Une application discrete mais bien presente appelee Win32.exe et cachee par Win32k.exe
12 réponses
Florent Clairambault
Je fais attention à mon ordinateur (mais bon, le reste de ma famille
moins). Il y'a donc que trés rarement des problèmes, à la suite de celui la,
j'ai passé tout le monde en compte invité parce que ça fait froid dans le
dos. Je ne suis pas le genre à alerter les foules pour rien.
J'ai vu dans msconfig, la ligne : C:\win32\dll\win32k.exe -k
C:\win32\dll\win32.exe
je me suis dis : "ca y est, on a un virus". je lance win32k et je vois que
c'est un logiciel permettant de bloquer tout affichage d'un autre programme.
Je lance win32.exe et je m'apperçois que c'est un fichier de l'université de
Stanford qui permet de faire du calcul sur des machines particulières.
J'ouvre le fichier de log :
[lisez bien tout, c'est assez épatant, nottament le logiciel qu'est
téléchargé automatiquement]
Je n'arrive pas à voir dans quel journal d'évènement regarder que
utilisateur a ouvert sa session à quelle heure mais apparement, il
semblerait que ce soit MOI MEME qui ai installé le ce fichier, je regarde
les dates autour de la création du fichier de log est :
* le 14/04/05 à 16:48:01 :
Fermeture de la session utilisateur :
Utilisateur : Florent
Domaine : SAUBER
Id. de la session : (0x0,0x18C87)
Type de session : 4
* le 14/04/05 à 21:29:48 (juste après la fermeture du logiciel)
Fermeture de la session utilisateur :
Utilisateur : Lucie
Domaine : SAUBER
Id. de la session : (0x0,0x38F471)
Type de session : 2
Donc, ce qui est sur c'est que le logiciel s'est lancé pour la première fois
après ma fermeture de session. Par contre, je ne sais pas si c'est moi qui
l'ai installé ou s'il s'est installé à distance. Les dates de création des
fichiers sont 7/05/04 et 17/05/04 pour les deux .EXE, ces dates sont
fausses, je n'avais pas encore l'ordinateur à cette date la. Bref... Si
quelqu'un a une idée...
P.S. : J'ai vu d'autres personnes se plaindrent de ce problème directement
sur le site de l'université, mais bon, apparement, pas de réponse.
Florent
[la date de création est 14/04/05 : 21:28:35 c'est à dire 12 secondes avant
que je ferme ma session, je n'y comprends rien...]
--- Opening Log file [April 14 21:28:16]
# Windows Console Edition
#####################################################
###############################################################################
[21:28:16] - Ask before connecting: No
[21:28:16] - User name: jethroted@yahoo.com (Team 3446)
[21:28:16] - User ID = 1608752511717682
[21:28:16] - Machine ID: 1
[21:28:16]
[21:28:18] Work directory not found. Creating...
[21:28:18] Could not open work queue, generating new queue...
[21:28:18] + Benchmarking ...
[21:28:21] - Preparing to get new work unit...
[21:28:21] + Attempting to get work packet
[21:28:21] - Connecting to assignment server
[21:28:22] - Successful: assigned to (171.64.122.109).
[21:28:22] + News From Folding@Home: Welcome to Folding@Home
[21:28:22] Loaded queue successfully.
[21:28:23] + Closed connections
[21:28:23]
[21:28:23] + Processing work unit
[21:28:23] Core required: FahCore_ff.exe
[21:28:23] Core not found.
[21:28:23] - Core is not present or corrupted.
[21:28:23] - Attempting to download new core...
[21:28:23] + Downloading new core: FahCore_ff.exe
[21:28:24] + 10240 bytes downloaded
[21:28:24] + 20480 bytes downloaded
[21:28:25] + 30720 bytes downloaded
[21:28:25] + 40960 bytes downloaded
[21:28:25] + 43734 bytes downloaded
[21:28:25] Verifying core Core_ff.fah...
