ALCMTR.EXE

[Invité Laurent_62]

Bonjour à tous,

 

Ayant de très sommaires connaissances dans l'analyse Hijackthis je suis tombé un beau jour sur un point qui m'a quelques peu surpris.

Ce point étant ce fameux fichier ALCMTR.EXE, composant des pilotes Realtek

 

Tout en sachant parfaitement que le fait de fixer l'entrée correspondante avec hijackthis et la suppression du fichier ne cause, a priori, aucun dysfonctionnement. Je suis de nature à ne prendre que très rarement une seule référence pour argent comptant et donc j'essaies aussi souvent que possible de regrouper les informations.

Mes interrogations au départ partent de deux constatations :

 

- Sur toutes, ou presques, les listes dites de référence (startup list) ce fichier est indiqué comme étant mauvais et plus particulièrement un Spyware.

 

- Forcé de constater au fur et à mesure de mes lectures qu'à ce jour et sauf erreur de ma part aucun antivirus, anti spyware ou autre ne détecte ce fichier en tant que tel

 

Un gros doute c'est alors emparé de moi : comment un fichier aussi répandu et reconnu mauvais dans les diverses startup list depuis longtemps puisse ne pas être détecté en tant que tel par les diverses solutions de sécurité ?

 

J'ai donc procéder en suivant les conseils de MAD à une série de test si je puis dire et j'ai donc envoyé ce fichier à pas moins de 50 éditeurs d'antivirus ou anti-malware. (la liste complete que m'a indiquée MAD que je remercie au demeurant)

 

à ce jour j'ai reçu 18 réponses et toutes sont négatives et ne laissent planer aucun doute

 

Hi Laurent,

 

The file ALCMTR.EXE is a process installed alongside RealTek AC97 audio

hardware and provides a monitoring service. I didn't find any viral code

inside the file.

 

 

Regards,

 

Mohinder Gill

 

McAFEE AVERT

 

Laurent:

 

So far as I can tell, the file you submitted is not malware, spyware, or

adware. It looks to be a RealTek driver or utility of some sort.

 

Best,

 

Eric L. Howes

Sunbelt Software

 

After checking in PandaLabs the content of the message you enclose, this is the result:

The file ALCMTR.EXE contains no malware.

 

etc je vous épargne toute la liste.

 

Même les scans sur Virustotal ou Jotti demeurent sans la moindre suspiscion

 

 

Antivirus Version Update Result

AntiVir 6.35.0.21 07.20.2006 no virus found

Authentium 4.93.8 07.20.2006 no virus found

Avast 4.7.844.0 07.19.2006 no virus found

AVG 386 07.20.2006 no virus found

BitDefender 7.2 07.20.2006 no virus found

CAT-QuickHeal 8.00 07.20.2006 no virus found

ClamAV devel-20060426 07.20.2006 no virus found

DrWeb 4.33 07.20.2006 no virus found

eTrust-InoculateIT 23.72.74 07.20.2006 no virus found

eTrust-Vet 12.6.2303 07.20.2006 no virus found

Ewido 4.0 07.20.2006 no virus found

Fortinet 2.77.0.0 07.20.2006 no virus found

F-Prot 3.16f 07.20.2006 no virus found

F-Prot4 4.2.1.29 07.20.2006 no virus found

Ikarus 0.2.65.0 07.20.2006 no virus found

Kaspersky 4.0.2.24 07.20.2006 no virus found

McAfee 4811 07.20.2006 no virus found

Microsoft 1.1508 07.20.2006 no virus found

NOD32v2 1.1671 07.20.2006 no virus found

Norman 5.90.23 07.20.2006 no virus found

Panda 9.0.0.4 07.20.2006 no virus found

Sophos 4.07.0 07.20.2006 no virus found

Symantec 8.0 07.20.2006 no virus found

TheHacker 5.9.8.178 07.19.2006 no virus found

UNA 1.83 07.20.2006 no virus found

VBA32 3.11.0 07.20.2006 no virus found

VirusBuster 4.3.7:9 07.20.2006 no virus found

 

Aditional Information

File size: 69632 bytes

MD5: 8b4cbba1ea526830c7f97e7822e2493a

SHA1: e519f493e42694c564aaa347745bab035bbcb3d9

 

D'ou ma question comment cela est-ce possible ?

et Surtout qui prendre pour référence, les résultats des divers scans ou les startup-list dans ce cas ?

 

Bien que cette question ne soit pas forcement très importante au premier abords du fait que la suppression n'occasionne aucun dysfonctionnement il n'en demeure pas moins que je pense être une énorme différence entre faire fixer et supprimer un fichier parce qu'il est néfaste ou le faire simplement parce qu'il est inutile.

 

Merci par avance à toute personne en mesure d'éclairer ma lanterne ou plus simplement d'avoir pris le temp de me lire.

[serge94]

Bonsoir,

 

Selon spybot voila ce qui est dit pour cet exe.

