[Réseau local ; services ; erreurs] Bon mais c'est quoi encore ce truc ? Allez, quoi, quelqu'un ...
52 réponses
Gloops
Bonjour tout le monde,
Tout-à-l'heure, lorsque j'ai baissé le couvercle de mon portable ça l'a
mis en veille, et lorsque je l'ai relevé, le portable s'est réveillé,
mais m'a signalé un câble réseau débranché. Or, il ne s'agissait pas du
modem ADSL, qui manifestement fonctionne bien.
Il y a une carte pour communication sans fil, mais ça fait des mois
qu'elle n'est pas branchée. Sur le moment j'ai supposé que c'était ça,
elle suscite parfois ce genre de message au démarrage de session.
J'ignore si ça a quelque chose à voir, mais j'ai ensuite essayé de faire
une mise à jour d'antivirus à l'aide de SuperExec de JCB et d'un
navigateur maison, or SuperExec m'a jeté avec "Erreur d'exécution :
Erreur code 193". J'ai vérifié que l'application appelée fonctionne bien.
Au sujet de cette erreur 193 j'ai failli appeler JCB à la rescousse, et
puis je me suis aperçu que derrière il y avait une fenêtre indiquant que
Maplenet était en cours de démarrage, et que ça pouvait prendre quelques
minutes. Seulement, si "quelques" dépasse la trentaine, je trouve quand
même qu'il y a un malaise. Au demeurant, Maplenet, ça ne me cause pas
plus que ça. J'ai vu que c'est une entreprise qui vend du matériel de
réseau, et qui publie des composants, mais lequel là-dedans est concerné ?
Mes favoris réseau existent toujours, mais il n'y a rien dedans.
Le chkdsk a bien pris une cinquantaine de minutes, mais il ne m'a pas
semblé qu'il m'ait signalé quelque chose. La phase qui a pris le plus de
temps était la 4, vérification du fichier, dans lequel si je ne m'abuse
la 3 venait d'écrire les données des descripteurs de sécurité.
Profitons un peu du paysage dans l'observateur d'événements, catégorie
système (ordre chronologique, après le redémarrage) :
Type de l'événement : Erreur
Source de l'événement : DCOM
ID de l'événement : 10010
Le serveur {4F9B9553-DCE9-4899-BB45-4D62B0CDF2E3} ne s'est pas
enregistré sur DCOM avant la fin du temps imparti.
__________________
Type de l'événement : Erreur
Source de l'événement : DCOM
ID de l'événement : 10010
Le serveur {CD89D352-5A13-49F8-9EB5-7E6D1FB0CD57} ne s'est pas
enregistré sur DCOM avant la fin du temps imparti.
__________________
Type de l'événement : Erreur
Source de l'événement : DCOM
ID de l'événement : 10010
Le serveur {CD89D352-5A13-49F8-9EB5-7E6D1FB0CD57} ne s'est pas
enregistré sur DCOM avant la fin du temps imparti.
__________________
Type de l'événement : Erreur
Source de l'événement : Service Control Manager
ID de l'événement : 7001
Le service DDE réseau dépend du service DSDM DDE réseau qui n'a pas pu
démarrer en raison de l'erreur :
Le service ne peut pas être démarré parce qu'il est désactivé ou
qu'aucun périphérique activé ne lui est associé.
*
Il y a des soucis avec certains services, il me semble ?
Mais ça fait quand même une centaine de lignes, de pas loin de deux
cents caractères chacune, alors j'ai rangé ça là :
http://www.zailes.org/Data/Services.csv
ou si on préfère quelque chose de lisible :
http://www.zailes.org/Data/services.html
(attention, les URL sont sensibles à la casse)
Je disais il y a une semaine que j'avais découvert un répertoire
bizarre, j'aimerais vérifier si ces noms de services disent quelque
chose à quelqu'un, ce qui, je dois l'avouer, m'épaterait :
AWHGAJUSHTO
MCLXBOGWRPJWK
Qu'est-ce que je dirais bien encore ?
