Clés BdR liées aux menus contextuels (clic droit) - Win NT/2K/XP - Windows & Software
Marsh Posté le 10-04-2004 à 10:12:13
->Loom
et je suppose qu'il y a x façons de faire planter explorer.exe, et que ds ce cas ça va être très difficile d'identifier la source du pb, c'est bien ça ?
Et le fait que ça ne le fasse qu'avec les .exe c'est une piste ? Car avec tous les autres types de fichier tout est normal, j'obtiens bien le menu contextuel...
Marsh Posté le 10-04-2004 à 10:28:26
c'est justement ce que j'étais en train de faire ;-)
J'ai donc 3 clés principales
-Defaulticon
-shell
-shellex
dans shell j'ai 2 clés: open et runas, chacune ayant la clé command avec pour valeur le traditionnel "%1" %*
Voilà j'ai cité ce qui me parait utile. Dis-moi si tu veux le reste. (cle shellex)
Marsh Posté le 10-04-2004 à 10:34:54
pour faire redemarrer windows, ou fermer la session, il faut faire apel à une fonction qu'es dans une dll --> user32.dll, regarde si rien dans la base de registre ne pointe vers se fichier ou vers un fichier comme un script qu'il l'exécuterait...
le plus simple c'est encore de réinstaller, t'ira plus vite qu'as bidouiller ta bdr...
Marsh Posté le 10-04-2004 à 10:51:55
->cvb
merci pour le tuyau. Malheureusement ça n'a pas l'air d'être ça: je ne trouve qu'une clé user32 qui me semble normale, rien en cherchant avec "valeur" ou "données"
Sinon, j'aimerais bien me passer d'une reinstall. Au pire je resterai comme ça un moment (le reste fonctionne normalement). Mais si on trouve ça pourrait aider ceux qui se retrouveraient dans mon cas. (moi le 1er ;-) )
Je pensais qu'il y aurait une (ou quelques) clé(s) bien définie(s), dédiée(s) aux menus contextuels obtenus en faisant clic-droit sur un fichier... ce n'est pas le cas ?
Marsh Posté le 10-04-2004 à 11:24:28
madcat a écrit : ->cvb |
Recherche avec ça, mais j'ai un doute :
Code :
|
c'est de nom de la fonction en question, Comment il se dermerde, je ne sais pas car tu as d'abord le clic de la souris qu'est détecté et qui enclenche ensuite, une ligne de code. Pour détecter pareil; un clic ce sont des fonctions windows et la base de registre n'as pas grand chose avoir las-dedans (tout du moins dans un 1er temps). Essaye de passer des anti-virus en lignes, et des anti spyware si ce n'est pas déjà fait ! ton problème c'est vraiment la poisse car plusieurs s'ofrre à celui qui as foutu le bronx dans ton PC !
Marsh Posté le 10-04-2004 à 11:56:21
cbv, c'est à chercher dans la BdR? J'ai fait une rech avec "ExitWindows" et je ne trouve rien.
Sinon, je pense qu'il doit y avoir accès à la BdR car ça ne le fait qu'avec les .exe et pas les autres types de fichiers. Et d'après le pdf que j'ai lu sur la BdR (Mastering winXP Registry), il y a bien un lien entre la BdR et les menus contextuels. Seulement c'est tout en anglais et je l'ai juste rapidement survolé ce matin.
L'anti-virus c'est déjà fait (Kaspersky).
Anti-spyware pas fait, mais je ne pense pas que ce soit un spy. Tu aurais un très bon anti-spy à me conseiller ?
C'est un malware récent ama car si tu fais une rech avec CRRSCR32 sur Google tu n'obtiens que 7 reponses (de date très récente), et aucun lien ne pointe vers une definition complète (juste des messages d'utilisateurs)
Marsh Posté le 10-04-2004 à 12:02:07
madcat a écrit : cbv, c'est à chercher dans la BdR? J'ai fait une rech avec "ExitWindows" et je ne trouve rien. |
Le liens entre la Bdr et les menus contextuel, je l'ai pas nier !c'est pour ca que j'ai mis 'dans un 1er temps' je pensais derrière à la base de registre !
