Assiste.Forums

[Vazkor]

Bonjour,

Pour les assistants bénévoles,

Plutôt que de signaler toujours les mêmes trucs inutiles à fixer dans les clés Run et le dossier Startup, je pense qu'il serait bon de rassembler ici nos remarques pour nous éviter de toujours répéter la même chose.
Il sera plus simple de renvoyer les membres à ce premier message du post, que les modérateurs pourront éditer.

Pour les membres et invités, postez un message dans ce post et nous ajouterons vos remarques, si elles sont pertinentes.

Voilà une série de clés Run de la BDR et de lignes Startup que vous devriez fixer pour donner de l'air à votre Windows.
Je vous conseille les fixer à moins que vous n'en ayez vraiment l'utilité en permanence.
C'est votre PC et c'est vous qui avez installé vos programmes (en principe). Vous êtes donc mieux placés que nous pour savoir ce qui vous est vraiment utile. Ce ne sont donc que des conseils.

Vérifier au moyen de la liste de Pacman ( http://assiste.com.free.fr/p/pacman/lis ... ameset.php )

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart Rem 1
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background Rem 1
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" Rem 1
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re*****\bin\jusched.exe Rem 2 et 4
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe Rappel pour enregistrer les cartes Creative Labs SoundBlaster Live!
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe En relation avec un logiciel du FAI Wanadoo - non nécessaire - voir ici comment le contourner: http://www.faqoe.com/index.php?bas=/connexionmanel.htm
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE Contrôleur de modem ADSL par Eicon Networks (utilisé par BT pour son service internet Broadband par exemple). Peut être désactivé en toute sécurité sans affecter la connexion - tout ce qu'il fait est de donner une indication de connectivité et un accès aux moyens de diagnostic

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE Rem 3
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE Rem 3
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

Remarques:
1. Inutile au démarrage, puisque vous pouvez lancer ce programme manuellement quand vous en avez besoin.

2. Les mises à jour (rarement urgentes) de la machine Java de Sun ont lieu une fois tous les trois mois. C'est pas la peine de laisser Windows aller vérifier tous les jours. Allez de temps en temps dans le panneau de configuration, cliquez sur l'icône à la tasse de café et lancez l'update depuis là.

3. OSA*.exe charge au démarrage un tas de dll en mémoire pour le cas où vous utiliseriez un programme de MS Office.
Si comme moi, vous utilisez rarement Office, c'est parfaitement inutile et ne sert qu'à bouffer inutilement des ressources système. A virer sans hésiter de même que FindFast.exe, qui lui indexe en permanence les documents pour vous aider à les retrouver plus rapidement. Personnellement j'ai supprimé froidement ces deux crampons de mon système pour les empêcher définitivement de se réinstaller derrière mon dos.

4. Pour les updates, toujours préférer les mises à jour manuelles, sauf pour votre antivirus et les autres programmes de sécurité, pour autant qu'il s'agisse de sites en qui vous avez une confiance absolue.

Merci aux contributeurs de signaler d'autres lignes fréquentes dans les rapport HJT à ajouter ici et toutes les suggestions sont les bienvenues

A suivre...

@+

[Vazkor]

Merci, ô vénérable dieu des Amazones,

Je compilerai tout cela de temps en temps et je l'ajouterai à la liste des choses inutiles.

J'effacerai ensuite vos messages, pour garder à ce post une taille raisonnable.

@+

[nickW]

Bonsoir,

Il y a une nouvelle version de la liste des startups de Pacman en français en téléchargement (6153 éléments).

Cette liste vous permet de voir l'utilité, l'inutilité, la dangerosité de chaque élément O4 d'un log HijackThis (programmes à exécuter ou non au démarrage).

Salut,

[Vazkor]

Salut,

Moi, je viens de m'intéresser aux saloperies avec nom aléatoire, que l'on a une petite chance de reconnaître.

Sur la page de PacMan http://www.sysinfo.org/startupinfo.html
Il y a un paragraphe intéressant Random startup entry/filename malware sur ces programmes à nom aléatoire ou pseudo-aléatoire, qu'il est forcément difficile d'identifier sinon par leur signature MD5. Trouver des infos sur ceux-ci sur Google relève purement d'un coup de chance.