 

Nom de fichier: ALCMTR.EXE

 

Description

Realtek AC97 Audio - Event Monitor. "Sypware" file used surreptitiously monitor one's actions. It is not a sinister one, like remote control programs, but it is being used by Realtek to gather data about customers

Source: Paul Collins Startup list

 

Sur GNT c'est pas dangereux

 

http://www.generation-nt.com/processus/rea...-alcmtrexe/126/

 

Sur ce site il te déconseille de le désinstaller

 

http://www.windows-process.info/a/ALCMTR_EXE.html

 

Si tu n'a pas spybot pour désactivé cette clé dans "outils" "démarrage system"

 

Tu fais, "Démarrer" puis "Exécuter". Tu tapes "msconfig" puis dans la fenêtre qui apparait tu vas dans l'onglet "Démarrage" et tu décoches la case correspondante.

 

Attention la clé peut se réactivée lors de certaine mise à jour (cela m'est arrivé)

 

Cette clé est désactivé chez moi et je n'ai aucun souci.

 

A toi de te faire ta propre idée (vive le libre arbitre) . Le fait de désactivé la clé dans "msconfig te laisse la possibilité de la réactivé en cas de souci sans réinstaller ton pilote realtek.

[Mark]

Salut Laurent_62 ;

 

Fallait pas te donner tout ce mal pour alcmtr.exe... mais bon, à la limite je comprends.

 

Eric L. Howes n'a pas été plus bavard que ça au sujet de ce fichier ? Étrange.

 

Néfaste ou inutile ? Disons indésirable et inutile. Ce fichier n'est évidemment pas un virus ou un ver, ni un trojan, donc aucun antivirus ne le signalerait. RealTek ont sûrement obtenu un avis légal avant d'inclure un tel module, alors aucun antispyware ne peut se permettre de le détecter ou encore moins le supprimer.

 

Les sites de confiance parlent plutôt d'un fichier indésirable et inutile. Tout à fait inutile, donc pas d'inquiétude quand on le vire. Pourquoi le virer ? Qui veut d'un module espion sur sa bécane ?.. qui rapporte on ne sait quoi de nos habitudes de surf, et dans quel but ? Qui peut accéder à ces informations ? Question de vie privée, de fermer une porte ouverte inutile et douteuse, qui te bouffe de la bande passante en prime. Pas de dysfonctionnements associés à la suppression, et un bon service rendu au visiteur. C'est tout.

 

Aucune action légale de la part de RealTek face à tous ces sites accusateurs, donc ça me démontre le caractère très limite de ce module.

 

Si ta conscience t'empêche de fixer ce truc librement, tu peux toujours en informer le visiteur et lui laisser le choix - vire ou garde.

 

Je sors.

[Invité Laurent_62]

Bonjour serge94, Qc001, Bonjour à tous

 

Pour commencer merci pour vos réponses.

 

Eric L. Howes n'a pas été plus bavard que ça au sujet de ce fichier ? Étrange.

 

Euh.. Non la citation est la copie intégrale du message reçu.

 

Le fait de le fixer ou pas ne me pose aucun cas de conscience, d'autant plus quand cela n'engendre aucun souci, c'est seulement que j'aime bien savoir exactement pourquoi je le fais ne serait-ce pour répondre à l'éventualité d'une question.

 

Je me vois mal prétendre et crier haut et fort il faut le supprimer car c'est un spyware ou autre truc indésirable si je n'en suis pas moi même convaincu, surtout au niveau qu'est le mien.

 

Voila donc le but de mes interrogations qui consistent avant tout à savoir pourquoi.

 

 

Sur ce je vous souhaite à tous une excellente journée.

[Mark]

Rebonjour ;

 

Je me permets une dernière réplique, histoire de conclure.

 

Je suis un peu surpris par la courte réponse de M. Howes, simplement parce que ce module est ciblé depuis déjà un bout. Un petit oubli de sa part, probablement.

 

Ce qu'il faut retenir de tout ça ? Pour ma part, je propose de simplement nuancer nos affirmations. Pas nécessaire de crier "Bestiole !!... Faut la virer !!!", mais juste le faire calmement et expliquer au besoin. Par exemple, si le visiteur se pointe avec une bécane propre et nous demande de faire un petit ménage et que ce module est présent, ben simplement lui dire ce qui en est et de proposer le fix. Tout est dans l'art de communiquer.

 

J'attire ton attention sur deux autres fichiers associés à RealTek :

 

Alcwzrd.exe (composant du pilote - légitime)

Alcxmntr.exe (module espion - autre version - indésirable/inutile)

 

 

Bonnes recherches

[Invité Laurent_62]

Re bonjour à tous,

 

Merci pour ce complément.

 

Pour ma part je me fixerais une réponse allant dans ce sens, c'est à dire en faisant ressortir le fait qu'il est inutile et que la nature et l'exploitation des données récoltées par ce processus reste un grand mystère entretenu par l'éditeur et donc face à ce manque de transparence le principe de précaution est de rigueur.

 

Bonne soirée