser le service à
interagir avec le Bureau."

La notion d'interaction avec le bureau n'est-elle pas pour
l'utilisateur la possibilité de lancer le service concerné à partir
d'un raccourci du Bureau ? C'est ce que laisserait supposer la bulle
d'aide associée...

Amicalement,

Pascal.

--
... S.J. alias Pascal MONNOURY [MVP Windows-Shell/ User 2006]

Si F1 t'a pas aidé, si Gougueule t'a méprisé, tu peux sur ces forums ta
question alors poser :-)

Avatar
Jacques93
Bonjour Pascal et JF,
*Bonjour Sabrem JORAM* ! Tu disais, dans le message
news:

En passant j'ai retrouvé ça :
Questions à propos de UPHClean
http://groups.google.com/groups?threadmBce6147$0$3136$8fcfb975%40news.wanadoo.fr

Jack suggère de vérifier que ces trois services sont bien en Compte
Système Local.
- Emplacement protégé (*)
- Gestionnaire des comptes de sécurité
- Services IPSEC

(*) Cocher aussi Autoriser le service à interagir avec le bureau.

Il doit savoir pourquoi il faut faire comme ça.
Je l'ignore.
J'ignore aussi ce que recouvre cette notion d'interaction avec le
bureau :o)


Salut Jean-François,

Je l'ignore aussi mais c'est tout simplement la configuration par défaut
de ces services ; il s'agit donc, me semble-t-il, simplement de vérifier
que le paramétrage n'en a pas été modifié.

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/dc8ee28b-13c9-4e4f-beaa-f9aeed6c1d54.mspx?mfr=true


"Une modification des paramètres par défaut d'un service risque
d'entraver le bon fonctionnement de services essentiels. Il est très
important de faire preuve de prudence lors de la modification des
paramètres Type de démarrage et Ouvrir une session en tant que de
services configurés pour démarrer automatiquement. Dans la plupart des
cas, il est déconseillé de modifier le paramètre Autoriser le service à
interagir avec le Bureau."

La notion d'interaction avec le bureau n'est-elle pas pour l'utilisateur
la possibilité de lancer le service concerné à partir d'un raccourci du
Bureau ? C'est ce que laisserait supposer la bulle d'aide associée...



Je ne crois pas, de toutes façon avec les droits suffisants, on peut
toujours lancer un service avec Net Start, ou avec sc start.
La plupart des services n'ont pas d'interface, et s'ils en ont besoin,
beaucoup d'entre eux utilise un module annexe (Voir les AV, par
exemples), ce qui isole les services de toute intervention accidentelle
ou malveillante.

Dans tous les cas, (et tu est bien placé pour le savoir) si un service
rencontre un souci, il l'inscrit dans le journal des événements (s'il
est bien programmé).

Plus d'infos :

http://www.bellamyjc.org/fr/windowsnt.html#serviceNT

et extrait de :

http://www.commsoft.com/services.html

If StartServiceCtrlDispatcher fails, an error should be logged, using
the NT system event log. If the service is allowed user interaction, a
dialog may be placed onscreen to notify the user of the error, but if
you do this, be sure that the dialog does not interfere with system
startup in any other way (ie preventing the user from logging in, or
preventing other apps from running in some way).

Also remember that if you start a console mode service with "Allow
service to interact with the desktop", an empty console window will
automatically be opened for the service when it starts, so you have to
build your service as a GUI mode application if you plan for your
service to have any user interaction.

--
Cordialement,

Jacques.


Avatar
Sabrem JORAM
Bonjour,

Comme indiqué dans
http://groups.google.com/group/microsoft.public.fr.windowsxp/browse_frm/thread/e4afbe1855afaf6d/57f253e2291cbcc6#57f253e2291cbcc6
j'ai modifié les propriété des service "Gestionnaire des comptes de
sécurité"
et "Services IPSEC" : j'ai cocher en plus "Autoriser le servie à
interagir avec le bureau" qui n'était pas coché, on vera bien ce que
ca changera dans mes prochains demarages de WinXP.


Non ! Enlever l'interaction avec le bureau pour Services IPSEC et
Gestionnaire des comptes de sécurité. La case ne doit être cochée que
pour Emplacement protégé.

Je ne connais pas les conséquences de telles modifications mais
toujours est-il que je vous donne ici les réglages par défaut du
système (et ce sont les bons).

D'aprés
http://www.clubic.com/forum/avertissement-dans-journal-des-evenements-t186018.html
apparement UPHCLEAN résoud effectivement le type de probleme que j'ai
mais je voudrais identifier le procecus en cause.

-29 avr2006 15h , j'ai demarer en mode sans echec pour pouvoir
acceder à
C:System Volume Information
en y configurant les droit d"acces pour le profil "HP_Propriétaire"
que j'utilise habituellement, comme ça je pourait recopier les
fichiers de la base de registre dans C:WINDOWSsystem32config
depuis ce repertoire qui contient toujours des copies de ces fichiers
assez récents.
Une fois redemarer WinXP normalement, l' observateur d' événements
m'indique que l'évenement "Userenv" habituel s'est produit juste au
moment ou j'ai redamarer précedement, bien que le service UPHClean
était en execution.
Donc, apparement UPHClean ne joue pas son role quand on est en mode
sans echec.


UPHCLEAN n'est pas chargé en mode sans échec ainsi que beaucoup
d'autres services à dessein (environnement minimaliste) ; ouvrez le
gestionnaire de tâches pour constater que UPHCLEAN.EXE n'est pas
présent dans ce mode... donc il ne peut faire son boulot.