Ah oui, que cette machine me donne quelques doutes, je l'ai déjà dit :
http://groups.google.fr/group/microsoft.public.fr.windowsxp/browse_thread/thread/65660644e21f5e3e/52338f00f3aef4fc?lnk=st&q=group%3Amicrosoft.public.fr.windowsxp+author%3AGloops&rnum=25&hl=fr#52338f00f3aef4fc
(même newsgroup, 9 août 20:39, "Trucs bizarres")
Je ne savais pas encore si le nom d'utilisateur vu dans la liste avait
un répertoire dans Documents and Settings, il s'est avéré que si (bien
planqué).
Depuis j'ai mis McAfee dans le coup, en espérant que ça les inspire plus.
Pour ce qui est de RootkitRevealer, le conflit avec CMD s'est réglé en
redémarrant, mais il n'empêche que six heures ne suffisent pas à
analyser 56 Go, et qu'après j'ai tendance à me dire que ça ne marchera
pas. ça tombe mal que SysInternals soit en cours de restructuration,
apparemment je ne suis pas le premier à rencontrer ce problème.
Il y a quand même une chose sympathique, c'est le gestionnaire de
périphériques : rien de rouge, ni de jaune ("pourvou qué ça dourle ...").
Cet après-midi, j'ai réinstallé l'antivirus McAfee (oui, j'avais fait
une restauration système et il y est allergique), et ensuite j'ai fait
une analyse : système nickel (qu'il dit).
Ben, ça en faisait, sur la patate, hein ?
Je commence par où, maintenant ?
C'est d'un calme totalement déprimant, mais ce que tu dois regarder, c'est les process name, et toute la partie de droite à partir de process path, des fois que tu voies une bizarrerie.
Je viens de les mettre un peu plus bas dans le fil ...
C'est d'un calme totalement déprimant, mais ce que tu dois regarder,
c'est les process name, et toute la partie de droite à partir de
process path, des fois que tu voies une bizarrerie.
Je viens de les mettre un peu plus bas dans le fil ...
C'est d'un calme totalement déprimant, mais ce que tu dois regarder, c'est les process name, et toute la partie de droite à partir de process path, des fois que tu voies une bizarrerie.
Je viens de les mettre un peu plus bas dans le fil ...
Gloops
Je viens de les mettre un peu plus bas dans le fil ... Bon c'était plus haut, pardon.
Je viens de les mettre un peu plus bas dans le fil ...
Bon c'était plus haut, pardon.
Process PID CPU Description Company Name System Idle Process 0 Interrupts n/a Hardware Interrupts DPCs n/a Deferred Procedure Calls System 4 smss.exe 500 Gestionnaire de session Windows NT Microsoft Corporation csrss.exe 568 winlogon.exe 596 Application d'ouverture de session Windows NT Microsoft Corporation services.exe 640 Applications Services et Contrôleur Microsoft Corporation ati2evxx.exe 832 ATI External Event Utility EXE Module ATI Technologies Inc. svchost.exe 848 Generic Host Process for Win32 Services Microsoft Corporation MpfAgent.exe 1756 FxSvr2.exe 3248 WindowsSearchIndexer.exe 1000 svchost.exe 912 svchost.exe 1032 Generic Host Process for Win32 Services Microsoft Corporation THotkey.exe 1456 Hotkey Utility TOSHIBA TPSMain.exe 3516 TOSHIBA Corporation IEXPLORE.EXE 3612 Internet Explorer Microsoft Corporation IEXPLORE.EXE 2292 Internet Explorer Microsoft Corporation