Comme je te dis plusieurs possibilités sont offertes à cette merde que tu as sur ta machine ! Ca peut-être un fichier sur ta machine parasite, qui exécute la chose, ca peut-être des rajouts ou des modifications de certains paramètres, sur des fichiers comme les raccourcis, justement ou dans la bdr ! Bref, c'est un peut chercher une aiguille dans une botte de foin !
Pour les anti-spyware, tu as spybot qui aprés mise à jour te trouveras beaucoup de chose et ad-aware également ! Les deux plus des anti-virus et quelques chose pour nettoyer ta Bdr, devrait te trouver pas mal de chose indésirable et qui sait ton problème dedans ? C'est pour ca que je te disais de réinstaller, que ca irait plus vite que de le chercher
Marsh Posté le 10-04-2004 à 12:15:16
"Le liens entre la Bdr et les menus contextuel, je l'ai pas nier !"
No problemo cvb ;-) j'avais bien lu ton post precedent, je ne cherchais pas à polémiquer ;-)
je vais essayer les antispy et je reviens si j'ai du nouveau.
ps: reinstaller c'est s'incliner ;-) je vais qd meme me battre un peu d'abord :-)
Marsh Posté le 10-04-2004 à 12:17:01
madcat a écrit : "Le liens entre la Bdr et les menus contextuel, je l'ai pas nier !" |
il n'y a aucun problème de ce coté là, je te rassure ! Si tu arrives à trouver dis le nous et bonne chance, mais j'ai le sentiment que c'est ce battre contre un moulin à vent
Marsh Posté le 10-04-2004 à 12:35:23
ce que tu peux tenter, c'est d'auditer les appels dans la bdr lorsque ton plantage a lieu, tu peux utiliser regmon entre autres pour ca http://www.sysinternals.com/ntw2k/source/regmon.shtml
ca va flood un max mais bon avec 1 peu de patience en epluchant le log tu va surement trouver qq chose d'interressant.
Marsh Posté le 10-04-2004 à 21:45:38
Veni, vidi, vici !! on en est venu à bout ;-)
Alors cbv, faut que je te remercie de m'avoir fait découvrir SPYBOT. J'aime bien essayer un peu tous les prog qui me passent sous la main et je connaissais ad-aware mais pas spybot. Alors j'ai essayé celui-là en 1er pour mon scan: c'est de la balle ce freeware :-)
-d'abord il me trouve pleins de spy et de trackers (virés vite fait): hop, plus de traffic residuel sur ma ligne internet. (c'était ds ma liste "à faire", ben cool maintenant c fait ;-) )
-luxe ultime: les descriptions des spy/trackers... (avec des notes d'humour en plus, excellent!)
-ensuite il cherche les trous de securité de windows (top!)
-et en plus il verifie les cles de la BdR (que demande le peuple...)
-et il comporte des options de prévention... (efficaces ??)
Non franchement je le kiff ce freeware, celui-là il ne me quitte plus ;-)
Pour en revenir au probleme principal:
Parmis les pb de la BdR, spybot a trouvé 3 problèmes liés à des dlls partagées:
-unvise32.exe
-covered-deu.nls
-cddvdint.dll
Après lui avoir demandé de corriger ces 3 pb (les 3 là uniquement, j'ai fait petit à petit), redémarrage et oh magie j'ai de nouveau le menu contextuel en faisant clic-d sur les .exe et sur leurs raccourcis :-)
Bilan: je ne regrette pas de ne pas avoir reinstallé (joke, joke :-) ) Faut pas plier les gars... JAMAIS ! bon ok, j'ai eu un peu de bol :-)
Maintenant, j'aimerai qd meme comprendre pourquoi c'était ça le pb ???
Sinon j'ai des questions sur spybot:
- les options d'immunité sont-elles aussi efficaces que le reste de l'appli ? ("immunisation perm. d'IE" et "protec contre les telech dangeureux" )
- j'ai un pb avec spybot: les boutons pour les options de config. disparaissent de la colonne de gauche ??