-30 avr2006 à 10h50, l'évenement "Userenv" ne s"est pas produit la
veille au soir à la fermeture de WinXP
et à la place il y avait le message :
Type de l'événement : Informations
Source de l'événement : UPHClean
Catégorie de l'événement : Aucun
ID de l'événement : 1401
Date : 29/04/2006
Heure : 23:26:33
Utilisateur : HP-PAVILLON-T82HP_Propriétaire
Ordinateur : HP-PAVILLON-T82
Description :The following handles in user profile hive
HP-PAVILLON-T82HP_Propriétaire
(S-1-5-21-1993279678-2970623561-4094221005-1007)
have been remapped because they were preventing the profile from
unloading successfully:
svchost.exe (888)
HKCU (0x24c) le lendemain
c'était "HKCU (0x37c)"


888 est ici le PID (identifiant du processus) ; le PID est lisible dans
l'onglet Processus du gestionnaire de tâches en provoquant l'affichage
de la colonne correspondante (Menu Affichage, Sélectionner les
colonnes). A chaque redémarrage, le PID est susceptible de changer.


Donc maintenant je sait que le processus coupable est "svchost.exe",
c'est ce qui sert à lancer les services, mais comment identifier le
service en cause alors qu'il y en a 36 lancés par svchost.exe qui
sont en execution sur mon PC ?
que veux dire "(888)" devant "svchost.exe" ?
et comment localiser la clé de registre en cause avec "HKCU (0x24c)"
?

d'aprés
http://groups.google.fr/group/microsoft.public.windows.server.sbs/browse_thread/thread/d5ec111c4ba01ce9/c1929c36f5fcf365?lnk=st&q=Event+ID%3A+1401+UPHClean&rnum=2&hl=fr#c1929c36f5fcf365
ca veux dire : HKCUSoftwareClasses (0x24c)
la seule chose un peu suspecte dans cette clé est relatif à "HP
Software Update", je ne sait pas quoi en penser.


Désactivez ceci qui est probablement lancé comme service et faites les
éventuelles détections de mises à jour spécifiques HP manuellement :
vous devez avoir dans les Programmes un raccourci permettant une telle
mise à jour où alors vous rendre sur le site de HP pour vérifier de
temps en temps.

j'ai en tache de fond 6 processus svchost.exe :
-nom d'utilisateur "system" ; utilisation memoireS28 ko
-nom d'utilisateur "system" ; utilisation memoireB84 ko
-nom d'utilisateur "system" ; utilisation memoire 960 ko
-nom d'utilisateur "service réseau" ; utilisation memoireF08 ko
-nom d'utilisateur "service réseau" ; utilisation memoireB80 ko
-nom d'utilisateur "service locale" ; utilisation memoireE28 ko


Oui... semble normal.

liste des Services "svchost" sur mon PC :

Nom complet Nom État Mode de démarrage Type de service Chemin
Contrôle_erreur Nom de démarrage ID de balise

Acquisition d'image Windows (WIA) stisvc En cours d'exécution
Automatique Processus de partage c:windowssystem32svchost.exe -k
imgsvc Normal LocalSystem 0


OK

Lanceur de processus serveur DCOM DcomLaunch En cours d'exécution
Automatique Processus de partage c:windowssystem32svchost -k
dcomlaunch Normal LocalSystem 0


OK

Services Terminal Server TermService En cours d'exécution Manuel
Processus de partage c:windowssystem32svchost -k dcomlaunch
Normal LocalSystem 0


OK

HTTP SSL HTTPFilter Arrêté Manuel Processus de partage
c:windowssystem32svchost.exe -k httpfilter Normal LocalSystem 0


OK

Service d'application d'assistance IPv6 6to4 En cours d'exécution
Automatique Processus de partage c:windowssystem32svchost.exe -k
netsvcs Normal LocalSystem 0


Vous faites quoi avec ce "truc" ? Indispensable ?

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/6ecf3d92-a57c-41b1-be9e-03a43331f2b7.mspx?mfr=true

Gestion d'applications AppMgmt Arrêté Manuel Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0


OK

Audio Windows AudioSrv En cours d'exécution Automatique Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem
0


OK

Service de transfert intelligent en arrière-plan BITS Arrêté Manuel
Processus de partage c:windowssystem32svchost.exe -k netsvcs
Normal LocalSystem 0


OK

Explorateur d'ordinateur Browser En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs
Normal LocalSystem 0


OK

Services de cryptographie CryptSvc En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs
Normal LocalSystem 0


Peut être mis à Manuel.

Client DHCP Dhcp En cours d'exécution Automatique Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem
0


OK

Gestionnaire de disque logique dmserver Arrêté Manuel Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem
0


OK

Service de rapport d'erreurs ERSvc En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs
Ignorer LocalSystem 0


A désactiver. Active le rapport d'erreurs pour les services et les
applications s'exécutant sur des environnements non standard.

Système d'événements de COM+ EventSystem En cours d'exécution Manuel
Processus de partage c:windowssystem32svchost.exe -k netsvcs
Normal LocalSystem 0


OK

Compatibilité avec le Changement rapide d'utilisateur
FastUserSwitchingCompatibility En cours d'exécution Manuel Processus
de partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0


OK

Aide et support helpsvc En cours d'exécution Automatique Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0


Mettre en manuel. Démarrera à la demande.

Accès du périphérique d'interface utilisateur HidServ Arrêté
Désactivé Processus de partage c:windowssystem32svchost.exe -k
netsvcs Normal LocalSystem 0


OK

Écouteur RIP Iprip En cours d'exécution Automatique Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem
0


Vous en avez besoin ? A désactiver selon le cas.

