Processus et PacMan Startup List

[invite09876456789221]

Bonjour à tous,

En lisant vos interessantes discussions sur le forum j'ai suivi un lien http://assiste.com.free.fr/p/craptheque/craptheque.html.

Puis en parcourant le site je suis tombé sur la pacman startulist et j'ai commencé à chercher les processus lancés au démarrage sur mon pc.

Quel n'est pas ma surprise de voir que plusieurs porcessus illégitime semble se lancer au démarrage sans que rien ni personne spybot par exemple ni fasse cas.

Exemple : csrss.exe, une dizaine de svchost.exe, alg.exe...

Et pas trouvé par hijackthis...

Y'a-t-il un moyen automatique de verifier tous les processus (par leur nom)?

A tout fin utile je vous joint un log hijackthis et deux captures d'écrant avec les processus incriminés.

Encore merci pour votre soutient et aide.
-----

[invite7b35040f]

Un des processus est peut etre signe d'infection : n'as tu pas l'impression que des fichiers MP3 s'effacent car il existe 2 csrss.exe: un tout a fait normal ainsi qu'un second lié a un virus W32.Deletemusic
Svchost.exe est aussi normal puisque c'est lui qui gere les processus
Sinon pour tous les verifier il existe une methode tres longue mais assez utile : recherche google ^^
En esperant ne pas avoir d'erreurs

PS : ton rapport ne marche pas donc les specialistes ne pourront pas te guider si il y a un probleme

[yoda1234]

PS : ton rapport ne marche pas donc les spécialistes ne pourront pas te guider si il y a un problème

Bonjour,

il n' a pas de problèmes pour le rapport: Il n'était pas encore validé.

[yoda1234]

Consulte je te prie la procédure préliminaire du forum.

Note : Effectue ce qui est demandé, mais ne fais pas la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 5 du dossier.

Reviens ensuite dans ce sujet pour poster en pièces jointes les rapports générés par la procédure.

[A voir en vidéo sur Futura]

[invite09876456789221]

bonsoir,

Pour la procédure je viens de passer plus d'un mois avec igor pour supprimer un fichier con.exe.

http://forums.futura-sciences.com/thread157856-7.html

Je voulais juste savoir quel est le meilleure moyen pour vérifier les processus au démarrage avec la PacMan Startup List.

Voilà j'ai fait la procédure et voici les log.

Je n'ai pas de fichier mp3 qui se supprime en tout cas je n'ai pas remarqué.

[invite09876456789221]

Je prends un peu les devants et j'ai analyser le log hijackthis sur 3 robots d'analyse :

et trois fois le même résultat :

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEalcmtr
"Realtek AC97 Audio - Event Monitor. ""Sypware"" file used surreptitiously monitor one's actions. It is not a sinister one

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
(Description: Realtek AC97 Audio - Event Monitor. "Sypware" file used surreptitiously monitor one's actions. It is not a sinister one, like remote control programs, but it is being used by Realtek to gather data about customers )

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
Safe Effacer à tout prix ! This entry was classified from our visitors as good.

une fois un résultat plus inquiétant :

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe Ctfmon.exe
"CoolWebSearch Ctfmon32 parasite variant"

1 demande d'expert (vous) :

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServi ceObj.dllShellServiceObjectDel ayLoad Registry key autorun
HJT automatically weeds out the good ones here so we'll flag this as bad. Consult a HJT expert before cleaning anything.

2 files missing ??

O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\Integrate dServer\HTTP (file missing)File Missing
When a file is missing, you should always have HijackThis fix the item.

O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobil e\Gateway" /DisplayName="VAIO Media Gateway Server (file missing)File Missing
When a file is missing, you should always have HijackThis fix the item.

1 Completely unnecessary

The following are not necessarily spyware/malware, but we suggest you place a check mark next to the following entries, as these programs may be taking up system resources.

