problème dans les programmes lancés au démarrage

Le
Ypoons
Bonjour à tous

Xpost et FU2 microsoft.public.fr.windowsxp

En faisant de l'assistance à distance, j'ai trouvé une
incongruité sur l'ordinateur de l'assisté un programme qui est
indiqué dans msconfig comme présent et lancé au démarrage, mais
dont je ne trouve pas l'exécutable sur le disque dur (en ayant
tout affiché) ni la ligne de lancement dans le registre
http://cjoint.com/?bpt0wUq5i0
http://cjoint.com/?bpt0IVi7gt
http://cjoint.com/?bpt0T43e6B

Le gestionnaire des tâches de Windows ne le montre pas actif. Un
rapport de HijackThis ne le montre pas actif non plus. Le scan
antivirus ne détecte rien, ni un scan en ligne. Google n'a aucune
information sur le fichier.

Je croyais que msconfig chargeait dynamiquement les informations
quand on le lance (donc s'il est présent dans la fenêtre de
msconfig c'est qu'il est actuellement en service, ce n'est pas un
renseignement qui date de plusieurs mois).

Où ai-je commis une erreur d'interprétation ?

D'avance, merci à ceux qui pourront m'aider à comprendre.


--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever
l'espace)
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Gilles RONSIN
Le #1115945
Ypoons , le mar. 15 janv. 2008 19:56:15, écrivait ceci:

Bonjour à tous
Salut,


Xpost et FU2 microsoft.public.fr.windowsxp

En faisant de l'assistance à distance, j'ai trouvé une
incongruité sur l'ordinateur de l'assisté... un programme qui est
indiqué dans msconfig comme présent et lancé au démarrage, mais
dont je ne trouve pas l'exécutable sur le disque dur (en ayant
tout affiché) ni la ligne de lancement dans le registre...
http://cjoint.com/?bpt0wUq5i0
http://cjoint.com/?bpt0IVi7gt
http://cjoint.com/?bpt0T43e6B

Le gestionnaire des tâches de Windows ne le montre pas actif. Un
rapport de HijackThis ne le montre pas actif non plus. Le scan
antivirus ne détecte rien, ni un scan en ligne. Google n'a aucune
information sur le fichier.

Je croyais que msconfig chargeait dynamiquement les informations
quand on le lance (donc s'il est présent dans la fenêtre de
msconfig c'est qu'il est actuellement en service, ce n'est pas un
renseignement qui date de plusieurs mois).

Où ai-je commis une erreur d'interprétation ?

D'avance, merci à ceux qui pourront m'aider à comprendre.


On peut imaginer un rootkit qui masque le fichier. En prise de controle
à distance les possibilités d'approfondir sont limitées. Sur place je
lancerais un bartPE ou autre OS capable d'accèder au disque ou même en
mode sans échec. A distance on peut s'assurer de la non présence d'un
tel fichier en créant un répertoire de même nom dans system32 si la
commande échoue, c'est qu'il y a un fichier caché présent, dans le cas
contraire ça empèchera la création du fichier à la volée.

FDDKDR
Le #1115944
Bonsoir "Ypoons" :D


"Ypoons" a écrit dans le message de groupe de discussion :

Bonjour à tous

Xpost et FU2 microsoft.public.fr.windowsxp

En faisant de l'assistance à distance, j'ai trouvé une incongruité sur
l'ordinateur de l'assisté... un programme qui est indiqué dans msconfig
comme présent et lancé au démarrage, mais dont je ne trouve pas
l'exécutable sur le disque dur (en ayant tout affiché) ni la ligne de
lancement dans le registre...
http://cjoint.com/?bpt0wUq5i0
http://cjoint.com/?bpt0IVi7gt
http://cjoint.com/?bpt0T43e6B

Le gestionnaire des tâches de Windows ne le montre pas actif. Un rapport
de HijackThis ne le montre pas actif non plus. Le scan antivirus ne
détecte rien, ni un scan en ligne. Google n'a aucune information sur le
fichier.