procexp.exe 3124 Sysinternals Process Explorer Sysinternals acs.exe 1156 svchost.exe 1236 svchost.exe 1296 spoolsv.exe 1472 Spooler SubSystem App Microsoft Corporation CFSvcs.exe 1676 Service of ConfigFree. TOSHIBA CORPORATION GHOSTS~2.EXE 1716 Norton Ghost Start Symantec Corporation Mcdetect.exe 1748 McAfee WSC Integration Service McAfee, Inc McShield.exe 1772 On-Access Scanner service McAfee Inc. McTskshd.exe 1804 McAfee Task Scheduler McAfee, Inc MpfService.exe 1892 McAfee Personal Firewall Service McAfee Corporation svchost.exe 1928 Generic Host Process for Win32 Services Microsoft Corporation TAPPSRV.exe 1944 TOSHIBA TAPPSRV TOSHIBA Corp. tardisnt.exe 1960 wdfmgr.exe 128 fxssvc.exe 332 Service de télécopie Microsoft Corporation alg.exe 1872 iPodService.exe 3168 iPodService Module Apple Computer, Inc. lsass.exe 652 LSA Shell (Export Version) Microsoft Corporation ati2evxx.exe 2328 ATI External Event Utility EXE Module ATI Technologies Inc. explorer.exe 2412 1.56 SynTPLpr.exe 2912 SynTPEnh.exe 2492 1.56 ltmoh.exe 2844 TvsTray.exe 2852 NDSTray.exe 3740 SmoothView.exe 2860 PadExe.exe 3064 1.56 tfswctrl.exe 3348 CFSServ.exe 656 CFXFER.exe 2564 DecomptNet.exe 3264 ACU.exe 3284 iTunesHelper.exe 3236 GhostStartTrayApp.exe 776 mcagent.exe 3060 ctfmon.exe 1552 MpfTray.exe 3512 LVCOMSX.EXE 3784 LogiTray.exe 3556 mcvsshld.exe 1372 McVSEscn.exe 2540 oasclnt.exe 2584 wonderkeys.exe 260 WksDict.exe 468 thunderbird.exe 1208 ClocX.exe 2616 1.56 fdm.exe 2972 TWizard.exe 1376 Sonnaille.exe 2876 93.75 WindowsSearch.exe 2692 pddlghlp.exe 2428 WkCalRem.exe 696 soffice.exe 2152 soffice.bin 2512 ctfmon.exe 2232 CTF Loader Microsoft Corporation soffice.exe 3508 OpenOffice.org 2.0 OpenOffice.org soffice.bin 2000 OpenOffice.org 2.0 OpenOffice.org Ohé, je vais pas tous les googliser avec mes petites mains, hein
;->>>>>>>> -- Nina
Gloops
Ohé, je vais pas tous les googliser avec mes petites mains, hein ;->>>>>>>>
En fait si il y a un truc louche là-dedans il est bien planqué. Il y en a deux que je n'avais pas vus avant, c'est
tfswctrl.exe, qui fait partie du pack DLA, si je veux graver des CD sans problème j'ai intérêt à en choisir un autre, mais de là à penser que ça va mettre le réseau en panne sans que je m'en serve ...
et pddlghlp.exe, qui lui fait partie de Powerdesk Pro.
Quant à oasclient, ça fait partie de McAfee.
ATI c'est la carte graphique.
NDSTray est un utilitaire Toshiba de configuration réseau.
TVSTray, Toshiba Virtual Sound, aussi un utilitaire Toshiba, pour le son.
Thotkey gère la touche Fonction.
soffice c'est OpenOffice.org
Sonnaille c'est moi qui l'ai écrit.
Alors bien sûr le piège, c'est un nom de processus qui ressemble à quelque chose de connu. Enfin là il s'agit de s'arrêter en passant devant, pas forcément évident.
Les services seraient déjà arrêtés depuis quelques jours et je ne m'en serais pas rendu compte ? ça se peut, je ferme rarement le couvercle sans avoir mis en veille avant. Pour SuperExec c'est bizarre, il ne peut pas lancer mon navigateur de mise à jour, mais il lance sans problème un utilitaire Toshiba pour gérer l'alimentation.