Serveur lanmanserver En cours d'exécution Automatique Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem
0


OK

Station de travail lanmanworkstation En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs
Normal LocalSystem 0


OK

Affichage des messages Messenger Arrêté Désactivé Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem
0


OK

Connexions réseau Netman En cours d'exécution Manuel Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem
0


OK

NLA (Network Location Awareness) Nla En cours d'exécution Manuel
Processus de partage c:windowssystem32svchost.exe -k netsvcs
Normal LocalSystem 0


OK

Stockage amovible NtmsSvc Arrêté Manuel Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0


OK

Gestionnaire de connexion automatique d'accès distant RasAuto Arrêté
Désactivé Processus de partage c:windowssystem32svchost.exe -k
netsvcs Normal LocalSystem 0


OK

Gestionnaire de connexions d'accès distant RasMan En cours
d'exécution Manuel Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0


OK

Routage et accès distant RemoteAccess Arrêté Désactivé Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem
0


OK

Planificateur de tâches Schedule En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs
Normal LocalSystem 0


OK

Connexion secondaire seclogon En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs
Ignorer LocalSystem 0


OK

Notification d'événement système SENS En cours d'exécution
Automatique Processus de partage c:windowssystem32svchost.exe -k
netsvcs Normal LocalSystem 0


OK

Pare-feu Windows / Partage de connexion Internet SharedAccess En
cours d'exécution Automatique Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0


OK

Détection matériel noyau ShellHWDetection En cours d'exécution
Automatique Processus de partage c:windowssystem32svchost.exe -k
netsvcs Ignorer LocalSystem 0


OK

Service de restauration système srservice En cours d'exécution
Automatique Processus de partage c:windowssystem32svchost.exe
-k netsvcs Normal LocalSystem 0


OK

Téléphonie TapiSrv En cours d'exécution Manuel Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0


OK

Thèmes Themes En cours d'exécution Automatique Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0


OK. Désactivé sur mes PC mais je travaille en affichage dit
"classique"...

Client de suivi de lien distribué TrkWks En cours d'exécution
Automatique Processus de partage c:windowssystem32svchost.exe
-k netsvcs Normal LocalSystem 0


Mettre en Manuel. Ce service n'est pas vraiment utile même lorsque vous
possèdez un réseau. Vous pouvez donc même désactiver sans problème ce
service

Horloge Windows W32Time En cours d'exécution Automatique Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0


OK

Infrastructure de gestion Windows winmgmt En cours d'exécution
Automatique Processus de partage c:windowssystem32svchost.exe -k
netsvcs Ignorer LocalSystem 0


OK

Service de numéro de série du lecteur multimédia portable WmdmPmSN
Arrêté Manuel Processus de partage c:windowssystem32svchost.exe
-k netsvcs Normal LocalSystem 0


OK

Centre de sécurité wscsvc En cours d'exécution Automatique Processus
de partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0


OK

Mises à jour automatiques wuauserv En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs
Normal LocalSystem 0


OK

Configuration automatique sans fil WZCSVC En cours d'exécution
Automatique Processus de partage c:windowssystem32svchost.exe -k
netsvcs Normal LocalSystem 0


Vous pouvez désactiver ce service si vous n'utilisez pas de connexion
sans fil ou si vous utiliser un programme de connection sans fil fourni
avec votre matériel.

Service d'approvisionnement réseau xmlprov Arrêté Manuel Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0


OK

Appel de procédure distante (RPC) RpcSs En cours d'exécution
Automatique Processus de partage c:windowssystem32svchost -k
rpcss Normal NT AUTHORITYNetworkService 0


OK

Authentification de groupe réseau homologue p2pgasvc Arrêté Manuel
Processus de partage c:windowssystem32svchost.exe -k p2psvc
Normal NT AUTHORITYLocalService 0


OK

Gestionnaire d'identité réseau homologue p2pimsvc Arrêté Manuel
Processus de partage c:windowssystem32svchost.exe -k p2psvc
Normal NT AUTHORITYLocalService 0


OK

Réseau homologue p2psvc Arrêté Manuel Processus de partage
c:windowssystem32svchost.exe -k p2psvc Normal NT
AUTHORITYLocalService 0


OK

Protocole de résolution de noms d'homologues PNRPSvc Arrêté Manuel
Processus de partage c:windowssystem32svchost.exe -k p2psvc
Normal NT AUTHORITYLocalService 0


OK

Client DNS Dnscache En cours d'exécution Automatique Processus de
partage c:windowssystem32svchost.exe -k networkservice Normal NT
AUTHORITYNetworkService 0


OK

Avertissement Alerter Arrêté Désactivé Processus de partage
c:windowssystem32svchost.exe -k localservice Normal NT
AUTHORITYLocalService 0


OK

Assistance TCP/IP NetBIOS LmHosts En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k
localservice Normal NT AUTHORITYLocalService 0


Peut être désactivé.

Service de découvertes SSDP SSDPSRV En cours d'exécution Manuel
Processus de partage c:windowssystem32svchost.exe -k
localservice Normal NT AUTHORITYLocalService 0


Peut être désactivé.

Hôte de périphérique universel Plug-and-Play upnphost Arrêté Manuel
Processus de partage c:windowssystem32svchost.exe -k
localservice Normal NT AUTHORITYLocalService 0


OK

WebClient WebClient En cours d'exécution Automatique Processus de
partage c:windowssystem32svchost.exe -k localservice Normal NT
AUTHORITYLocalService 0


OK


La liste des services qui peuvent être désactivés lorsque l'on n'est
pas en réseau selon Grand Climenole (Claude Hertel de La Frenière) :

http://groups.google.com/groups?as_umsgid=1xjf2lof17x8d%24.125ef4as97yqh%24.dlg%4040tude.net

La configuration des services selon BlackViper :

http://home.comcast.net/~optimizexp/Files/BlackViperWinXPServices.zip

Un gestionnaire de tâches très amélioré pour traquer la "bête" :
Process Explorer

http://www.sysinternals.com/Utilities/ProcessExplorer.html

au point ou j'en suis, la seule solution que je vois pour identifier
le processus en cause est de terminer ces services un par un avant
d'etteindre le PC et de voir si le lendemaint, quand on demarre le
PC, il y a toujours l'évenement "UPHClean" que j'ai indiqué
précedement.


