Fichier suspect: PATCH.EXE.mdmp qui réapparaît tout le temps sur un PC

**annedeblois** · 19/03/2009, 14h16

Bonjour,

J'ai trouvé un truc vraiment bizarre sur un des ordinateurs de notre boîte (roulant sous Windows XP Service Pack 2): un message d'erreur concernant l'application patch program qui plante.

Les copies d'écran sont dans le fichier joint.

Les fichiers en cause sont les suivants:

C:\DOCUME~1\techc\LOCALS~1\Temp\WER5268.dir00\PATCH.EXE.mdmp
C:\DOCUME~1\techc\LOCALS~1\Temp\WER5268.dir00\appcompat.txt

Le journal HijackThis ne trouve rien de suspect, je vous le colle ici:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:39:01 AM, on 3/19/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Astase\UltraBackup\4.9\bin\thpassiveclientsvc.exe
C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\Program Files\Symantec\Backup Exec\RAWS\beremote.exe
C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\WINDOWS\TEMP\EWBB3A.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\techc\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = biolab.local
O17 - HKLM\Software\..\Telephony: DomainName = biolab.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = biolab.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = biolab.local
O23 - Service: Backup Exec Remote Agent for Windows Systems (BackupExecAgentAccelerator) - Symantec Corporation - C:\Program Files\Symantec\Backup Exec\RAWS\beremote.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Trend Micro Client/Server Security Agent RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: Trend Micro Client/Server Security Agent Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Astase ThalliumBackup Client Background Service (thpassivesvc) - Astase - C:\Program Files\Astase\UltraBackup\4.9\bin\thpassiveclientsvc.exe
O23 - Service: Trend Micro Client/Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 5195 bytes

Ce que j'ai fait jusqu'à maintenant:

1) Vider le contenu du dossier TEMP du profil de l'usager en cause et redémarrer l'ordinateur

2) Faire l'analyse avec l'antivirus (qui était à jour) TrendMicro, il n'a rien trouvé

3) Faire l'analyse avec Ad Aware: rien n'a été trouvé...

4) Télécharger CleanUp! (version 4) et faire le nettoyage de l'ordinateur. Redémarrer l'ordinateur

Je me demande bien ce que c'est, car outre ce message d'erreur de programme qui apparaît aux 5 minutes, l'ordinateur est très lent lorsque je veux ouvrir un quelconque dossier...

Quelqu'un a-t-il une piste?

Merci...

**annedeblois** · 19/03/2009, 15h40

J'ai cru que c'est lié à une mise à jour qui ne s'est pas faite correctement dans Windows XP, alors j'ai fait un Windows Update et installé les mises à jour prioritaires SAUF le service pack 3 (je ne l'installe pas à cause de problèmes observés récemments). Rien à faire. Au redémarrage, le même message d'erreur réapparaît.

**rlgrand** · 19/03/2009, 16h11

Bonjour,

Ces 2 fichiers, comme tu le dis, sont générés par le crash de cet exécutable patch.exe.

As-tu localisé ce fichier ?
Il faut déterminer le fichier responsable de ce message d'erreur.

J'ai trouvé ceci :http://www.processlibrary.com/fr/directory/files/patch/
Le chemin du fichier est semble-t-il indiqué.
Dans ce cas, le fichier est légitime et appartient à la suite de sécurité de Trend Micro.
Si il agit comme un autoupdater et qu'il n'arrive à faire ces mises à jour, ceci expliquerait la répétition de ces messages d'erreur.

Pour vérification, lance un scan avec malwarebytes ( mais sans supprimer la sélection, pb de FP ces derniers temps ).