Je croyais que msconfig chargeait dynamiquement les informations quand on
le lance (donc s'il est présent dans la fenêtre de msconfig c'est qu'il
est actuellement en service, ce n'est pas un renseignement qui date de
plusieurs mois).

Où ai-je commis une erreur d'interprétation ?

D'avance, merci à ceux qui pourront m'aider à comprendre.




Certainement le reste d'un programme désinstallé, ou d'un malware
précédemment viré ...
Je ne crois pas que msconfig ne chargent que les infos dynamiquement.
Ce n'est pas la première fois que je trouve des lignes présentes dans cet
onglet alors que le fichier a déjà été supprimé.

Par acquis de conscience, tu as cherché du côté des rootkit ??

Cordialement,

FDDKDR ( :-Fred-: )

Jacquouille la Fripouille
Le #1115943
*Bonjour Ypoons*
Tu as pianoté sur ton clavier dans

Bonjour à tous

Xpost et FU2 microsoft.public.fr.windowsxp

En faisant de l'assistance à distance, j'ai trouvé une
incongruité sur l'ordinateur de l'assisté... un programme qui est
indiqué dans msconfig comme présent et lancé au démarrage, mais
dont je ne trouve pas l'exécutable sur le disque dur (en ayant
tout affiché) ni la ligne de lancement dans le registre...
http://cjoint.com/?bpt0wUq5i0
http://cjoint.com/?bpt0IVi7gt
http://cjoint.com/?bpt0T43e6B

Le gestionnaire des tâches de Windows ne le montre pas actif. Un
rapport de HijackThis ne le montre pas actif non plus. Le scan
antivirus ne détecte rien, ni un scan en ligne. Google n'a aucune
information sur le fichier.

Je croyais que msconfig chargeait dynamiquement les informations
quand on le lance (donc s'il est présent dans la fenêtre de
msconfig c'est qu'il est actuellement en service, ce n'est pas un
renseignement qui date de plusieurs mois).

Où ai-je commis une erreur d'interprétation ?

D'avance, merci à ceux qui pourront m'aider à comprendre.


dccnavvwsw est inconnu de Google. A tout hasard, n'aurais-tu pas
désinstallé Norton Anti Virus ??? (C'est le ..nav.... dans l'intitulé de
l'exécutable qui m'intrigue)
--
Jacquouille la Fripouille

Ypoons
Le #1115800
Salut Gilles


On peut imaginer un rootkit qui masque le fichier.


C'est vrai. Mais est-ce que HijackThis n'aurait pas quand même
montré "quelque chose" ?
Et puis les antivirus commencent à être compétents contre les
rootkits...

En prise de controle
à distance les possibilités d'approfondir sont limitées. Sur place je
lancerais un bartPE ou autre OS capable d'accèder au disque ou même en
mode sans échec.


Solutions pas envisageable pour le moment... :-(

A distance on peut s'assurer de la non présence d'un
tel fichier en créant un répertoire de même nom dans system32 si la
commande échoue, c'est qu'il y a un fichier caché présent, dans le cas
contraire ça empèchera la création du fichier à la volée.


Heu... empêcher ? J'ai déjà vu des avertissements dans des cas
semblables, mais jusqu'à présent il m'a toujours été possible (en
répondant de façon adéquate à l'avertissement) d'avoir un fichier
toto dans un dossier toto.

Nez en moins ;) je tenterai le coup, à la prochaine connexion.

Merci de ta réponse !

Amicalement,


--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever
l'espace)
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !

Ypoons
Le #1115799
Salut Fred


Certainement le reste d'un programme désinstallé, ou d'un malware
précédemment viré ...


J'avais envisagé cette solution, mais il me semble que ces
"restes" ne perdurent pas éternellement (du moins avec cette
incohérence : présent dans msconfig ET dans le registre, je suis
d'accord, mais si pas présent dans le registre...)

Je ne crois pas que msconfig ne chargent que les infos dynamiquement.


