Programmes Pirates?

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Programmes Pirates?

Messagede Denitsen » 16 Juin 2004, 18:20

Bonjour à tous,ce petit topic pour soumettre un probléme à vos avis expert.
Voila j'ai dans mon rep System32 un exe nommé Gcmhkk32.exe accompagné d'un Gcmhkk32.dll.
Je ne sais pas d'ou il vient n'ai pas detecté anormal Avec NAV et AVK et pourtant cet exe me bloque le PC à l'arret et l'empeche de s'eteindre correctement(Figée sur Fermeture et travail important du DD.
Je n'arrive pas à le supprimé de mes fichiers puisqu'il est utilisè par le system et n'apparait pourtant que trés rarement dans les Procesus du Gestionnaire et pour une durée inferieur à 5 s.
Merci de m'apporter tout les renseignements necessaire.
Denitsen
 

Messagede Vazkor » 16 Juin 2004, 18:43

Bonjour,

Ces noms, Gcmhkk32.exe et Gcmhkk32.dll, ont l'air aléatoires.
Ils peuvent avoir été créés par une malfaisance quelconque.

Je te conseille d'essayer un scan avec Spybot, CWShredder et anti-troyen: a² free ou mieux Pest Patrol version d'évaluation.

Bref une partie de la Manip décrite par Pierre http://assiste.com/manip.html

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9805
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Denitsen » 16 Juin 2004, 19:50

Je viens de lancer une detection Spybot mais de toute facons si je ne peux pas le supprimer manuellement est ce que lui le pourra?
Denitsen
 

Messagede Invité » 16 Juin 2004, 20:08

fin de l'analyse:Rien trouvé sur le fichiers Gcmkhh32.exe Par contre il à trouvé quelque chose qui me parait inquietant et non detecté par AdAware et dont voici le resultat:

HotKeysHook: Keylogger library (Fichier, nothing done)
C:\WINDOWS\System32\H@tKeysH@@k.DLL

--- Spybot - Search && Destroy version: 1.3 ---
2004-06-16 Includes\Cookies.sbi
2004-06-16 Includes\Dialer.sbi
2004-06-16 Includes\Hijackers.sbi
2004-06-16 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-06-16 Includes\Malware.sbi
2004-06-16 Includes\Revision.sbi
2004-06-16 Includes\Security.sbi
2004-06-16 Includes\Spybots.sbi
2004-06-16 Includes\Tracks.uti
2004-06-16 Includes\Trojans.sbi

Ce Keylogger est t'il dangereux et envoie t'il ses resultats par eMail?
Merci de me renseigné.
Invité
 

Messagede Vazkor » 16 Juin 2004, 20:41

Bonsoir,

Un keylogger est toujours dangereux par définition.
Tu ne sais pas a priori s'il envoie ses résultats par mail ou s'il attend une connexion de l'extéreur pour envoyer ses résultats.

Tu es relativement protégé si tu as un pare-feu bien paramétré, mais encore...

Je te conseille de désactiver la restauration système, de démarrer en mode sans échec et de relancer SpyBot.

Il faudrait savoir comment cette bestiole a pu s'introduire, donc un test avec Pest Patrol me paraît indiqué.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9805
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede jjcojax » 16 Juin 2004, 20:48

Bonsoir,
Si ton programmes Gcmhkk32.exe n'est pas connu des antivirus ou antispyware, tu peux faire du "self service"

Truc de ceux qui connaisent le registre (via REGEDIT)
allez aux clés
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/run...
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/run...
et si tu vois Gcmhkk32.exe ou .dll tu le supprimes

En général, il reste des entrées dans le registre
-> ou tu cherches dans tout le registre Gcmhkk32
-> ou tu espères qu'un antivirus ou antispyware face le ménage d'içi un mois ou deux

Truc provisoire (et réversible)(pour ceux qui ne touche pas au registre)
Tu commences par le programme "Msconfig" et tu regardes si tu peux décocher le démarrage de ce programme.(si ça marche le programme est désactiver après un restart et tu peux virer (ou déplacer) les fichiers Gcmhkk32.exe et .dll

idem pour C:\WINDOWS\System32\H@tKeysH@@k.DLL

Si tu es curieux, tu as normalement la possibilité de voir les propriétés d'un fichier douteux (version, fabricant,...) et si le fichier est caché et avec des propriétés manquantes c'est presque toujours une saloprie

Bonne chance

jjcojax
jjcojax
 
Messages: 13
Inscription: 28 Mai 2004, 08:47
Localisation: Belgique

Messagede Invité » 16 Juin 2004, 21:21

Non il est introuvable dans le registre,J'ai verifier les chemins indiquées + Les dll et il n'y a aucune trace et pourtant de que j'eteins le systeme ce prog provoque un defaut d'exctinction de windows alors que celui-ci n'est pas chargé en memoire ou du moins,n'apparait pas.
Je tenterais de redemarrer en mode sans echec et je vais chercher le programme indiqué.
En tout les cas je vous remercie pour tout ces conseils et vous tiendrais au courant.
Si d'autres idées vous viennent,n'hesitez pas :)
Invité
 

Messagede Denitsen » 17 Juin 2004, 00:22

Mission Reussie
En Mode sans Echec,Aucun des 3 Spyware que j'ai utilisé ne l'a detecté mais j'ai effectivement pu les supprimer.
Grrr j'aurais du desactiver les services un a un pour savoir lequel me le chargait..non je rigole:)
Mieux vaut Pouvoir que Savoir...
Merci pour votre aide et felicitations pour ce site tres instructifs et bravo pour le forum tres reactif.
A +
P.S. si vous avez du temps à perdre j'ai chargé comme vous le preconiser le fichiers hosts et placé celui-ci dans le rep.....J'ai configuré mon Firewall pour interdire tout acces aux services Microsoft (IE,WMP,svchots)mais pourtant ce dernier utilise quand même 100% du CPU à quoi cela pourrait être du?
Denitsen
 

Messagede Vazkor » 17 Juin 2004, 00:43

Bonjour,

Content pour toi. Il faut maintenant espérer que ces programme et dll ne se réinstallent pas tous seuls.

Pour le svchost, il faut savoir sur c'est un programme qui lance des services. Il peut y en avoir jusque 4 instances visibles dans le gestionnaire de tâches.
Mais c'est anormal que cela prenne 100 % du temps CPU.

Tu devrais penser à désactiver un maximum de services, certains sont probablement activés inutilement.
Une des méthodes les plus simples est d'aller dans le gestionnaire de services via les Outils d'administration et de mettre en manuel tous les services qui sont démarrés.
Aux prochains démarrages, Windows lancera ceux qui sont vraiment nécessaires. Tu pourras donc les remettre en automatique.
Ceux qui n'auraient pas été lancés, peuvent éventuellement être désactivés, après avoir vérifié à quoi ils correspondent.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9805
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede pierre » 17 Juin 2004, 05:48

Bonjour

La désactivation des services est en bonne partie prise en charge par des utilitaires comme Safe XP et XP-Antispy

http://assiste.com.free.fr/p/internet_u ... afe_xp.php
http://assiste.com.free.fr/p/internet_u ... ntispy.php
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26646
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 15 invités