Bonjour à tous
Salut,
Xpost et FU2 microsoft.public.fr.windowsxp
En faisant de l'assistance à distance, j'ai trouvé une
incongruité sur l'ordinateur de l'assisté... un programme qui est
indiqué dans msconfig comme présent et lancé au démarrage, mais
dont je ne trouve pas l'exécutable sur le disque dur (en ayant
tout affiché) ni la ligne de lancement dans le registre...
http://cjoint.com/?bpt0wUq5i0
http://cjoint.com/?bpt0IVi7gt
http://cjoint.com/?bpt0T43e6B
Le gestionnaire des tâches de Windows ne le montre pas actif. Un
rapport de HijackThis ne le montre pas actif non plus. Le scan
antivirus ne détecte rien, ni un scan en ligne. Google n'a aucune
information sur le fichier.
Je croyais que msconfig chargeait dynamiquement les informations
quand on le lance (donc s'il est présent dans la fenêtre de
msconfig c'est qu'il est actuellement en service, ce n'est pas un
renseignement qui date de plusieurs mois).
Où ai-je commis une erreur d'interprétation ?
D'avance, merci à ceux qui pourront m'aider à comprendre.
Bonjour à tous
Salut,
Xpost et FU2 microsoft.public.fr.windowsxp
En faisant de l'assistance à distance, j'ai trouvé une
incongruité sur l'ordinateur de l'assisté... un programme qui est
indiqué dans msconfig comme présent et lancé au démarrage, mais
dont je ne trouve pas l'exécutable sur le disque dur (en ayant
tout affiché) ni la ligne de lancement dans le registre...
http://cjoint.com/?bpt0wUq5i0
http://cjoint.com/?bpt0IVi7gt
http://cjoint.com/?bpt0T43e6B
Le gestionnaire des tâches de Windows ne le montre pas actif. Un
rapport de HijackThis ne le montre pas actif non plus. Le scan
antivirus ne détecte rien, ni un scan en ligne. Google n'a aucune
information sur le fichier.
Je croyais que msconfig chargeait dynamiquement les informations
quand on le lance (donc s'il est présent dans la fenêtre de
msconfig c'est qu'il est actuellement en service, ce n'est pas un
renseignement qui date de plusieurs mois).
Où ai-je commis une erreur d'interprétation ?
D'avance, merci à ceux qui pourront m'aider à comprendre.
Bonjour à tous
Salut,
Xpost et FU2 microsoft.public.fr.windowsxp
En faisant de l'assistance à distance, j'ai trouvé une
incongruité sur l'ordinateur de l'assisté... un programme qui est
indiqué dans msconfig comme présent et lancé au démarrage, mais
dont je ne trouve pas l'exécutable sur le disque dur (en ayant
tout affiché) ni la ligne de lancement dans le registre...
http://cjoint.com/?bpt0wUq5i0
http://cjoint.com/?bpt0IVi7gt
http://cjoint.com/?bpt0T43e6B
Le gestionnaire des tâches de Windows ne le montre pas actif. Un
rapport de HijackThis ne le montre pas actif non plus. Le scan
antivirus ne détecte rien, ni un scan en ligne. Google n'a aucune
information sur le fichier.
Je croyais que msconfig chargeait dynamiquement les informations
quand on le lance (donc s'il est présent dans la fenêtre de
msconfig c'est qu'il est actuellement en service, ce n'est pas un
renseignement qui date de plusieurs mois).
Où ai-je commis une erreur d'interprétation ?
D'avance, merci à ceux qui pourront m'aider à comprendre.