Et pourtant... si tu décoches une case dans l'onglet Démarrage,
le système va immédiatement déplacer la valeur de registre de la
clé Run dans la clé HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared
ToolsMSConfigstartupreg ou dans la clé
HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared
ToolsMSConfigstartupfolder
Et au prochain redémarrage, après l'avertissement qui_va_bien (et
si tu veux continuer dans cette configuration) msconfig te montre
bien les valeurs telles que tu les veux (les entrées décochées le
sont toujours).
C'est ça que j'appelle "chargement dynamique" des valeurs.

Ce n'est pas la première fois que je trouve des lignes présentes dans
cet onglet alors que le fichier a déjà été supprimé.


Le fichier, sûrement. Mais l'entrée dans le registre devait
toujours être présente (nettoyage incomplet).

Par acquis de conscience, tu as cherché du côté des rootkit ??


Non. en assistance à distance, c'est pas facile...

Cordialement,

FDDKDR ( :-Fred-: )


Merci pour ta réponse !

Amicalement,


--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever
l'espace)
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !

Ypoons
Le #1115798
Salut Jacquouille

*Bonjour Ypoons*
[...]
dccnavvwsw est inconnu de Google. A tout hasard, n'aurais-tu pas
désinstallé Norton Anti Virus ??? (C'est le ..nav.... dans l'intitulé de
l'exécutable qui m'intrigue)


C'est une piste intéressante... effectivement, NAV (ou NIS) était
fourni en standard, et a été désinstallé.

Mais à l'heure actuelle (et après des recherches superficielles
dans le disque et le système) je n'en ai plus trouvé trace
(excepté... un service qui est encore installé, mais que j'avais
désactivé une fois précédente).

Quelqu'un sait comment on peut faire disparaître complètement les
traces d'un service ? (je parle "au-delà de la désactivation"...
il reste encore des éléments du service dans le système).

Je sais que c'est l'ordre sc.exe qu'il faut utiliser, mais la
syntaxe en est complexe pour moi, et quand j'ai voulu faire des
tests sur ma machine je ne suis jamais arrivé à savoir quel
nom_de_service il fallait rentrer dans la commande (tous les
essais que j'ai faits se sont soldés par des messages d'erreur
concernant le nom_de_service). À quel endroit du disque ou du
registre (ou ailleurs ?) peut-on trouver le nom_de_service à
utiliser ?

À vot' bon coeur ! ;)

Amicalement,

--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever
l'espace)
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !

christelle
Le #1115797
Quelqu'un sait comment on peut faire disparaître complètement les
traces d'un service ? (je parle "au-delà de la désactivation"... il reste
encore des éléments du service dans le système).

Je sais que c'est l'ordre sc.exe qu'il faut utiliser, mais la syntaxe en
est complexe pour moi, et quand j'ai voulu faire des tests sur ma machine
je ne suis jamais arrivé à savoir quel nom_de_service il fallait rentrer
dans la commande (tous les essais que j'ai faits se sont soldés par des
messages d'erreur concernant le nom_de_service). À quel endroit du disque
ou du registre (ou ailleurs ?) peut-on trouver le nom_de_service à
utiliser ?

À vot' bon coeur ! ;)

Amicalement,

Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même seulement
pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever l'espace)
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !



Salut Ypoons,

pour supprimer un service, ouvrir une fenêtre en invite de commande, taper :
sc delete <nom_du_service>
Si ça ne marche pas essayez avec des guillemets "nom_du_service".
Sinon ===> sc delete <nom de l'éxécutable du service>
Pour trouver le nom de l'éxécutable, soit en double cliquant sur le service,
dans services.msc, il y'a le chemin d'accés à l'exe ;
soit dans HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
Voilà...
Au fait super script qui peut peut-être t'aider :
http://www.bellamyjc.org/fr/vbsdownload.html#processpath


Christelle.

Gilles RONSIN
Le #1115658
Ypoons , le mer. 16 janv. 2008 02:00:28, écrivait ceci:

Salut,
On peut imaginer un rootkit qui masque le fichier.


