Fichier qui change de date toutes les 5 secondes

Serge Nazarian a écrit :

Bonjour,

Je viens de constater la présence du fichier
D:Documents and SettingsSergeLocal SettingsTemp689211B7.TMP
Je peux le détruire, mais il réapparait immédiatement.
De plus, il change de date toutes les 5 secondes environ.
Il s'agit probablement d'un virus, mais...
il n'est pas détecté par avg antivirus, ni par spybot ni par adaware.
Que faire ? Qui connaît ce problème ?

Merci pour toute aide.
Cordialement,

- Télécharge "Process Monitor" ( SysInternals / Microsoft - Gratos ) là:
http://www.microsoft.com/technet/sysinternals/processesandthreads/processmonitor.mspx

- dézip-le
- lance-le
- règle le filtre pour ne voir que ce qui concerne "689211B7.TMP" ( il
faut mettre : "path" - "contain" - "689211B7.TMP" - "include" )

- valide
- supprime le fichier
- attend qq instant ..et tu va voir apparaitre le nom du process qui à
recréé ce fichier

Pour la suite ..ça dépend de ce que tu va voir


N'hésite pas à lire la page d'explication, et tu peut jouer avec ce soft
sans crainte, il ne modifie rien dans Windows, il ne fait qu'afficher
des infos.

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.

Serge Nazarian a couché sur son écran :

Il s'agit probablement d'un virus ou autre saleté, mais...
il n'est pas détecté par avg antivirus, ni par spybot ni par adaware.
Que faire ? Qui connaît ce problème ?

Si vous êtes persuadé que c'est un virus (personnellement j'en doute)
envoyez le fichier pour une analyse en ligne gratuite par exemple ici:
http://www.kaspersky.com/scanforvirus

--
In gold we trust (c)

*Bonjour Serge Nazarian* !
<news:478a0f5c$0$22254$426a74cc@news.free.fr>

Bonjour,

Je viens de constater la présence du fichier
D:Documents and SettingsSergeLocal SettingsTemp689211B7.TMP
Je peux le détruire, mais il réapparait immédiatement.
De plus, il change de date toutes les 5 secondes environ.
Il s'agit probablement d'un virus, mais...
il n'est pas détecté par avg antivirus, ni par spybot ni par adaware.
Que faire ? Qui connaît ce problème ?

Merci pour toute aide.
Cordialement,

Plus simple que Process Monitor :
WhoLockMe
www.gratilog.net/xoops/modules/mydownloads/singlefile.php?cid6&lid00

--
Salutations, Jean-François
Index du site de PN : www.d2i.ch/pn/az
Outlook Express : Suivez vos fils avec [CTL+H]
Montrez-nous ce que vous voyez : http://fspsa.free.fr/copiecran.htm

Serge Nazarian wrote:

Bonjour,

Je viens de constater la présence du fichier
D:Documents and SettingsSergeLocal SettingsTemp689211B7.TMP
Que faire ? Qui connaît ce problème ?

un moteur de recherche avec juste le nom de ton fichier t'aurait montré que
ton cas n'est pas unique, même si l'explication du pourquoi du comment n'est
pas donnée dans les pages que j'ai pu lire -je ne les pas toutes lues. Je
pense que les gens qui s'en inquiètent utilise le même composant logiciel
que toi.

Tu peux afficher le fichier, pour 138 caractères une bête commande type
devrait faire et peut-être te fournir une indication. Une autre piste est de
regarder qui tient le fichier ouvert (Oh du ressource kit de M$ par exemple
voir ici http://windowsxp.mvps.org/processlock.htm), ce qui ne me semble
pas évident car, si tu peux supprimer le fichier, un process ne le tient que
le temps de l'écriture et il faudrait que tu tombes juste au bon moment.

Merci pour toute aide.

de rien

pxg

JF a écrit :

*Bonjour Serge Nazarian* !
<news:478a0f5c$0$22254$426a74cc@news.free.fr>

Bonjour,

Je viens de constater la présence du fichier
D:Documents and SettingsSergeLocal SettingsTemp689211B7.TMP
Je peux le détruire, mais il réapparait immédiatement.
De plus, il change de date toutes les 5 secondes environ.
Il s'agit probablement d'un virus, mais...
il n'est pas détecté par avg antivirus, ni par spybot ni par adaware.
Que faire ? Qui connaît ce problème ?

Merci pour toute aide.
Cordialement,

Plus simple que Process Monitor :
WhoLockMe
www.gratilog.net/xoops/modules/mydownloads/singlefile.php?cid6&lid00

Dans ce genre-là, je préfère UnLocker:
http://ccollomb.free.fr/unlocker

Aussi simple et bien plus costaud

Mais dans le cas présent, ces 2 softs ne sont pas adaptés, Serge précise
qu'il peut supprimer le fichier, donc c'est que l'applis responsable ne
garde pas un handle permanent sur le fichier et WhoLockMe tout comme
UnLocker ne trouvera rien.