Bonjour à tous
Xpost et FU2 microsoft.public.fr.windowsxp
En faisant de l'assistance à distance, j'ai trouvé une incongruité sur
l'ordinateur de l'assisté... un programme qui est indiqué dans msconfig
comme présent et lancé au démarrage, mais dont je ne trouve pas
l'exécutable sur le disque dur (en ayant tout affiché) ni la ligne de
lancement dans le registre...
http://cjoint.com/?bpt0wUq5i0
http://cjoint.com/?bpt0IVi7gt
http://cjoint.com/?bpt0T43e6B
Le gestionnaire des tâches de Windows ne le montre pas actif. Un rapport
de HijackThis ne le montre pas actif non plus. Le scan antivirus ne
détecte rien, ni un scan en ligne. Google n'a aucune information sur le
fichier.
Je croyais que msconfig chargeait dynamiquement les informations quand on
le lance (donc s'il est présent dans la fenêtre de msconfig c'est qu'il
est actuellement en service, ce n'est pas un renseignement qui date de
plusieurs mois).
Où ai-je commis une erreur d'interprétation ?
D'avance, merci à ceux qui pourront m'aider à comprendre.
Bonjour à tous
Xpost et FU2 microsoft.public.fr.windowsxp
En faisant de l'assistance à distance, j'ai trouvé une incongruité sur
l'ordinateur de l'assisté... un programme qui est indiqué dans msconfig
comme présent et lancé au démarrage, mais dont je ne trouve pas
l'exécutable sur le disque dur (en ayant tout affiché) ni la ligne de
lancement dans le registre...
http://cjoint.com/?bpt0wUq5i0
http://cjoint.com/?bpt0IVi7gt
http://cjoint.com/?bpt0T43e6B
Le gestionnaire des tâches de Windows ne le montre pas actif. Un rapport
de HijackThis ne le montre pas actif non plus. Le scan antivirus ne
détecte rien, ni un scan en ligne. Google n'a aucune information sur le
fichier.
Je croyais que msconfig chargeait dynamiquement les informations quand on
le lance (donc s'il est présent dans la fenêtre de msconfig c'est qu'il
est actuellement en service, ce n'est pas un renseignement qui date de
plusieurs mois).
Où ai-je commis une erreur d'interprétation ?
D'avance, merci à ceux qui pourront m'aider à comprendre.
Bonjour à tous
Xpost et FU2 microsoft.public.fr.windowsxp
En faisant de l'assistance à distance, j'ai trouvé une incongruité sur
l'ordinateur de l'assisté... un programme qui est indiqué dans msconfig
comme présent et lancé au démarrage, mais dont je ne trouve pas
l'exécutable sur le disque dur (en ayant tout affiché) ni la ligne de
lancement dans le registre...
http://cjoint.com/?bpt0wUq5i0
http://cjoint.com/?bpt0IVi7gt
http://cjoint.com/?bpt0T43e6B
Le gestionnaire des tâches de Windows ne le montre pas actif. Un rapport
de HijackThis ne le montre pas actif non plus. Le scan antivirus ne
détecte rien, ni un scan en ligne. Google n'a aucune information sur le
fichier.
Je croyais que msconfig chargeait dynamiquement les informations quand on
le lance (donc s'il est présent dans la fenêtre de msconfig c'est qu'il
est actuellement en service, ce n'est pas un renseignement qui date de
plusieurs mois).
Où ai-je commis une erreur d'interprétation ?
D'avance, merci à ceux qui pourront m'aider à comprendre.
Bonjour à tous
Xpost et FU2 microsoft.public.fr.windowsxp
En faisant de l'assistance à distance, j'ai trouvé une
incongruité sur l'ordinateur de l'assisté... un programme qui est
indiqué dans msconfig comme présent et lancé au démarrage, mais
dont je ne trouve pas l'exécutable sur le disque dur (en ayant
tout affiché) ni la ligne de lancement dans le registre...
http://cjoint.com/?bpt0wUq5i0
http://cjoint.com/?bpt0IVi7gt
http://cjoint.com/?bpt0T43e6B
Le gestionnaire des tâches de Windows ne le montre pas actif. Un
rapport de HijackThis ne le montre pas actif non plus. Le scan
antivirus ne détecte rien, ni un scan en ligne. Google n'a aucune
information sur le fichier.
