Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

comprendre pour agir [résolu]

fantassin-06

Par fantassin-06
dans Sécurisation, prévention

 Partager

Messages recommandés

fantassin-06 Mega Power Member

fantassin-06

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

J'avais un peu de "temps" à "killer" et puis je me suis mis à décortiquer tous les processus actifs de mon PC. (jusqu'ici tout va bien)

 

De manière général, mon Pc est assez propre je pense (antivirus, firewall, antispy, cleaner, hijackthis) et surveillé de prés (hijackfree, Ramboost, what's running, everest). Je privilégie mozilla, selectionne les scripts. (jusqu'ici tout va bien)

 

Ceci afin d'insister sur l'aspect ludique et formatrice de ma démarche de nettoyage? (jusqu'ici tout va bien).

 

Chronologiquement, j'ai été amené à effacer ALCMTR aprés un "rechercher / tous les fichiers ou dossiers". (Jusqu'ici tout va bien)

 

Puis à partir de what's running, je suis tombé sur des connexions RPC "established" via des addresses IP que je ne connais pas. Je "stop process" (et oui un peu warrior dans l'âme; fantassin-06 est mon pseudo) message d'insulte de windows: "pourquoi t'as fait ça, c'est pas bien, allez sauve ce que tu peux aprés j'éteins, t'es puni" bon j'avoue, j'abuse dans le message d'erreur. (jusqu'ici tout va bien)

 

Boot windows, gestionnaire des tâches et je tombe sur un processus qui disparait au bout de quelques secondes: "wuauclt.exe" Je fais une recherche sur le net pour savoir ce que c'est et ça na pas l'air dangereux mais le processus peut être assimiler à un trojan dans certains cas. (Jusqu'ici tout va bien)

 

Je cherche dans HKLM\software\microsoft\windows\current version\run. Pas de "wuauclt.exe". Ouf c'est pas un trojan (en l'occurence "Troj/Cult-B" d'aprés mes infos) jusqu'ici tout va bien)

 

Mais quelle surprise de tomber sur "ALCMTR.EXE" dans HKLM....\run. Et pourtant il ne figure pas dans le gestionnaire des tâches! (jusqu'ici tout va bien)

 

Alors questions:

 

Quelqu'un pourrait il m'expliquer la signification du RPC et pourquoi mon PC est "established" avec d'autre via ce protocole? (je leur ai rien demandé aprés tous)

 

Puis je enlever le "ALCMTR.EXE" du registre ou je risque le: "pourquoi t'as fait ça, c'est pas bien, allez sauve ce que tu peux aprés j'éteins, t'es puni"

 

Enfin, quelqu'un pourrait il m'expliquer pourquoi mon PC est muni d'un "wuauclt.exe" alors que cela veut dire (Windows Update client for WindowsME) et que c'est un processus générique de Windows Millenium servant à mettre à jour Windows Millenium via Internet, sachant que je suis sur windows XP.

 

Merci d'avance pour ces éclaircissements.

Modifié par fantassin-06

horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e)

Bonjour,

ALCMTR.EXE ( Realtek Event Monitor )

 

* Description : Il est installé avec les cartes son RealTek AC97 et il est chargé de la gestion du matériel audio : gestion des enceintes, égaliseur, etc.

http://www.generation-nt.com/processus/rea...-alcmtrexe/126/

et

wuauclt - wuauclt.exe

 

Le processus wuauclt.exe (wuauclt signifiant Windows Update client for WindowsME) est un processus générique de Windows Millenium servant à mettre à jour Windows Millenium via Internet.

 

Il s'agit d'un processus pouvant être arrêté.

 

Il peut toutefois s'agir du cheval de Troie Troj/Cult-B. Sa présence est trahie par l'entrée suivante dans la base de registre

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Microsoft auto update = WUAUCLT.EXE

http://www.commentcamarche.net/processus/wuauclt-exe.php3

=> processus existant aussi sous XP pour les mises à jour. Apparaît si Mise à jour dans Services activé en automatique (Démarrer, Exécuter, taper services.msc).

 

Instructif :

Désactiver les services initules sur Windows XP

http://www.zebulon.fr/articles/services_1.php

et

Maîtrisez le démarrage de votre PC

http://www.zebulon.fr/articles/msconfig.php

Installer
=>
Pour tous les contributeurs qui aident les autres (les helpers) à l'analyse de leurs logs HijackThis et pour tous ceux qui s'interressent à tout ce qui est lancé au démarrage de Windows (optimisation et lutte contre les attaques de Boot).

