Bonjour,

J'ai un gros soucis avec mon ordi depuis quelques jours.

J'ai un PIII, 1ghz, 384 mo de RAM, Windows ME.

La mémoire RAM de l'ordi baisse à vue d'oeil. Au bout d'environ une heure d'utilisation, elle est à 1% ! Il s'ensuit une impossibilité d'ouvrir de nouveaux programmes, ou de nouvelles fenêtres d'IE sans plantage de l'ordi.

Ce que j'ai fait :

J'ai mis à jour Windows ME et Internet Explorer. J'ai lancé Avast, installé Spybot, mais pas de résultat. J'ai installé un petit logiciel (RAM Idle) qui affiche en permanence la mémoire libre, et qui réagit dés que celle-ci arrive à 1% en libérant de la mémoire. Ceci empêche le plantage, mais ne résoud pas le problème.

Voici 2 photos qui présentent l'ensemble des processus qui tournent sur le pc. Certains sont peut-être anormaux ? Genre PSTORES.exe, pas d'idée de ce que ça peut être.





Ou alors une barrette mémoire défaillante ? Bref, je ne sais pas où chercher. Je pencherai plutôt pour un genre de virus ou trojan...

Merci pour votre aide.

Le seuil à 1% c'est déjà beaucoup trop tard, 20% aurais été plus raisonnable, mais avec seulement 384M, c'est sûrement irréalisable...

La mise à jour de windows et l'installation d'avast (et peut-être du résident de spybot) ont probabement consommé la faible réserve du système, la période de Noël peut-être synonyme de banqueroute dans ces cas là.

Hello,

Essaie de vérifier ta ram avec memtest. Tu peux, par la suite, si l'essai n'est pas concluenant faire un petit log avec hijackthis.

salut !
la présence du KB891711.exe me semblait curieuse dans la liste des process qui tournent. Après une petite recherche sur google, il semblerait qu'il y ait un problème avec ce correctif. Essaie de rebooter en mode sans échec et de le désactiver soit par msconfig, soit avec Autoruns que tu trouveras sur le blog.
@+

Achille1er a écrit:Le seuil à 1% c'est déjà beaucoup trop tard, 20% aurais été plus raisonnable, mais avec seulement 384M, c'est sûrement irréalisable...

La mise à jour de windows et l'installation d'avast (et peut-être du résident de spybot) ont probabement consommé la faible réserve du système, la période de Noël peut-être synonyme de banqueroute dans ces cas là.

Aprés lecture de la doc du logiciel, en fait, le logiciel défragmente le disque bien avant, pour réagir à partir apparemment d'un mo (et non pas 1%, donc encore moins !) et libérer la ram nécessaire (réglable dans les options).

Gallikerfamily a écrit:Hello,

Essaie de vérifier ta ram avec memtest. Tu peux, par la suite, si l'essai n'est pas concluenant faire un petit log avec hijackthis.

ok, je vais essayer ça. Hijackthis, ça me dit quelque chose, je l'ai déjà utilisé il y a longtemps. Merci pour la réponse.

Jason a écrit:salut !
la présence du KB891711.exe me semblait curieuse dans la liste des process qui tournent. Après une petite recherche sur google, il semblerait qu'il y ait un problème avec ce correctif. Essaie de rebooter en mode sans échec et de le désactiver soit par msconfig, soit avec Autoruns que tu trouveras sur le blog.
@+

Merci. Je me suis contenté de le décocher pour qu'il ne se lance plus au démarrage. C'est toujours ça de moins dans tous ces process... A quand un Windows qui explique clairement qu'est-ce qui tourne en permanence et pourquoi...

D'où l'intérêt de poster un log hijackthis, il y a peut-être un intrus qui sape la mémoire. (tuto, si besoin)

Bonsoir,

J'ai trouvé un peu de temps pour m'occuper de mon ordi.

Comme conseillé, j'ai utilisé memtest : résultat 0 % d'erreur.

Je viens à l'instant de télécharger hijackthis. Voici le résultat :

Logfile of HijackThis v1.99.1
Scan saved at 00:08:09, on 25/12/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\ANTIVIRUS\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\FIREWALL\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAM FILES\ANTIVIRUS\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\PROGRAM FILES\RAM IDLE LE\RAM_ME.EXE
C:\PROGRAM FILES\ANTIVIRUS\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\SCANNER\VSTASCAN\VSACCESS.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\MES DOCUMENTS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ANTIVI~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\FIREWALL\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE /O
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Program Files\RAM Idle LE\RAM_ME.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ANTIVI~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Antivirus\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAM FILES\FIREWALL\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - Startup: UMAX VistaAccess.lnk = C:\Program Files\Scanner\VSTASCAN\vsaccess.exe
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRAM FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRAM FILES\FLASHGET\jc_all.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FLASHGET.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/c ... jst4_x.cab

Bon, ça m'avance pas vraiment. Déjà les 2 dernieres lignes, normalement, je peux les supprimer ? Pfff, j'avais joué à ce jeu de mahjong en ligne il y a plus de 6 mois, et il en reste encore quelque chose sur l'ordi...

Aprés, je ne sais pas...

Merci pour votre aide.

Bonjour, tu peux supprimer les deux dernières ligne ssi ce ne sont que des restes anciens.

Plus inquiétant, ce programme, il y a deux possibilités avec ce nom de fichier, soit un gestionnaire de modem (donc innofensif)

soit un trojan

C:\WINDOWS\PTSNOOP.EXE

et son inscription dans le démarrage :
F1 - win.ini: load=ptsnoop.exe

Or, normalement, un gestionnaire de modem ne s'inscrit pas là.

Tu peux envoyer le fichier pour évaluation par plusieurs antivirus à jotti's malware scan ou sur Virustotal, si tous les antivirus le déclarent sain, c'est autre chose.

Je viens de faire le test sur "ptsnoop.exe" (merci pour ce lien que je ne connaissais pas, je viens de l'ajouter à mes favoris). Résultat : "Found nothing" de la part de tous les antivirus en ligne. Donc retour à la case départ...

Si quelqu'un a une autre idée, je suis preneur...

Un petit up pour dire que le problème persiste. Si vous avez des idées de solutions...

Si tu n'utilises pas de modem interne RTC pour te connecter au Web, vire le ptsnoop.exe et tout ce qui va avec.

Si c'est un trojan, il y a peu de chance qu'un anti-virus (même en ligne) le remarque. C'est bien pour ça qu'il y a des programmes anti-virus et des programmes anti-trojans /antispywares !