Je croyais que msconfig chargeait dynamiquement les informations
quand on le lance (donc s'il est présent dans la fenêtre de
msconfig c'est qu'il est actuellement en service, ce n'est pas un
renseignement qui date de plusieurs mois).
Où ai-je commis une erreur d'interprétation ?
D'avance, merci à ceux qui pourront m'aider à comprendre.
Bonjour à tous
Xpost et FU2 microsoft.public.fr.windowsxp
En faisant de l'assistance à distance, j'ai trouvé une
incongruité sur l'ordinateur de l'assisté... un programme qui est
indiqué dans msconfig comme présent et lancé au démarrage, mais
dont je ne trouve pas l'exécutable sur le disque dur (en ayant
tout affiché) ni la ligne de lancement dans le registre...
http://cjoint.com/?bpt0wUq5i0
http://cjoint.com/?bpt0IVi7gt
http://cjoint.com/?bpt0T43e6B
Le gestionnaire des tâches de Windows ne le montre pas actif. Un
rapport de HijackThis ne le montre pas actif non plus. Le scan
antivirus ne détecte rien, ni un scan en ligne. Google n'a aucune
information sur le fichier.
Je croyais que msconfig chargeait dynamiquement les informations
quand on le lance (donc s'il est présent dans la fenêtre de
msconfig c'est qu'il est actuellement en service, ce n'est pas un
renseignement qui date de plusieurs mois).
Où ai-je commis une erreur d'interprétation ?
D'avance, merci à ceux qui pourront m'aider à comprendre.
Bonjour à tous
Xpost et FU2 microsoft.public.fr.windowsxp
En faisant de l'assistance à distance, j'ai trouvé une
incongruité sur l'ordinateur de l'assisté... un programme qui est
indiqué dans msconfig comme présent et lancé au démarrage, mais
dont je ne trouve pas l'exécutable sur le disque dur (en ayant
tout affiché) ni la ligne de lancement dans le registre...
http://cjoint.com/?bpt0wUq5i0
http://cjoint.com/?bpt0IVi7gt
http://cjoint.com/?bpt0T43e6B
Le gestionnaire des tâches de Windows ne le montre pas actif. Un
rapport de HijackThis ne le montre pas actif non plus. Le scan
antivirus ne détecte rien, ni un scan en ligne. Google n'a aucune
information sur le fichier.
Je croyais que msconfig chargeait dynamiquement les informations
quand on le lance (donc s'il est présent dans la fenêtre de
msconfig c'est qu'il est actuellement en service, ce n'est pas un
renseignement qui date de plusieurs mois).
Où ai-je commis une erreur d'interprétation ?
D'avance, merci à ceux qui pourront m'aider à comprendre.
On peut imaginer un rootkit qui masque le fichier.
En prise de controle
à distance les possibilités d'approfondir sont limitées. Sur place je
lancerais un bartPE ou autre OS capable d'accèder au disque ou même en
mode sans échec.
A distance on peut s'assurer de la non présence d'un
tel fichier en créant un répertoire de même nom dans system32 si la
commande échoue, c'est qu'il y a un fichier caché présent, dans le cas
contraire ça empèchera la création du fichier à la volée.
On peut imaginer un rootkit qui masque le fichier.
En prise de controle
à distance les possibilités d'approfondir sont limitées. Sur place je
lancerais un bartPE ou autre OS capable d'accèder au disque ou même en
mode sans échec.
A distance on peut s'assurer de la non présence d'un
tel fichier en créant un répertoire de même nom dans system32 si la
commande échoue, c'est qu'il y a un fichier caché présent, dans le cas
contraire ça empèchera la création du fichier à la volée.
On peut imaginer un rootkit qui masque le fichier.