Oui... méthode "agricole" mais attention à ne pas désactiver un service
essentiel au bon fonctionnement du PC...

Voyez-vous une autre methode ? SVP


Ici... Ypoons a développé la réponse pour moi (Merci Christian)

Cordialement,

Pascal.

--
... S.J. alias Pascal MONNOURY [MVP Windows-Shell/ User 2006]

Si F1 t'a pas aidé, si Gougueule t'a méprisé, tu peux sur ces forums ta
question alors poser :-)

Avatar
Sabrem JORAM
Bonjour Pascal et JF,
*Bonjour Sabrem JORAM* ! Tu disais, dans le message
news:

En passant j'ai retrouvé ça :
Questions à propos de UPHClean
http://groups.google.com/groups?threadmBce6147$0$3136$8fcfb975%40news.wanadoo.fr

Jack suggère de vérifier que ces trois services sont bien en
Compte Système Local.
- Emplacement protégé (*)
- Gestionnaire des comptes de sécurité
- Services IPSEC

(*) Cocher aussi Autoriser le service à interagir avec le bureau.

Il doit savoir pourquoi il faut faire comme ça.
Je l'ignore.
J'ignore aussi ce que recouvre cette notion d'interaction avec le
bureau :o)


Salut Jean-François,

Je l'ignore aussi mais c'est tout simplement la configuration par
défaut de ces services ; il s'agit donc, me semble-t-il, simplement
de vérifier que le paramétrage n'en a pas été modifié.

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/dc8ee28b-13c9-4e4f-beaa-f9aeed6c1d54.mspx?mfr=true


"Une modification des paramètres par défaut d'un service risque
d'entraver le bon fonctionnement de services essentiels. Il est
très important de faire preuve de prudence lors de la modification
des paramètres Type de démarrage et Ouvrir une session en tant que
de services configurés pour démarrer automatiquement. Dans la
plupart des cas, il est déconseillé de modifier le paramètre
Autoriser le service à interagir avec le Bureau."

La notion d'interaction avec le bureau n'est-elle pas pour
l'utilisateur la possibilité de lancer le service concerné à partir
d'un raccourci du Bureau ? C'est ce que laisserait supposer la
bulle d'aide associée...



Je ne crois pas, de toutes façon avec les droits suffisants, on peut
toujours lancer un service avec Net Start, ou avec sc start.
La plupart des services n'ont pas d'interface, et s'ils en ont
besoin, beaucoup d'entre eux utilise un module annexe (Voir les AV,
par exemples), ce qui isole les services de toute intervention
accidentelle ou malveillante.

Dans tous les cas, (et tu est bien placé pour le savoir) si un
service rencontre un souci, il l'inscrit dans le journal des
événements (s'il est bien programmé).

Plus d'infos :

http://www.bellamyjc.org/fr/windowsnt.html#serviceNT

et extrait de :

http://www.commsoft.com/services.html

If StartServiceCtrlDispatcher fails, an error should be logged, using
the NT system event log. If the service is allowed user interaction,
a dialog may be placed onscreen to notify the user of the error, but
if you do this, be sure that the dialog does not interfere with
system startup in any other way (ie preventing the user from logging
in, or preventing other apps from running in some way).

Also remember that if you start a console mode service with "Allow
service to interact with the desktop", an empty console window will
automatically be opened for the service when it starts, so you have
to build your service as a GUI mode application if you plan for your
service to have any user interaction.


Salut Jacques,

Hé ben la voilà l'explication... Et j'avais pourtant cherché un petit
moment sans rien trouver.

Entre parenthèses : péchue la page ! Par un "tronchu" : "Introduction
to NT Services paper, presented at the 1996 Borland Developer
Conference" par Jim Wrigh.

Merci.

Amicalement,

Pascal.

--
... S.J. alias Pascal MONNOURY [MVP Windows-Shell/ User 2006]

Si F1 t'a pas aidé, si Gougueule t'a méprisé, tu peux sur ces forums ta
question alors poser :-)



Avatar
Paul Martin
Je crois que j'en suis au meme point que toi, l'evenement 1401 UPHClean
m'indique regulierement le PID 884 ou 888 et quand j'examine les processus
en cour avec ProcessExplorer, je vois qu'il y en a un avec un PID 888 qui
corespond au 2 services DcomLaunch et TermService que tu a indiqué pour toi
comme
étant les responsables.
Je vais faire un capture de tous les PID des processus actifs pour etre sure
au prochain demarage de mon PC mais je pense que c"est ça.


A tu essayé de fermer un de ces 2 service avant d'eteindre ton PC pour
indentifier lequel des 2 est le coupable ?


A tu essayé de changer la valeur 2000 en 3000 à la clé :
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl]
"WaitToKillServiceTimeout"="3000"
pour voir si ça empeche l'evenement 1401 UPHClean ?


Il y aurait peut-etre des valeures à changeables à
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermServicePerformance
si c'est le service en cause, car pour le service DcomLaunch , il n'y a pas
grand chose a configurer.



moi je crois que je vais essayer tous ca car il n"y a pas beaucoup d'autres
chose à faire pour tenter d'avancer.
Avatar
Ypoons
Salut Paul

Je crois que j'en suis au meme point que toi, l'evenement 1401 UPHClean
m'indique regulierement le PID 884 ou 888 et quand j'examine les processus
en cour avec ProcessExplorer, je vois qu'il y en a un avec un PID 888 qui
corespond au 2 services DcomLaunch et TermService que tu a indiqué pour toi
comme étant les responsables.
Je vais faire un capture de tous les PID des processus actifs pour etre sure
au prochain demarage de mon PC mais je pense que c"est ça.

A tu essayé de fermer un de ces 2 service avant d'eteindre ton PC pour
indentifier lequel des 2 est le coupable ?