Ohé, je vais pas tous les googliser avec mes petites mains, hein
;->>>>>>>>
En fait si il y a un truc louche là-dedans il est bien planqué.
Il y en a deux que je n'avais pas vus avant, c'est
tfswctrl.exe, qui fait partie du pack DLA, si je veux graver des CD sans
problème j'ai intérêt à en choisir un autre, mais de là à penser que ça
va mettre le réseau en panne sans que je m'en serve ...
et pddlghlp.exe, qui lui fait partie de Powerdesk Pro.
Quant à oasclient, ça fait partie de McAfee.
ATI c'est la carte graphique.
NDSTray est un utilitaire Toshiba de configuration réseau.
TVSTray, Toshiba Virtual Sound, aussi un utilitaire Toshiba, pour le son.
Thotkey gère la touche Fonction.
soffice c'est OpenOffice.org
Sonnaille c'est moi qui l'ai écrit.
Alors bien sûr le piège, c'est un nom de processus qui ressemble à
quelque chose de connu. Enfin là il s'agit de s'arrêter en passant
devant, pas forcément évident.
Les services seraient déjà arrêtés depuis quelques jours et je ne m'en
serais pas rendu compte ? ça se peut, je ferme rarement le couvercle
sans avoir mis en veille avant. Pour SuperExec c'est bizarre, il ne peut
pas lancer mon navigateur de mise à jour, mais il lance sans problème un
utilitaire Toshiba pour gérer l'alimentation.
Ohé, je vais pas tous les googliser avec mes petites mains, hein ;->>>>>>>>
En fait si il y a un truc louche là-dedans il est bien planqué. Il y en a deux que je n'avais pas vus avant, c'est
tfswctrl.exe, qui fait partie du pack DLA, si je veux graver des CD sans problème j'ai intérêt à en choisir un autre, mais de là à penser que ça va mettre le réseau en panne sans que je m'en serve ...
et pddlghlp.exe, qui lui fait partie de Powerdesk Pro.
Quant à oasclient, ça fait partie de McAfee.
ATI c'est la carte graphique.
NDSTray est un utilitaire Toshiba de configuration réseau.
TVSTray, Toshiba Virtual Sound, aussi un utilitaire Toshiba, pour le son.
Thotkey gère la touche Fonction.
soffice c'est OpenOffice.org
Sonnaille c'est moi qui l'ai écrit.
Alors bien sûr le piège, c'est un nom de processus qui ressemble à quelque chose de connu. Enfin là il s'agit de s'arrêter en passant devant, pas forcément évident.
Les services seraient déjà arrêtés depuis quelques jours et je ne m'en serais pas rendu compte ? ça se peut, je ferme rarement le couvercle sans avoir mis en veille avant. Pour SuperExec c'est bizarre, il ne peut pas lancer mon navigateur de mise à jour, mais il lance sans problème un utilitaire Toshiba pour gérer l'alimentation.
~Jean-Marc~ [MVP]
Salutations Gloops, tu nous disais :
Oh, ben ça ne sent pas bon : C:DOCUME~1adminLOCALS~1TempAWHGAJUSHTO.exe C:DOCUME~1adminLOCALS~1TempHAS.exe C:DOCUME~1adminLOCALS~1TempMCLXBOGWRPJWK.exe C:DOCUME~1adminLOCALS~1TempAWHGAJUSHTO.exe
Attention, Rootkit Revealer se lance lui-même sous un nom aléatoire pour que les Rootkit ne le détectent pas. Peut-être est-ce le cas pour ces exécutables.
Oh, ben ça ne sent pas bon :
C:DOCUME~1adminLOCALS~1TempAWHGAJUSHTO.exe
C:DOCUME~1adminLOCALS~1TempHAS.exe
C:DOCUME~1adminLOCALS~1TempMCLXBOGWRPJWK.exe
C:DOCUME~1adminLOCALS~1TempAWHGAJUSHTO.exe
Attention, Rootkit Revealer se lance lui-même sous un nom aléatoire pour que
les Rootkit ne le détectent pas. Peut-être est-ce le cas pour ces exécutables.