->knives merci pour regmon ça a l'air interessant, je l'essaierai aussi ;-) (dans le meme genre, kaspersky (ou ad-aware je ne sais plus trop) a un module qui monitor les actions sur la BdR pour les bloquer avt inscription. Je trouvais ça un peu lourd mais je vais peut-être le remettre en marche)
Fred
Marsh Posté le 10-04-2004 à 23:33:42
madcat a écrit : Veni, vidi, vici !! on en est venu à bout ;-) |
y a pas de quoi !
Marsh Posté le 10-04-2004 à 23:50:17
nooonnn...je le crois pas! le pb est reapparu en pleine session alors que je surfais... Tout était bon et soudainement j'ai vu disparaître la barre des tâches et hop:
Retour à la case départ !
Arghh, je suis maudit c'est pas possible :-(
Il y de grandes chances que j'ai des .exe vérolés (genre explorer.exe, winlogon.exe...) c'est svt le cas d'après ce que j'ai pu lire.
ahlala, j'ai crié victoire trop tôt... moi qui avait toujours eu du bol avec les virus, là j'ai ferré un gros poisson je crois...
Marsh Posté le 20-04-2004 à 07:57:59
madcat a écrit : Bonjour, |
J'ai le meme problem et j'ai detecter un virus que j'ai viré vola le nom du virus en question: bck/optix.pro.13 ça a l'air d'avoir un rapport enfin je pense,mais si quelqu'un sait comment regle le problem suis preneur aussi.
merçi
Marsh Posté le 20-04-2004 à 09:20:05
Tu peux lire mon sujet : http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269
copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.
Explications en français sur HijackThis
http://assiste.free.fr/p/internet_ [...] hijack.php
Marsh Posté le 20-04-2004 à 14:12:58
voila j'ai fait le rapport
Logfile of HijackThis v1.97.7
Scan saved at 14:04:55, on 20/04/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dllhost.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\oodag.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telecharger.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGo [...] /npwwg.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/ [...] .0.0.6.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/S [...] vSniff.cab
O16 - DPF: {54771E6F-A5A2-4413-8FB8-7B8F85398174} - http://dl.lygo.com/Sidesearch/en_U [...] search.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] Client.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 3969791667
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/reg [...] veData.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) -
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGo [...] axchat.cab
Marsh Posté le 21-04-2004 à 17:00:07
utcddzeus a écrit : voila j'ai fait le rapport |
je ne vois rien d'anormal. En fai, Hijackthis ne peut montrer tous les virus, surtout ceux qui n'utilisent pas la rubrique O4 pour survivre. Il se pourrait que tes exécutables soient modifiés (explorer.exe par exemple), essaie de vérifier la date et la taille de quelques-uns des programmes vitaux de MS par rapport à une machine saine (ou au répertoire system32\dllcache)
Marsh Posté le 10-04-2004 à 09:59:06
Bonjour,
Quand je fais un clic-droit sur un .exe (ou raccourci d'un .exe), windows semble fermer la session en cours et la reouvrir ensuite (icones+barres des tâches+fenetres ouvertes disparaissent puis reapparaissent). Cela n'arrive qu'avec les .exe ou leurs raccourcis.
Je précise que ce "bazar" s'est instauré dans mon WinXP suite à l'installation malencontreuse d'une malware, apparemment assez recent d'après mes recherches: CRRSCR (ou CRRSCR32). J'ai réussi à le desinfecter partiellement manuellement et je pense que le problème évoqué plus haut est un residu de ce malware. (qui avait modifié plusieurs clés de la BdR pour se lancer à la place des .exe (classes root/exefile) et au demarrage (hklm/soft/microsoft/win/currentver/Run), mais aussi le system.ini en modifiant shell=)
Pourriez-vous m'aider en me listant les clés de la BdR pouvant affecter les menus obtenus en faisant clic-droit sur un fichier ? Je pense que le pb se situe là, mais si vous avez une autre idée...