Ben non. J'avais ça en tête comme idée, mais je ne l'ai jamais
concrétisée. En fait, ça ne m'avancerait guère : je ne peux
désactiver aucun de ces deux services pendant l'utilisation
normale et... UPHClean fait bien son boulot.
Chose surprenante : ces deux services ont la même syntaxe de
lancement :
C:WINDOWSSystem32svchost -k DComLaunch
Le service "Services Terminal Server" est chez moi en manuel,
et... systématiquement démarré !
Le service "lanceur de processus DCOM" est en automatique.

A tu essayé de changer la valeur 2000 en 3000 à la clé :
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl]
"WaitToKillServiceTimeout"="3000"
pour voir si ça empeche l'evenement 1401 UPHClean ?


Non plus. Mais cette modification sert à retarder de 20 à 30
secondes (20000 à 30000 millisecondes) le temps avant que Windows
ne ferme arbitrairement le service. Or chez moi, l'arrêt complet
se fait toujours en moins de 20 secondes (tous composants actifs
arrêtés). Donc je ne pense pas que Windows attende un quelconque
time-out.

Il y aurait peut-etre des valeures à changeables à
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermServicePerformance
si c'est le service en cause,


Ouh ! Je ne me lance pas là-dedans ! La moitié des valeurs sont
binaires, et je ne sais *absolument pas* l'influence des
paramètres...

car pour le service DcomLaunch , il n'y a pas
grand chose a configurer.

moi je crois que je vais essayer tous ca car il n"y a pas beaucoup d'autres
chose à faire pour tenter d'avancer.


En effet, à part installer Symbols et s'en servir pour déboguer
(et encore à condition que ça ne conduise pas à modifier un
fichier système, sans pouvoir prédire les conséquences...), il
n'y a pas grand-chose d'autre à faire. Moi je fais confiance à
UPHClean : depuis que je l'ai, mes ruches se sont toujours bien
comportées. Braves abeilles ! ;)

Amicalement,

--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbermail.com/?Qw7yVJONCF
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !

Avatar
Ypoons
Salut Pascal

Bonjour,

[...]
d'aprés
http://groups.google.fr/group/microsoft.public.windows.server.sbs/browse_thread/thread/d5ec111c4ba01ce9/c1929c36f5fcf365?lnk=st&q=Event+ID%3A+1401+UPHClean&rnum=2&hl=fr#c1929c36f5fcf365

ça veut dire : HKCUSoftwareClasses (0x24c)
[...]



J'ai pas tiqué à la première lecture, mais il semble que le gars
de MS se soit mis le doigt dans l'oeil quant à l'interprétation.
Si je lis les heures des événements, il y a eu un backup qui
s'est terminé avec des erreurs *suivi* par un arrêt du système
(probablement programmé) au cours duquel UPHClean a agi. Donc il
ne s'agit pas d'un profil qui s'est mal chargé, mais d'un profil
qui s'est correctement déchargé grâce à UPHClean (mais ça n'a pas
d'importance dans notre discussion à nous - sauf si le gars de MS
s'est aussi gouré ailleurs).

[...]
Service d'application d'assistance IPv6 6to4 En cours d'exécution
Automatique Processus de partage c:windowssystem32svchost.exe -k
netsvcs Normal LocalSystem 0



Vous faites quoi avec ce "truc" ? Indispensable ?

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/6ecf3d92-a57c-41b1-be9e-03a43331f2b7.mspx?mfr=true


J'ai déjà vu un ordi (pas le mien) avec ce service. Si mes
souvenirs sont exacts, MS avait proposé début 2004 un patch sur
WindowsUpdate pour permettre l'utilisation des IPv6 sur une
machine XPSP1. Ce patch installait ce service 6to4 (je crois). À
l'époque, je ne l'avais pas installé chez moi. Je ne sais pas
pourquoi, lors du SP2, ce patch n'a pas été intégré, et il n'est
plus proposé même comme composant optionnel. Mais une machine qui
avait installé ce patch quand il a été proposé doit toujours
détenir ce service... peut-être est-ce là l'explication ?

[...]
Services de cryptographie CryptSvc En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs
Normal LocalSystem 0



Peut être mis à Manuel.


Oui... et non. Ce service est essentiel à l'utilisation de
WindowsUpdate (à fortiori pour les mises à jour automatiques). Le
passer en manuel peut conduire à faire échouer les mises à jour
(le temps que ce service démarre, un time-out peut être enregistré).

[...]
Service de rapport d'erreurs ERSvc En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k netsvcs
Ignorer LocalSystem 0



A désactiver. Active le rapport d'erreurs pour les services et les
applications s'exécutant sur des environnements non standard.


Ou au moins à mettre en manuel, puis vérifier s'il est démarré un
jour. Agir ensuite en fonction.

[...]
Aide et support helpsvc En cours d'exécution Automatique Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0



Mettre en manuel. Démarrera à la demande.


Même remarque que pour CryptSvc : la mise en manuel a provoqué
chez moi (une fois jusqu'à présent) une impossibilité de démarrer
"Aide et Support" du premier coup. Une deuxième tentative a
réussi. Du coup, je l'ai remis en automatique.

[...]
Écouteur RIP Iprip En cours d'exécution Automatique Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0



Vous en avez besoin ? A désactiver selon le cas.


Google rapporte des choses contradictoires :
- Microsoft a développé un outil de ce nom pour Win98
http://support.microsoft.com/kb/194464/en-us
- Symantec et CastleCops le décrivent tous les deux comme un trojan
http://www.symantec.com/avcenter/venc/data/backdoor.ripgof.html
http://castlecops.com/o23list-1545.html

[...]
Assistance TCP/IP NetBIOS LmHosts En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k
localservice Normal NT AUTHORITYLocalService 0



Peut être désactivé.