Oh, ben ça ne sent pas bon : C:DOCUME~1adminLOCALS~1TempAWHGAJUSHTO.exe C:DOCUME~1adminLOCALS~1TempHAS.exe C:DOCUME~1adminLOCALS~1TempMCLXBOGWRPJWK.exe C:DOCUME~1adminLOCALS~1TempAWHGAJUSHTO.exe
Attention, Rootkit Revealer se lance lui-même sous un nom aléatoire pour que les Rootkit ne le détectent pas. Peut-être est-ce le cas pour ces exécutables.
Attention, Rootkit Revealer se lance lui-même sous un nom aléatoire pour que les Rootkit ne le détectent pas. Peut-être est-ce le cas pour ces exécutables.
Ah oui tiens j'avais oublié ça. ça pourrait d'ailleurs expliquer qu'il soit difficile de le relancer sans redémarrer si on l'a interrompu ?
Là apparemment il n'y a pas que lui, puisqu'on trouve ces noms dans les services (ah, tiens, j'en ai cité un deux fois). Ou bien, il y serait resté depuis quelques jours ? Je ne vois pas ces fichiers dans la corbeille, donc je ne risque pas de vérifier la taille.
Je devrais peut-être réessayer RootkitRevealer maintenant que j'ai fait du ménage dans les fichiers. Pour ce qui est de supprimer les services obsolètes, ce n'est pas prévu dans les options de l'administration des services ?
Salut,
Attention, Rootkit Revealer se lance lui-même sous un nom aléatoire pour que
les Rootkit ne le détectent pas. Peut-être est-ce le cas pour ces exécutables.
Ah oui tiens j'avais oublié ça. ça pourrait d'ailleurs expliquer qu'il
soit difficile de le relancer sans redémarrer si on l'a interrompu ?
Là apparemment il n'y a pas que lui, puisqu'on trouve ces noms dans les
services (ah, tiens, j'en ai cité un deux fois). Ou bien, il y serait
resté depuis quelques jours ? Je ne vois pas ces fichiers dans la
corbeille, donc je ne risque pas de vérifier la taille.
Je devrais peut-être réessayer RootkitRevealer maintenant que j'ai fait
du ménage dans les fichiers. Pour ce qui est de supprimer les services
obsolètes, ce n'est pas prévu dans les options de l'administration des
services ?
Attention, Rootkit Revealer se lance lui-même sous un nom aléatoire pour que les Rootkit ne le détectent pas. Peut-être est-ce le cas pour ces exécutables.
Ah oui tiens j'avais oublié ça. ça pourrait d'ailleurs expliquer qu'il soit difficile de le relancer sans redémarrer si on l'a interrompu ?
Là apparemment il n'y a pas que lui, puisqu'on trouve ces noms dans les services (ah, tiens, j'en ai cité un deux fois). Ou bien, il y serait resté depuis quelques jours ? Je ne vois pas ces fichiers dans la corbeille, donc je ne risque pas de vérifier la taille.
Je devrais peut-être réessayer RootkitRevealer maintenant que j'ai fait du ménage dans les fichiers. Pour ce qui est de supprimer les services obsolètes, ce n'est pas prévu dans les options de l'administration des services ?
Nina Popravka
On Mon, 14 Aug 2006 13:18:22 +0200, "~Jean-Marc~ [MVP]" wrote:
Attention, Rootkit Revealer se lance lui-même sous un nom aléatoire pour que les Rootkit ne le détectent pas. Peut-être est-ce le cas pour ces exécutables. Et si on le tue, le service fantôme reste, je viens de tester.