42 agents sont identifiés actuellement! Seuls quelques schémas peuvent être reconnus. Mais c'est le caractère (pseudo-)aléatoire des noms qui doit vous mettre la puce à l'oreille.

1. PE_BISTRO - adds "XXXX"="C:\WINDOWS\XXXX.EXE" - where XXXX is the randomly chosen filename of the dropped file
¤ A-t-il toujours 4 caractères? Cela semble vérifié.
http://www.trendmicro.com/vinfo/virusen ... RO&VSect=T
8. LORAC - adds "(four random characters)"="%Sysdir%\abcdef.exe"
¤ 4 caractères et abcdef.exe
http://securityresponse.symantec.com/av ... lorac.html
14. WANADO or REUR - adds "XXXXXXXX"="%Sysdir%\XXXXXXXX.exe" where X can be any random hexadecimal (0-9, A-F) number
¤ Nombre de caractères hexadécimaux. Est-il toujours de huit?
http://securityresponse.symantec.com/av ... anado.html
http://securityresponse.symantec.com/av ... .reur.html (pratiquement le même texte)
15. SINCOM - adds random name and filename in C:\Windows or C:\Winnt with "Run:Auto" appended to the command/data column entry
¤ Spécial
http://securityresponse.symantec.com/av ... incom.html
17. BRANCOS.C - adds "win_(4 random characters)(4 random numbers 0-9)"="%System%\SYS_386X\(4 random characters)(4 random numbers 0-9).exe"
¤ Spécial comme schéma.
http://securityresponse.symantec.com/av ... cos.c.html
19. COREFLOO-C - adds "(random filename)"="rundll32 %SYSTEM% (random filename).dll,Init 1"
¤ Il s'agit d'une dll
http://www.sophos.com/virusinfo/analyse ... flooc.html
20. (random digits).exe = (random digits).exe - 8 random digits, example: 77231997.exe = 77231997.exe. Winpup.exe adult content downloader
¤ Huit chiffres aléatoires.exe
25. MYDOOM.F or MYDOOM.G or MYDOOM.H - adds "(4 to 8 random, lowercase letters)"="(worm filename)"
¤ 4 à 8 lettres minuscules aléatoires, d'abord
http://securityresponse.symantec.com/av ... .f@mm.html
http://securityresponse.symantec.com/av ... .g@mm.html
http://securityresponse.symantec.com/av ... .h@mm.html
37. AGENT.B - adds "(1-5 random characters)"="RUNDLL32 %System%\(DLL filename).dll,StreamingDeviceSetup"
¤ plutôt spécial
http://securityresponse.symantec.com/av ... ent.b.html
Utilise le trick AppInit_DLLs Etape douze de la Manip
http://assiste.com.free.fr/p/pages_dive ... pInit_DLLs
41. KETCH - adds "(word)"="%System%\(word)(number).exe"
¤ Spécial.
http://securityresponse.symantec.com/av ... ketch.html

@+

[FoxLeRenard]

Petite précision sur cftmon.exe

La désactivation de "ctmon.exe " depuis le gestionnaire de taches de Windows reste possible , mais cela s'étend jusqu'a la fin de la session courrante.

Pour empécher le lancement de ce service la prochaine fois que vous démarrez votre PC ,
localisez une option de configuration située dans la fenétre " Options Régionnales et Linguistiques "
du panneau de configuration. Sélectionnez l'onglet " Langues " , cliquez sur le bouton " Détails
et sur le bouton " Barre de langue " . Dans la fenétre de paramétrage de la barre de langue ,
cochez la case " Arréter les services de texte avancés " puis cliquez sur OK .

[nickW]

Bonsoir,

Il suffit de regarder dans la liste des startups selon Pacman ICI et de suivre le lien "Pour plus d'informations sur ctfmon voir ici", et tout est expliqué par Microsoft pour toutes les versions de Windows

Salut,