Il faut utiliser un soft qui permettent "d'intercepter" les opérations
de création / écrirer ture sur fichier.

Il en existe d'autres, mais "Process Monitor" est mon préféré, il est
ultra-léger, très performants, simple et clair, et coté stabilité c'est
du béton.

Pour info au cas-ou, "Process Monitor"est le successeur de "FILEMON" et
"REGMON" du même auteur.

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.

houba a écrit :

Bonjour ° Bonsoir, le Sun, 13 Jan 2008 20:41:12 +0100, Ascadix
<ascadix.ng@free.fr> a wroté:

Pour info au cas-ou, "Process Monitor"est le successeur de "FILEMON" et
"REGMON" du même auteur.

Non.
Process Monitor n'est qu'une version design by MS sur la base de
Process Explorer (Sysinternals que MS a racheté).
Process Explorer existe toujours et en est à sa version 11.04 de nov07
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx

Si si !

Process Monitor est le successeur de FILEMON et REGMON, il n'a pas la
même finalité que Process Explorer


Je te suggère de bien relire ..

http://www.microsoft.com/technet/sysinternals/processesandthreads/processmonitor.mspx

Dés le début de la page ..

<citation>

Process Monitor Enhancements over Filemon and Regmon

Process Monitor's user interface and options are similar to those of
FILEMON and REGMON, but it was written from the ground up and includes
numerous significant enhancements, such as:

</citation>

Les 2 affichent des infos sur les process, mais Process Explorer se
concentre sur l'état temsp réel, les process chargés, leurs modules et
handles et "parenté", occupation mémoire, charge CPU, etc ....

Process Monitor fourni un LOG de l'activité des process
- opération sur fichiers (R/W)
- opérations BdR (R/W)
- opérations de process lancement / fin / chargement de DLL .

Par contre, il ne fourni par ex pas d'infos sur la charge CPU ni la
charge mémoire ..

Quand à Process Monitor, c'est bien du "By Mark Russinovich and Bryce
Cogswell" même si ceux-ci ont intégré MS.

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.

Dans le message :478a51e5$0$881$ba4acef3@news.orange.fr,
pxg <pxg.nospam@nospam.invalid> a écrit :

Serge Nazarian wrote:

Bonjour,

Je viens de constater la présence du fichier
D:Documents and SettingsSergeLocal SettingsTemp689211B7.TMP
Que faire ? Qui connaît ce problème ?

un moteur de recherche avec juste le nom de ton fichier t'aurait
montré que ton cas n'est pas unique, même si l'explication du
pourquoi du comment n'est pas donnée dans les pages que j'ai pu lire
-je ne les pas toutes lues. Je pense que les gens qui s'en inquiètent
utilise le même composant logiciel que toi.

J'ai évidemment fait cette recherche et n'ai rien trouvé, d'où mon message
dans ce groupe !

Tu peux afficher le fichier, pour 138 caractères une bête commande
type devrait faire et peut-être te fournir une indication.

Comme je l'ai déjà écrit, ce n'est pas du texte et je ne sais pas
"désassembler" le contenu du fichier, qui lui ne change pas, contrairement à
la date. Je pourrais évidemment donner le contenu hexadécimal du fichier si
quelqu'un sait quoi en faire.

Une autre
piste est de regarder qui tient le fichier ouvert (Oh du ressource
kit de M$ par exemple voir ici http://windowsxp.mvps.org/processlock.htm),
ce qui ne me semble pas
évident car, si tu peux supprimer le fichier, un process ne le tient
que le temps de l'écriture et il faudrait que tu tombes juste au bon
moment.

Aucune des pistes données dans les réponses n'a abouti. Le fichier n'est en
effet attaché à aucun processus répertorié.
Une piste pour les spécialistes : quand le nom du fichier est "filtré" par
ProcessMonitor, le changement de date se fige. Ce n'est pas le cas quand je
regarde ce qui se passe avec ProcessExplorer.

--
Serge Nazarian

Cliquez ci dessous pour une réponse personnelle :
http://cerbermail.com/?CBBJUUv0pN

On Mon, 14 Jan 2008 08:02:05 +0100, houba <@lacave.net> wrote:

Process Monitor Enhancements over Filemon and Regmon

Ouaip, quand on sait que PE existe depuis de longue date, tout comme
RegMon et FileMon, chez Sysinternals. Le pas est vite franchi pour une
contre facon autorisée/légale...

contrefaçon impossible, MS a racheté Sysinternals

sinon, je confirme l'emploi de Process Monitor, bien pratique pour trouver
qui fait quoi
ex : ce vieux logiciel est-il utilisable sous Vista, où cherche-t'il ses
fichiers ?