 

La "Pacman Startup List" ou "Paul Collins Startup List" est aussi connue sous le nom de "Start-up Applications list" mais on dit, plus souvent, "la Pacman". Le site Pacman's Portal maintient cette liste qui est reprise par beaucoup dont Patrick Kolla dans son SpyBot Search and Destroy (Pacman est l'alias de Paul Collins). Cette base est mise à jour régulièrement et doit être considérée comme une référence en matière d'information sur les "choses" qui se lancent au démarrage de Windows.

http://www.webmaster-hub.com/lofiversion/i....php/t7799.html

Amicalement.
horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e)

Je viens de tomber, à propos d'ALCMTR.EXE , sur :

Juste un petit spyware installé avec les pilotes RealTek

 

Redémarre en mode sans echec

 

Lance Hijackthis (scanner seulement)

coche la case devant cette ligne

 

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

 

Clique sur fixer objet

 

- Autorise l'affichage des fichiers et dossiers cachés

 

CITATION

 

- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage

- Coche Afficher les Fichiers et dossiers cachés

- Décoche Masquer les fichiers protégés du système d'exploitation

- Décoche Masquer les extensions dont le type est connu

- clique sur Appliquer et Ok pour valider les changements

 

 

recherche et supprime ce fichier

 

C:\WINDOWS\ALCMTR.EXE

 

Vide la corbeille

 

Redémarre en mode normal

 

...

http://forum.zebulon.fr/index.php?showtopi...mp;#entry772129

Amicalement.
Invité Laurent_62

Invité Laurent_62

Posté(e)
Posté(e)

Je viens de tomber, à propos d'ALCMTR.EXE , sur :Amicalement.

 

Bonjour à tous

 

Pour completer concernant ce processus http://www.bleepingcomputer.com/startups/ALCMTR.EXE-240.html

 

Bon pour ma part je ne suis pas tres chaud pour le supprimer systematiquement mais etant donne que c'est la procedure sur Zebulon donc j'applique.

 

Les scans en lignes, ewido, antivirus y compris sur virustotal ne m'ont rien donné lors d'essai voila pourquoi je reste réticent à sa suppression cela dit les startup list (castlecorps, pac's portal) le définisse mauvais donc gros doute persistant cependant une chose est certaine c'est que la desactivation et la suppression du fichier n'ont jamais été source de souci particulier à ma connaissance.

fantassin-06 Mega Power Member

fantassin-06

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Je vois que nous avons les mêmes sources d'information concernant ALCMTR. Le fait est que j'avais (vu l'heure tardive) eût la flemme de rebooté en mode sans échec et que je l'ai supprimé de manière peu othodoxe (supprimer fichier)

 

Concernant wuauclt.exe, c'est son apparition, disparation au démarrage qui m'a fait réagir.

 

Enfin, je relance ma demande d'explication concernant le protocole "RPC" si c'est possible.

 

Merci

horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e)

Re,

 

Google est ton ami :P

[protocole] Remote Procedure Call. Technique utilisée dans le modèle client-serveur. Le client appelle des procédures qui sont exécutées sur un ordinateur distant grâce à un serveur d'applications. Le protocole RPC gère les interactions entre le client et le serveur.

http://www.linux-france.org/prj/jargonf/R/RPC.html

Appel de procédure distante (RPC)

Nom de l'exécutable : svchost

Nom interne : RpcSs

Description : Fournit le mappeur du point de sortie et divers services RPC.

Commentaire : ce service doit être impérativement en "Automatique" pour assurer le bon fonctionnement de tous les services, si vous le "désactivez", vous ne pouvez plus revenir en arrière, et vous êtes obliger de ré-installer votre OS.

http://www.zebulon.fr/articles/services_2.php

rpcss - rpcss.exe

 

 

Le processus rpcss.exe (rpcss signifiant Remote Procedure Call Subsystem) est un processus générique de Windows NT/2000/XP permettant à des applications d'utiliser les déclarées sur le système.

 

Le processus rpcss n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.

 

Il s'agit d'un processus système critique ne pouvant pas être arrêté.

http://www.commentcamarche.net/processus/rpcss-exe.php3

Sommaire

 

Définition de la procédure RPC asynchrone

Procédures synchrone et asynchrone sur le client

Procédures synchrone et asynchrone sur le serveur

Protocoles de transport

Utilisation de la procédure RPC asynchrone

Fonctionnalités et sémantique

Modification d'un client ou serveur RPC existant

Charge mémoire et performances

Notification d'appel terminé en procédure RPC asynchrone

Conclusion

http://msdn.microsoft.com/library/fre/dnta....asp?frame=true

Amicalement.

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...