C'est vrai. Mais est-ce que HijackThis n'aurait pas quand même
montré "quelque chose" ?
Et puis les antivirus commencent à être compétents contre les
rootkits...
Le principe du rootkit c'est qu'il cache :-) ... aux requêtes standard

de liste de fichiers... Les applications qui font la requête demandent
à l'OS de lui fournir la liste qui répond à ses critères. Si la
fonction est corrompue la liste sera erronée.

A distance on peut s'assurer de la non présence d'un
tel fichier en créant un répertoire de même nom dans system32 si
la commande échoue, c'est qu'il y a un fichier caché présent,
dans le cas contraire ça empèchera la création du fichier à la
volée.


Heu... empêcher ? J'ai déjà vu des avertissements dans des cas
semblables, mais jusqu'à présent il m'a toujours été possible (en
répondant de façon adéquate à l'avertissement) d'avoir un fichier
toto dans un dossier toto.


non c'est pas ça que je voulais te dire. Si dans le dossier system32 tu
créés un répertoire qui s'appelle "suspect.exe" (avec le suffixe .exe
et non pas "suspect") il est alors impossible qu'une application créée
un fichier de nom suspect.exe. En fonction du message d'erreur tu sais
si le fichier existe mais est caché, si il est créé à la volée pendant
l'initialisation puis supprimé ensuite.


Ypoons
Le #1114666
Salut Gilles


Le principe du rootkit c'est qu'il cache :-) ... aux requêtes standard
de liste de fichiers... Les applications qui font la requête demandent
à l'OS de lui fournir la liste qui répond à ses critères. Si la
fonction est corrompue la liste sera erronée.


OK. Mais quand tu demandes un scan antivirus *minutieux* (c'est à
dire de scanner *tous* les fichiers), est-ce que l'antivirus va
scanner "en hard" le contenu du disque (secteur par secteur), ou
est-ce qu'il scanne les fichiers "dont le nom lui a été transmis
par la FAT/MFT" ?

Heu... empêcher ? J'ai déjà vu des avertissements dans des cas
semblables, mais jusqu'à présent il m'a toujours été possible (en
répondant de façon adéquate à l'avertissement) d'avoir un fichier
toto dans un dossier toto.


non c'est pas ça que je voulais te dire. Si dans le dossier system32 tu
créés un répertoire qui s'appelle "suspect.exe" (avec le suffixe .exe
et non pas "suspect") il est alors impossible qu'une application créée
un fichier de nom suspect.exe. En fonction du message d'erreur tu sais
si le fichier existe mais est caché, si il est créé à la volée pendant
l'initialisation puis supprimé ensuite.


OK. Je tenterai ça lors de la prochaine connexion demandée.
Mais ça ne m'explique pas pourquoi cette entrée est dans msconfig
et pas dans le registre...
Et si "le fichier est créé à la volée pendant l'initialisation
puis supprimé ensuite", y a-t-il un utilitaire qui puisse
recenser (par exemple *dans la RAM*) la liste des applications en
cours d'exécution ? (je suis bien conscient que le Gestionnaire
des tâches a des limitations dans ce domaine...)

Amicalement,

--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever
l'espace)
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !


Ypoons
Le #1114665

Salut Ypoons,

pour supprimer un service, ouvrir une fenêtre en invite de commande, taper :
sc delete <nom_du_service>
Si ça ne marche pas essayez avec des guillemets "nom_du_service".
Sinon ===> sc delete <nom de l'éxécutable du service>
Pour trouver le nom de l'éxécutable, soit en double cliquant sur le service,
dans services.msc, il y'a le chemin d'accés à l'exe ;
soit dans HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
Voilà...
Au fait super script qui peut peut-être t'aider :
http://www.bellamyjc.org/fr/vbsdownload.html#processpath

Christelle.


Merci Christelle

J'essaierai lors de la prochaine assistance à cette personne.
En attendant, je garde précieusement ton "mode opératoire" dans
mes tablettes.

Amicalement,

--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever
l'espace)
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !

Publicité
Poster une réponse
Anonyme