En prise de controle
à distance les possibilités d'approfondir sont limitées. Sur place je
lancerais un bartPE ou autre OS capable d'accèder au disque ou même en
mode sans échec.
A distance on peut s'assurer de la non présence d'un
tel fichier en créant un répertoire de même nom dans system32 si la
commande échoue, c'est qu'il y a un fichier caché présent, dans le cas
contraire ça empèchera la création du fichier à la volée.
Certainement le reste d'un programme désinstallé, ou d'un malware
précédemment viré ...
Je ne crois pas que msconfig ne chargent que les infos dynamiquement.
Ce n'est pas la première fois que je trouve des lignes présentes dans
cet onglet alors que le fichier a déjà été supprimé.
Par acquis de conscience, tu as cherché du côté des rootkit ??
Cordialement,
FDDKDR ( :-Fred-: )
Certainement le reste d'un programme désinstallé, ou d'un malware
précédemment viré ...
Je ne crois pas que msconfig ne chargent que les infos dynamiquement.
Ce n'est pas la première fois que je trouve des lignes présentes dans
cet onglet alors que le fichier a déjà été supprimé.
Par acquis de conscience, tu as cherché du côté des rootkit ??
Cordialement,
FDDKDR ( :-Fred-: )
Certainement le reste d'un programme désinstallé, ou d'un malware
précédemment viré ...
Je ne crois pas que msconfig ne chargent que les infos dynamiquement.
Ce n'est pas la première fois que je trouve des lignes présentes dans
cet onglet alors que le fichier a déjà été supprimé.
Par acquis de conscience, tu as cherché du côté des rootkit ??
Cordialement,
FDDKDR ( :-Fred-: )
*Bonjour Ypoons*
[...]
dccnavvwsw est inconnu de Google. A tout hasard, n'aurais-tu pas
désinstallé Norton Anti Virus ??? (C'est le ..nav.... dans l'intitulé de
l'exécutable qui m'intrigue)
*Bonjour Ypoons*
[...]
dccnavvwsw est inconnu de Google. A tout hasard, n'aurais-tu pas
désinstallé Norton Anti Virus ??? (C'est le ..nav.... dans l'intitulé de
l'exécutable qui m'intrigue)
*Bonjour Ypoons*
[...]
dccnavvwsw est inconnu de Google. A tout hasard, n'aurais-tu pas
désinstallé Norton Anti Virus ??? (C'est le ..nav.... dans l'intitulé de
l'exécutable qui m'intrigue)
Quelqu'un sait comment on peut faire disparaître complètement les
traces d'un service ? (je parle "au-delà de la désactivation"... il reste
encore des éléments du service dans le système).
Je sais que c'est l'ordre sc.exe qu'il faut utiliser, mais la syntaxe en
est complexe pour moi, et quand j'ai voulu faire des tests sur ma machine
je ne suis jamais arrivé à savoir quel nom_de_service il fallait rentrer
dans la commande (tous les essais que j'ai faits se sont soldés par des
messages d'erreur concernant le nom_de_service). À quel endroit du disque
ou du registre (ou ailleurs ?) peut-on trouver le nom_de_service à
utiliser ?
À vot' bon coeur ! ;)
Amicalement,
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même seulement
pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever l'espace)
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !
Quelqu'un sait comment on peut faire disparaître complètement les
traces d'un service ? (je parle "au-delà de la désactivation"... il reste
encore des éléments du service dans le système).
Je sais que c'est l'ordre sc.exe qu'il faut utiliser, mais la syntaxe en
est complexe pour moi, et quand j'ai voulu faire des tests sur ma machine
je ne suis jamais arrivé à savoir quel nom_de_service il fallait rentrer
dans la commande (tous les essais que j'ai faits se sont soldés par des
messages d'erreur concernant le nom_de_service). À quel endroit du disque
ou du registre (ou ailleurs ?) peut-on trouver le nom_de_service à
utiliser ?