J'ai gagné un superbe SUKEDZCJ qui fait référence à C:DOCUME~1NinaLOCALS~1TempSUKEDZCJ.exe Très bien vu :-))))) (un mystère de moins) -- Nina
On Mon, 14 Aug 2006 13:18:22 +0200, "~Jean-Marc~ [MVP]"
<doc.j-m.OTER@ouanadoudou.fr> wrote:
Attention, Rootkit Revealer se lance lui-même sous un nom aléatoire pour que
les Rootkit ne le détectent pas. Peut-être est-ce le cas pour ces exécutables.
Et si on le tue, le service fantôme reste, je viens de tester.
J'ai gagné un superbe SUKEDZCJ qui fait référence à
C:DOCUME~1NinaLOCALS~1TempSUKEDZCJ.exe
Très bien vu :-)))))
(un mystère de moins)
--
Nina
On Mon, 14 Aug 2006 13:18:22 +0200, "~Jean-Marc~ [MVP]" wrote:
Attention, Rootkit Revealer se lance lui-même sous un nom aléatoire pour que les Rootkit ne le détectent pas. Peut-être est-ce le cas pour ces exécutables. Et si on le tue, le service fantôme reste, je viens de tester.
J'ai gagné un superbe SUKEDZCJ qui fait référence à C:DOCUME~1NinaLOCALS~1TempSUKEDZCJ.exe Très bien vu :-))))) (un mystère de moins) -- Nina
Gloops
Ah ben ça c'est intéressant : je viens d'essayer de lancer FileMon dans la session admin, histoire de voir pourquoi RootkitRevealer traînait encore, et on m'a répondu "You do not have Debug programs privelege, which is required to run FileMon".
On ne me l'avait pas encore faite, celle-là.
Ah ben ça c'est intéressant : je viens d'essayer de lancer FileMon dans
la session admin, histoire de voir pourquoi RootkitRevealer traînait
encore, et on m'a répondu "You do not have Debug programs privelege,
which is required to run FileMon".
Ah ben ça c'est intéressant : je viens d'essayer de lancer FileMon dans la session admin, histoire de voir pourquoi RootkitRevealer traînait encore, et on m'a répondu "You do not have Debug programs privelege, which is required to run FileMon".
On ne me l'avait pas encore faite, celle-là.
~Jean-Marc~ [MVP]
Salutations Gloops, tu nous disais :
Pour ce qui est de supprimer les services obsolètes, ce n'est pas prévu dans les options de l'administration des services ?
Non, par contre c'est assez simple (et sans retour possible, sauf resto système) en ligne de commande : SC DELETE <nom du service>
Ah ben ça c'est intéressant : je viens d'essayer de lancer FileMon dans la session admin, histoire de voir pourquoi RootkitRevealer traînait encore, et on m'a répondu "You do not have Debug programs privelege, which is required to run FileMon".
Ouhlà, une vague réminiscence du fin fond de ma mémoire me sussure que ce n'est pas bon signe...
Je n'ai pas trouvé la cause, mais ceci pourrait aider : http://forum.sysinternals.com/forum_posts.asp?TID64&PN=1
Ah ben ça c'est intéressant : je viens d'essayer de lancer FileMon
dans la session admin, histoire de voir pourquoi RootkitRevealer
traînait encore, et on m'a répondu "You do not have Debug programs
privelege, which is required to run FileMon".
Ouhlà, une vague réminiscence du fin fond de ma mémoire me sussure
que ce n'est pas bon signe...
Je n'ai pas trouvé la cause, mais ceci pourrait aider :
http://forum.sysinternals.com/forum_posts.asp?TID64&PN=1
Ah ben ça c'est intéressant : je viens d'essayer de lancer FileMon dans la session admin, histoire de voir pourquoi RootkitRevealer traînait encore, et on m'a répondu "You do not have Debug programs privelege, which is required to run FileMon".
Ouhlà, une vague réminiscence du fin fond de ma mémoire me sussure que ce n'est pas bon signe...
Je n'ai pas trouvé la cause, mais ceci pourrait aider : http://forum.sysinternals.com/forum_posts.asp?TID64&PN=1