Sauf si dans le réseau local il y a une machine Win9x, et que
l'on veut utiliser le partage de fichiers et d'imprimantes entre
les deux machines. Win9x a besoin de NetBIOS pour le réseau.
D'ailleurs le paramétrage standard des propriétés TCP/IP dans la
"connexion réseau local" de XP est :
- obtenir une adresse IP automatiquement
- "Avancé" -> onglet WINS -> "Paramètres NetBIOS" = "Par défaut"
"Utiliser le paramètre NetBIOS à partir du serveur DHCP. Si
l'adresse IP statique est utilisée ou que le serveur DHCP ne
fournit pas de paramètre NetBIOS, activer NetBIOS sur TCP/IP".

Service de découvertes SSDP SSDPSRV En cours d'exécution Manuel
Processus de partage c:windowssystem32svchost.exe -k
localservice Normal NT AUTHORITYLocalService 0



Peut être désactivé.


Même si l'on branche régulièrement un appareil photo numérique,
ou si l'on utilise la liaison entre téléphone portable et
ordinateur pour le transfert des photos ?
Chez Paul, le service est en manuel, et il est démarré... (comme
chez moi, et pourtant je ne connecte jamais de périphérique photo).

[...]
Voyez-vous une autre methode ? SVP



Ici... Ypoons a développé la réponse pour moi (Merci Christian)


Padkoi ! ;)

Amicalement,

--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbermail.com/?Qw7yVJONCF
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !


Avatar
Sabrem JORAM
Ave Caesar !


[...]

d'aprés
http://groups.google.fr/group/microsoft.public.windows.server.sbs/browse_thread/thread/d5ec111c4ba01ce9/c1929c36f5fcf365?lnk=st&q=Event+ID%3A+1401+UPHClean&rnum=2&hl=fr#c1929c36f5fcf365

ça veut dire : HKCUSoftwareClasses (0x24c)
[...]



J'ai pas tiqué à la première lecture, mais il semble que le gars de
MS se soit mis le doigt dans l'oeil quant à l'interprétation.
Si je lis les heures des événements, il y a eu un backup qui s'est
terminé avec des erreurs *suivi* par un arrêt du système
(probablement programmé) au cours duquel UPHClean a agi. Donc il ne
s'agit pas d'un profil qui s'est mal chargé, mais d'un profil qui
s'est correctement déchargé grâce à UPHClean (mais ça n'a pas
d'importance dans notre discussion à nous - sauf si le gars de MS
s'est aussi gouré ailleurs).


Si tu le dis :-)

[...]
Service d'application d'assistance IPv6 6to4 En cours d'exécution
Automatique Processus de partage c:windowssystem32svchost.exe
-k netsvcs Normal LocalSystem 0



Vous faites quoi avec ce "truc" ? Indispensable ?

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/6ecf3d92-a57c-41b1-be9e-03a43331f2b7.mspx?mfr=true


J'ai déjà vu un ordi (pas le mien) avec ce service. Si mes souvenirs
sont exacts, MS avait proposé début 2004 un patch sur WindowsUpdate
pour permettre l'utilisation des IPv6 sur une machine XPSP1. Ce patch
installait ce service 6to4 (je crois). À l'époque, je ne l'avais pas
installé chez moi. Je ne sais pas pourquoi, lors du SP2, ce patch n'a
pas été intégré, et il n'est plus proposé même comme composant
optionnel. Mais une machine qui avait installé ce patch quand il a
été proposé doit toujours détenir ce service... peut-être est-ce là
l'explication ?


IPV6 est disponible sur XP SP2 (Home et Pro pour ce que j'ai vérifié)
dans les Propriétés de la connexion : onglet Général, se positionner
sur l'un des éléments de connexion, Installer, Protocole... Je me
souviens l'avoir installé et il me semble que ça m'avait mis le bronx
(avec un IPCONFIG /ALL aux adresses du format qui est propre à IPV6)

[...]
Services de cryptographie CryptSvc En cours d'exécution
Automatique Processus de partage
c:windowssystem32svchost.exe -k netsvcs Normal LocalSystem 0


Peut être mis à Manuel.


Oui... et non. Ce service est essentiel à l'utilisation de
WindowsUpdate (à fortiori pour les mises à jour automatiques). Le
passer en manuel peut conduire à faire échouer les mises à jour (le
temps que ce service démarre, un time-out peut être enregistré).


Oui... par défaut, il est en automatique.

Jamais vu de timeout chez moi ni d'échec de WU (sauf Defender mais
c'est autre chose) ; je prends note car je ne l'avais encore jamais lu.
Mais je ne vois pas de dépendances dans l'onglet ad hoc avec l'un des
services mettant en oeuvre la procédure de MAJ WU...

[...]
Service de rapport d'erreurs ERSvc En cours d'exécution
Automatique Processus de partage
c:windowssystem32svchost.exe -k netsvcs Ignorer LocalSystem 0



A désactiver. Active le rapport d'erreurs pour les services et les
applications s'exécutant sur des environnements non standard.


Ou au moins à mettre en manuel, puis vérifier s'il est démarré un
jour. Agir ensuite en fonction.


... et ? Ça sert à quoi ce "machin" ? Qui est sur un environnement non
standard et qu'est-ce ?

[...]
Aide et support helpsvc En cours d'exécution Automatique Processus
de partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0


Mettre en manuel. Démarrera à la demande.


Même remarque que pour CryptSvc : la mise en manuel a provoqué chez
moi (une fois jusqu'à présent) une impossibilité de démarrer "Aide et
Support" du premier coup. Une deuxième tentative a réussi. Du coup,
je l'ai remis en automatique.


Pareil. Rien vu de tel sur mes XP HOME ; je regarderai sur un XP PRO
qui est, si je me souviens bien, ton OS...