O4 - HKLM\..\Run: [TkBellExe] \"C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe\" -osboot
(Description: RealPlayer scheduler. Completely unnecessary. Removing this entry will free up a small amount of system resources.)


Voilà ce qui me fait des fois penser qu'il y a toujours quelque chose de pas très sain dans mon pc et tous les autres aussi !

Merci et désolé pour la longueur et le peu de "convivialité" de ce message.

[invite09876456789221]

Je tiens à insister sur le fait que le processus alg.exe est lancé et qu'hijackthis ne le voit pas !

et que la pacman list me dit :

ALG.EXE iexplorer .exe Ajouté par le ver DEMOTRY-B!

Je ne comprends pas très bien ?

Encore merci pour vos lumière.

[invite09876456789221]

il y a aussi ça que j'ai oublié de mentionner :

O16 - DPF: {2959BB2D-AA39-4380-A845-8143337AB90B} - http://idkqzshcjxr.com/845c86f3/10588/1/xp/RealSpace.cab
Vérifiez si vous connaissez ce site. Si tel n’est pas le cas, effacez l'inscription. Les éléments ActiveX provenant de pages inconnues doivent être effacés, surtout si l’inscription contient des mots comme 'dialer', 'casino', 'free plugin' etc.

[igor51]

Bonjour,

je n'ai pas analysé tes rapports, je vais le faire un peu plus tard (ça me permet de remonter la discussion)

Les robots d'analyse sont à prendre avec des pincettes, il y a souvent des faux positif ou autre chose, donc prudence.

Je reviens un peu plus tard

[igor51]

Bonsoir,

j'ai plus de temps, je vais pouvoir répondre à tes questions

Y'a-t-il un moyen automatique de verifier tous les processus (par leur nom)?

Je ne connais pas de moyen automatique pour faire cette vérification, à part à la main, je ne vois pas. Bine sur, il existe des logiciels pour y aider comme HijackThis ou encore Autoruns, mais rien qui ne va te dire tout de suite (ou alors, il y a toujours le risque qu'il se plante sur un processus inconnu)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

La description faite ce fichier est tout à fait vraie, cependant, ce n'est pas une infection à proprement dit, même si le fichier est considéré comme un spyware.
On ne le supprime pas à tous les coups car il n'est vraiment pas nuisible, tu peux le supprimer si tu veux.

le fichier se trouve ici C:\WINDOWS\system32\ALCMTR.EXE ou ici C:\WINDOWS\ALCMTR.EXE

Ensuite, lance HijackThis, choisis Do a scan only et coche les lignes suivantes.

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Ferme toutes les fenêtres sauf Hijackthis et clique sur Fix Checked

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe Ctfmon.exe

Cette ligne par contre est tout à fait légitime, voir ici http://www.commentcamarche.net/proce...tfmon-exe.php3

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServi ceObj.dll

Légitime aussi.

Pour les services, c'est juste un bug d'HijackThis, à ne pas prendre en compte et donc à ne surtout pas réparer.

O4 - HKLM\..\Run: [TkBellExe] \"C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe\" -osboot

Mise à jour automatique de Real Player, tout à fait légitime, mais parfaitement inutile.


alg.exe est un processus tout à fait légitime, je l'ai aussi http://www.commentcamarche.net/processus/alg-exe.php3

O16 - DPF: {2959BB2D-AA39-4380-A845-8143337AB90B} - hxxp://idkqzshcjxr.com/845c86f3/10588/1/xp/RealSpace.cab

Celle la, tu peux la "Fixer" aussi, c'est un ActiveX

Voila, j'èspère avoir répondu clairement à tes quetions,

Bonne soirée

[invite09876456789221]

Merci pour tes réponses absolument très claires.

J'ai supprimer le fichier ALCMTR.EXE et fixer O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE ainsi que O16 - DPF: {2959BB2D-AA39-4380-A845-8143337AB90B} - hxxp://idkqzshcjxr.com/845c86f3/10588/1/xp/RealSpace.cab

Encore merci.