--
* enlevez '.don't.spam' et '.invalid' de mon adresse eMail si vous voulez
m'écrire *
* Donne un poisson à un homme, il aura à manger pour un jour
* Apprends-lui à pêcher, il aura à manger pour tous les jours de sa vie*

*Bonjour Patrick D.* !
<news:op.t4xmoyj2jnrpl1@news.free.fr>

On Mon, 14 Jan 2008 08:02:05 +0100, houba <@lacave.net> wrote:

Process Monitor Enhancements over Filemon and Regmon

Ouaip, quand on sait que PE existe depuis de longue date, tout comme
RegMon et FileMon, chez Sysinternals. Le pas est vite franchi pour une
contre facon autorisée/légale...

contrefaçon impossible, MS a racheté Sysinternals

sinon, je confirme l'emploi de Process Monitor, bien pratique pour trouver
qui fait quoi
ex : ce vieux logiciel est-il utilisable sous Vista, où cherche-t'il ses
fichiers ?

Extrait de l'aide :
Process Monitor runs on Windows 2000 SP4 with Update Rollup 1, Windows
XP SP2, Windows Server 2003 SP1, and Windows Vista as well as x64
versions of Windows XP, Windows Server 2003 and Windows Vista.

Les outils de Mark Russinovich ne demandent pas d'installation.

Ceux qui préfèrent trouveront des pages en français :
www.microsoft.com/france/technet/sysinternals/default.mspx
www.microsoft.com/france/technet/sysinternals/ProcessesAndThreads/processmonitor.mspx
Les numéros de version ne sont souvent pas à jour, mais le lien de
téléchargement est le même que sur les pages US.

Une astuce pour détecter quand le fichier est modifié : lui donner
l'Attribut "Lecture seule", une erreur sera générée lorsqu'un programme
tentera de le modifier.

--
Salutations, Jean-François
Index du site de PN : www.d2i.ch/pn/az
Outlook Express : Suivez vos fils avec [CTL+H]
Montrez-nous ce que vous voyez : http://fspsa.free.fr/copiecran.htm

houba a écrit :

Bonjour ° Bonsoir, le Mon, 14 Jan 2008 00:29:10 +0100, Ascadix
<ascadix.ng@free.fr> a wroté:

houba a écrit :

Bonjour ° Bonsoir, le Sun, 13 Jan 2008 20:41:12 +0100, Ascadix
<ascadix.ng@free.fr> a wroté:

Pour info au cas-ou, "Process Monitor"est le successeur de "FILEMON" et
"REGMON" du même auteur.

Non.
Process Monitor n'est qu'une version design by MS sur la base de
Process Explorer (Sysinternals que MS a racheté).
Process Explorer existe toujours et en est à sa version 11.04 de nov07
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx

Si si !

Process Monitor est le successeur de FILEMON et REGMON, il n'a pas la
même finalité que Process Explorer
Je te suggère de bien relire ..

http://www.microsoft.com/technet/sysinternals/processesandthreads/processmonitor.mspx
Dés le début de la page ..
<citation>

Process Monitor Enhancements over Filemon and Regmon

Ouaip, quand on sait que PE existe depuis de longue date, tout comme
RegMon et FileMon, chez Sysinternals. Le pas est vite franchi pour une
contre facon autorisée/légale...

Quelle contrefaçon ???
Faudrait arrêter d'être étroit d'esproit dés que MS est dans une histoire.
Ici, il ya :
- SysInternals à toujours fait évolué ses produits
- MS à racheté SysInternals et embauché Mark R. et Cie
- MS à intégré les produits SysInternasl à ses pages technet
- Les produits évoluent toujours ... à leur nouvel emplacement.

Qu'est-ce que cette histoire de "contre-façon" viens foutre là ??? tu
crois que ça viens de chine ?

Process Monitor's user interface and options are similar to those of
FILEMON and REGMON, but it was written from the ground up and includes
numerous significant enhancements, such as:

</citation>

Les 2 affichent des infos sur les process, mais Process Explorer se
concentre sur l'état temsp réel, les process chargés, leurs modules et
handles et "parenté", occupation mémoire, charge CPU, etc ....

Process Monitor fourni un LOG de l'activité des process
- opération sur fichiers (R/W)
- opérations BdR (R/W)
- opérations de process lancement / fin / chargement de DLL .

Ou comment faire du neuf et du nouveau avec du vieux.
Une activité quelconque dans PE se traduit immédiatement par un
changement de couleur (rouge), point.

P'tet .. mais:
- t'as pas de log ( pas glop quand il faut décortiquer qq
dizaines/centaines de modifs/secondes
- t'as pas de détails sur l'opération effectués ( écriture, etc ... )

--
VaN.

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.