[...]
Écouteur RIP Iprip En cours d'exécution Automatique Processus de
partage c:windowssystem32svchost.exe -k netsvcs Normal
LocalSystem 0


Vous en avez besoin ? A désactiver selon le cas.


Google rapporte des choses contradictoires :
- Microsoft a développé un outil de ce nom pour Win98
http://support.microsoft.com/kb/194464/en-us
- Symantec et CastleCops le décrivent tous les deux comme un trojan
http://www.symantec.com/avcenter/venc/data/backdoor.ripgof.html
http://castlecops.com/o23list-1545.html


Yep... mais alors il s'agit d'un maliciel qui emprunte le nom du
process... car écouteur RIP est bien un process légitime de Windows...

[...]
Assistance TCP/IP NetBIOS LmHosts En cours d'exécution Automatique
Processus de partage c:windowssystem32svchost.exe -k
localservice Normal NT AUTHORITYLocalService 0



Peut être désactivé.


Sauf si dans le réseau local il y a une machine Win9x, et que l'on
veut utiliser le partage de fichiers et d'imprimantes entre les deux
machines. Win9x a besoin de NetBIOS pour le réseau.
D'ailleurs le paramétrage standard des propriétés TCP/IP dans la
"connexion réseau local" de XP est :
- obtenir une adresse IP automatiquement
- "Avancé" -> onglet WINS -> "Paramètres NetBIOS" = "Par défaut"
"Utiliser le paramètre NetBIOS à partir du serveur DHCP. Si
l'adresse IP statique est utilisée ou que le serveur DHCP ne fournit
pas de paramètre NetBIOS, activer NetBIOS sur TCP/IP".


Oui... pas pensé à ce cas là : OK.

Service de découvertes SSDP SSDPSRV En cours d'exécution Manuel
Processus de partage c:windowssystem32svchost.exe -k
localservice Normal NT AUTHORITYLocalService 0



Peut être désactivé.


Même si l'on branche régulièrement un appareil photo numérique, ou si
l'on utilise la liaison entre téléphone portable et ordinateur pour
le transfert des photos ?
Chez Paul, le service est en manuel, et il est démarré... (comme chez
moi, et pourtant je ne connecte jamais de périphérique photo).


https://www.isiq.ca/fr/Veille/VoirVenir/list/2006/voirVenir_0123.html?annee 06

Ou alors filtrer les ports TCP 5000 (utilisé également par VNC et UPNP)
et UDP 1900 (SSDP)

http://msmvps.com/blogs/docxp/archive/2004/05/19/6781.aspx

http://www.wilderssecurity.com/archive/index.php/t-8366.html

Effectivement, le service Hôte de périphérique universel Plug-and-Play
est dépendant de ce service, donc plus de UPNP. Mais ceci concerne la
reconnaissance du périphériques sur un réseau : si l'on branche un
périphérique USB sur un poste alors que SSDP est désactivé, il est
quand même reconnu et pris en compte... non ?

http://groups.google.com/groups?as_umsgid=1xjf2lof17x8d%24.125ef4as97yqh%24.dlg%4040tude.net

[...]

Amicalement,

Pascal (Décurion de deuxième classe :-) )

--
... S.J. alias Pascal MONNOURY [MVP Windows-Shell/ User 2006]

Si F1 t'a pas aidé, si Gougueule t'a méprisé, tu peux sur ces forums ta
question alors poser :-)



Avatar
Ypoons
Re Pascal

Ave Caesar !


Si tu veux. Mais ne te petit-suisside pas encore... (© Pierre
Desproges)

[...]
IPV6 est disponible sur XP SP2 (Home et Pro pour ce que j'ai vérifié)
dans les Propriétés de la connexion : onglet Général, se positionner sur
l'un des éléments de connexion, Installer, Protocole... Je me souviens
l'avoir installé et il me semble que ça m'avait mis le bronx (avec un
IPCONFIG /ALL aux adresses du format qui est propre à IPV6)


D'ac, merci de ce rappel ! Je l'avais complètement oublié,
celui-là, tapi derrière tous ces méandres... et l'utilisation du
protocole IPv6 tarde tant à "décoller"...

[...]
Services de cryptographie


Peut être mis à Manuel.




Oui... et non. Ce service est essentiel à l'utilisation de
WindowsUpdate (à fortiori pour les mises à jour automatiques). Le
passer en manuel peut conduire à faire échouer les mises à jour (le
temps que ce service démarre, un time-out peut être enregistré).



Oui... par défaut, il est en automatique.

Jamais vu de timeout chez moi ni d'échec de WU (sauf Defender mais c'est
autre chose) ; je prends note car je ne l'avais encore jamais lu. Mais
je ne vois pas de dépendances dans l'onglet ad hoc avec l'un des
services mettant en oeuvre la procédure de MAJ WU...


C'est pas au niveau des dépendances que j'ai eu un problème. Je
me suis fait jeter une fois sur le site de WU parce que mes
services n'étaient pas bien configurés :
- "Mises à jour automatiques" était Démarré Manuel
- "Service de transfert intelligent en arrière-plan" était
Démarré Manuel
- "Services de cryptographie" était Démarré Manuel
Il a fallu absolument que je mette "Mises à jour automatiques" et
"cryptographie" (bien que déjà démarrés) en automatique pour que
WU daigne enfin me laisser accéder à sa deuxième page (c'est fou,
ça ! On ne peut plus faire ce qu'on veut chez soi...) ;)

[...]

Service de rapport d'erreurs


A désactiver. Active le rapport d'erreurs pour les services et les
applications s'exécutant sur des environnements non standard.




Ou au moins à mettre en manuel, puis vérifier s'il est démarré un
jour. Agir ensuite en fonction.



... et ? Ça sert à quoi ce "machin" ? Qui est sur un environnement non
standard et qu'est-ce ?