À vot' bon coeur ! ;)
Amicalement,
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même seulement
pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever l'espace)
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !
Quelqu'un sait comment on peut faire disparaître complètement les
traces d'un service ? (je parle "au-delà de la désactivation"... il reste
encore des éléments du service dans le système).
Je sais que c'est l'ordre sc.exe qu'il faut utiliser, mais la syntaxe en
est complexe pour moi, et quand j'ai voulu faire des tests sur ma machine
je ne suis jamais arrivé à savoir quel nom_de_service il fallait rentrer
dans la commande (tous les essais que j'ai faits se sont soldés par des
messages d'erreur concernant le nom_de_service). À quel endroit du disque
ou du registre (ou ailleurs ?) peut-on trouver le nom_de_service à
utiliser ?
À vot' bon coeur ! ;)
Amicalement,
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même seulement
pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever l'espace)
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !
On peut imaginer un rootkit qui masque le fichier.
C'est vrai. Mais est-ce que HijackThis n'aurait pas quand même
montré "quelque chose" ?
Et puis les antivirus commencent à être compétents contre les
rootkits...
Le principe du rootkit c'est qu'il cache :-) ... aux requêtes standard
A distance on peut s'assurer de la non présence d'un
tel fichier en créant un répertoire de même nom dans system32 si
la commande échoue, c'est qu'il y a un fichier caché présent,
dans le cas contraire ça empèchera la création du fichier à la
volée.
Heu... empêcher ? J'ai déjà vu des avertissements dans des cas
semblables, mais jusqu'à présent il m'a toujours été possible (en
répondant de façon adéquate à l'avertissement) d'avoir un fichier
toto dans un dossier toto.
On peut imaginer un rootkit qui masque le fichier.
C'est vrai. Mais est-ce que HijackThis n'aurait pas quand même
montré "quelque chose" ?
Et puis les antivirus commencent à être compétents contre les
rootkits...
Le principe du rootkit c'est qu'il cache :-) ... aux requêtes standard
A distance on peut s'assurer de la non présence d'un
tel fichier en créant un répertoire de même nom dans system32 si
la commande échoue, c'est qu'il y a un fichier caché présent,
dans le cas contraire ça empèchera la création du fichier à la
volée.
Heu... empêcher ? J'ai déjà vu des avertissements dans des cas
semblables, mais jusqu'à présent il m'a toujours été possible (en
répondant de façon adéquate à l'avertissement) d'avoir un fichier
toto dans un dossier toto.
On peut imaginer un rootkit qui masque le fichier.
C'est vrai. Mais est-ce que HijackThis n'aurait pas quand même
montré "quelque chose" ?
Et puis les antivirus commencent à être compétents contre les
rootkits...
Le principe du rootkit c'est qu'il cache :-) ... aux requêtes standard
A distance on peut s'assurer de la non présence d'un
tel fichier en créant un répertoire de même nom dans system32 si
la commande échoue, c'est qu'il y a un fichier caché présent,
dans le cas contraire ça empèchera la création du fichier à la
volée.
Heu... empêcher ? J'ai déjà vu des avertissements dans des cas
semblables, mais jusqu'à présent il m'a toujours été possible (en
répondant de façon adéquate à l'avertissement) d'avoir un fichier
toto dans un dossier toto.
Le principe du rootkit c'est qu'il cache :-) ... aux requêtes standard
de liste de fichiers... Les applications qui font la requête demandent
à l'OS de lui fournir la liste qui répond à ses critères. Si la
fonction est corrompue la liste sera erronée.
Heu... empêcher ? J'ai déjà vu des avertissements dans des cas
semblables, mais jusqu'à présent il m'a toujours été possible (en
répondant de façon adéquate à l'avertissement) d'avoir un fichier
toto dans un dossier toto.
non c'est pas ça que je voulais te dire. Si dans le dossier system32 tu
créés un répertoire qui s'appelle "suspect.exe" (avec le suffixe .exe
et non pas "suspect") il est alors impossible qu'une application créée
un fichier de nom suspect.exe. En fonction du message d'erreur tu sais
si le fichier existe mais est caché, si il est créé à la volée pendant
l'initialisation puis supprimé ensuite.
Le principe du rootkit c'est qu'il cache :-) ... aux requêtes standard
de liste de fichiers... Les applications qui font la requête demandent
à l'OS de lui fournir la liste qui répond à ses critères. Si la
fonction est corrompue la liste sera erronée.
Heu... empêcher ? J'ai déjà vu des avertissements dans des cas
semblables, mais jusqu'à présent il m'a toujours été possible (en
répondant de façon adéquate à l'avertissement) d'avoir un fichier
toto dans un dossier toto.
non c'est pas ça que je voulais te dire. Si dans le dossier system32 tu
créés un répertoire qui s'appelle "suspect.exe" (avec le suffixe .exe
et non pas "suspect") il est alors impossible qu'une application créée
un fichier de nom suspect.exe. En fonction du message d'erreur tu sais
si le fichier existe mais est caché, si il est créé à la volée pendant
l'initialisation puis supprimé ensuite.
Le principe du rootkit c'est qu'il cache :-) ... aux requêtes standard
de liste de fichiers... Les applications qui font la requête demandent
à l'OS de lui fournir la liste qui répond à ses critères. Si la
fonction est corrompue la liste sera erronée.
Heu... empêcher ? J'ai déjà vu des avertissements dans des cas
semblables, mais jusqu'à présent il m'a toujours été possible (en
répondant de façon adéquate à l'avertissement) d'avoir un fichier
toto dans un dossier toto.
non c'est pas ça que je voulais te dire. Si dans le dossier system32 tu
créés un répertoire qui s'appelle "suspect.exe" (avec le suffixe .exe
et non pas "suspect") il est alors impossible qu'une application créée
un fichier de nom suspect.exe. En fonction du message d'erreur tu sais
si le fichier existe mais est caché, si il est créé à la volée pendant
l'initialisation puis supprimé ensuite.
Salut Ypoons,
pour supprimer un service, ouvrir une fenêtre en invite de commande, taper :
sc delete <nom_du_service>
Si ça ne marche pas essayez avec des guillemets "nom_du_service".
Sinon ===> sc delete <nom de l'éxécutable du service>
Pour trouver le nom de l'éxécutable, soit en double cliquant sur le service,
dans services.msc, il y'a le chemin d'accés à l'exe ;
soit dans HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
Voilà...
Au fait super script qui peut peut-être t'aider :
http://www.bellamyjc.org/fr/vbsdownload.html#processpath
Christelle.
Salut Ypoons,
pour supprimer un service, ouvrir une fenêtre en invite de commande, taper :
sc delete <nom_du_service>
Si ça ne marche pas essayez avec des guillemets "nom_du_service".
Sinon ===> sc delete <nom de l'éxécutable du service>
Pour trouver le nom de l'éxécutable, soit en double cliquant sur le service,
dans services.msc, il y'a le chemin d'accés à l'exe ;
soit dans HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
Voilà...
Au fait super script qui peut peut-être t'aider :
http://www.bellamyjc.org/fr/vbsdownload.html#processpath
Christelle.
Salut Ypoons,
pour supprimer un service, ouvrir une fenêtre en invite de commande, taper :
sc delete <nom_du_service>
Si ça ne marche pas essayez avec des guillemets "nom_du_service".
Sinon ===> sc delete <nom de l'éxécutable du service>
Pour trouver le nom de l'éxécutable, soit en double cliquant sur le service,
dans services.msc, il y'a le chemin d'accés à l'exe ;
soit dans HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
Voilà...
Au fait super script qui peut peut-être t'aider :
http://www.bellamyjc.org/fr/vbsdownload.html#processpath
Christelle.