Ben en fait le premier qui est capable de m'expliquer en termes
simples à quoi sert ce machin aura droit à ma reconnaissance
éternelle pendant cinq minutes. Qu'est-ce que c'est (dans
l'esprit des Billou's Boyz) un "environnement non standard" ?
Ils croient que eux ils raisonnent de façon standard ? ;)

Blague à part, je vous présente mes excuses pour avoir inséré
cette phrase à cet emplacement précis. Elle a plutôt un caractère
de généralité : si on ne sait pas si un service est utile à son
utilisation personnelle de l'ordi, et si ce service n'est pas
déjà connu comme risque, le placer en "Manuel". S'il démarre
systématiquement à chaque session, le placer en "Automatique".
S'il ne démarre pas, c'est qu'on n'en a pas besoin, on peut le
désactiver... à condition qu'au prochain problème de
fonctionnement, on se souvienne qu'on a modifié les services, et
que le problème vient peut-être de là...
Moi, j'ai jamais eu qu'un seul neurone, alors j'ai des services
en Manuel... pour rien. Mais c'est pas grave, ils ne démarrent pas.

[...]

Aide et support


Mettre en manuel. Démarrera à la demande.




Même remarque que pour CryptSvc : la mise en manuel a provoqué chez
moi (une fois jusqu'à présent) une impossibilité de démarrer "Aide et
Support" du premier coup. Une deuxième tentative a réussi. Du coup, je
l'ai remis en automatique.



Pareil. Rien vu de tel sur mes XP HOME ; je regarderai sur un XP PRO qui
est, si je me souviens bien, ton OS...


Voui, c'est mon nonOS. Mais ça veut pas dire que c'est spécifique
à ce nonOS. J'ai juste dit que chez moi, une fois, ça n'avait pas
marché, et que la cause était là.

[...]

Écouteur RIP
[...]



Google rapporte des choses contradictoires :
[...]


Yep... mais alors il s'agit d'un maliciel qui emprunte le nom du
process... car écouteur RIP est bien un process légitime de Windows...


Toutafé. Le problème est quand on le prend dans l'autre sens :
par exemple "chez moi, IpRip est actif, est-ce le bon ou le
mauvais ?"
Il faut creuser un peu plus pour pouvoir séparer le bon grain de
l'ivraie...

[...]
Service de découvertes SSDP
[...]



Peut être désactivé.




Même si l'on branche régulièrement un appareil photo numérique, ou si
l'on utilise la liaison entre téléphone portable et ordinateur pour le
transfert des photos ?
Chez Paul, le service est en manuel, et il est démarré... (comme chez
moi, et pourtant je ne connecte jamais de périphérique photo).



C'était une question. Je ne connais pas la réponse. Il n'y a pas
de malwares sur ma machine, et le service est Démarré Manuel...
mais je ne sais pas *qui* l'a lancé (et ce n'est pas UPnP, car il
n'est pas démarré).

https://www.isiq.ca/fr/Veille/VoirVenir/list/2006/voirVenir_0123.html?annee 06


Oui. Il n'y a pas (encore) de patch

Ou alors filtrer les ports TCP 5000 (utilisé également par VNC et UPNP)
et UDP 1900 (SSDP)

http://msmvps.com/blogs/docxp/archive/2004/05/19/6781.aspx


Ça date d'il y a deux ans

http://www.wilderssecurity.com/archive/index.php/t-8366.html


Ça date d'il y a trois ans

Effectivement, le service Hôte de périphérique universel Plug-and-Play
est dépendant de ce service, donc plus de UPNP. Mais ceci concerne la
reconnaissance du périphériques sur un réseau : si l'on branche un
périphérique USB sur un poste alors que SSDP est désactivé, il est quand
même reconnu et pris en compte... non ?


Probablement. Mais beaucoup de gens se servent d'une connexion
réseau quelconque pour leurs appareils photos ou d'autres
périphériques (IrDa, BlueTooth, ...), et c'est à cela que je
pensais (et c'est pourquoi je posais la question).

http://groups.google.com/groups?as_umsgid=1xjf2lof17x8d%24.125ef4as97yqh%24.dlg%4040tude.net


Climenole lui-même spécifie que ce jeu de règles ne s'applique
que pour un PC qui n'est pas en réseau. À l'heure actuelle, les
multiples Box en activité chez les particuliers utilisent au
moins *une* fonction réseau.

Amicalement,

Pascal (Décurion de deuxième classe :-) )


Vous avez bien mérité de la Patrie ! ;)

Amicalement,

--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbermail.com/?Qw7yVJONCF
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !




Avatar
Paul Martin
3 mai 10h, aprés avoir demarer mon PC, l'évenement 1401 UPHClean s'est
produit quand j'ai fermeé le PC la veille au soir et aprés que j'ai mis à 1
la clé
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUPHCleanParameters/CALLSTACK_LOG


Type de l'événement : Informations
Source de l'événement :
Catégorie de l'événement : Aucun
ID de l'événement : 1401
Date : 03/05/2006
Heure : 01:04:36
Utilisateur : HP-PAVILLON-T82HP_Propriétaire
Ordinateur : HP-PAVILLON-T82
Description :
The following handles in user profile hive HP-PAVILLON-T82HP_Propriétaire
(S-1-5-21-1993279678-2970623561-4094221005-1007) have been remapped because
they were preventing the profile from unloading successfully:
svchost.exe (884)
HKCU (0x248)
call stack data collection not enabled for this process




j'avais capturer le 2 mai, les PID des procesus en cour des svchost.exe, et
le 884 était celui des services :
Lanceur de processus serveur DCOM
Services Terminal Server


Donc maintenant c'est sure, c'est bien 1 de ces services qui est coupables.



Je reflechie encore a un moyen d'avancer....
1 2 3 4 5