[21:28:25] Signature is VALID
[21:28:25]
[21:28:25] Trying to unzip core FahCore_ff.exe
[21:28:25] Decompressed FahCore_ff.exe (77824 bytes) successfully
[21:28:25] + Core successfully engaged
[21:28:30]
[21:28:30] + Processing work unit
[21:28:30] Core required: FahCore_ff.exe
[21:28:30] Core found.
[21:28:30] Working on Unit 01 [April 14 21:28:30]
[21:28:30] + Working ...
[21:28:35] Empty Core
[21:28:35] Version 1.00 (June 7, 2004)
[21:28:37]
[21:28:39] Simply exiting.
[21:28:39]
[21:28:39] Shutdown: INTERRUPTED
[21:28:41] CoreStatus = 66 (102)
[21:28:41] + Shutdown requested by user. Exiting.
Folding@home Client Shutdown.
--- Opening Log file [April 15 10:29:35]
Voici ce que l'application HideItX (Win32k.exe ) montre :
HideItX - Starts, Hides, Shows, and Kills almost any program!
Put a shortcut to HideItX in your startup folder to start everything when
Windows starts. Put a space between the command and the program
info. If you are hiding, showing, or stopping a program, be sure to put
the exact title of the process including upper and lowercase letters.
You can use multiple commands.
Just separate them with a semi-colon (;). See the example below.
If you start HideItX with no flags HideItX will look in the folder it
is running in and try to find the FAH3Console.exe file. If it finds
the file, HideItX will start the FAH3Console.exe with the following flags
and it will hide the console: -local -forceasm -advmethods
This allows you an easy and simple method of starting your FAH client.
Startup Commands :
-start......Starts any listed client. (use full path info)
-startmin...Starts any listed client minimized (use full path info)
-starthide..Starts and hides any listed client. (use full path info)
-hide.......Hides all open listed client windows.
-delete.....Deletes any file. (use full path info)
-stop.......Shuts down all listed clients.
-show.......Shows all listed client windows currently running.
-ontop......Shows the client and makes it the topmost window.
-offtop.....Shows the client and removes topmost status.
-yespill....Restores UD's icon to system tray.
-nopill.....Removes UD's icon from system tray.
-help.......Shows this message box.
-delay......Puts an X second delay before next command is executed.
Examples:
-starthide c:\Program Files\F@H3\FAH3Console.exe
-start c:\Program Files\F@H3\FAH3Console.exe -service -forceasm;-hide
-hide FAH3Console
-delete C:\Program Files\Distributed Folding Project\foldtrajlite.lock
-stop FAH3Console
-delay 5 (puts a 5 second delay between last command and next one)
-nopill (nothing else, UD specific)
-show UD (UD specific)
-hide UD (UD specific)
Example of a Multi-Command line using semi-colon:
-start c:\Program Files\United Devices\ud.exe;-delay 2;-nopill
Si mais ça n'a pas installé de Virus mais un programme pour la recherche...
Mais de toute faon, je crois qu'il s'agit d'une farce d'Adobe Acrobat Reader. C'est ce dont j'ai entendu parlé, et j'ai bien fait une MAJ justement...
Florent "Xavier" a écrit dans le message de news: 1gvhsv7.f8u3j51d00g4qN%
Florent Clairambault wrote:
Je pense que c'est via la faille de Firefox 1.0.2 que je me suis fait prendre. Ca permet de télécharger et executer n'importe quel fichier par simple visualisation d'une page.
Vous n'avez pas d'antivirus à jour ?
XAv -- "Liberté, j'écris ton NON"
Si mais ça n'a pas installé de Virus mais un programme pour la recherche...
Mais de toute faon, je crois qu'il s'agit d'une farce d'Adobe Acrobat
Reader. C'est ce dont j'ai entendu parlé, et j'ai bien fait une MAJ
justement...
Florent
"Xavier" <xavier@groumpf.org> a écrit dans le message de news:
1gvhsv7.f8u3j51d00g4qN%xavier@groumpf.org...
Je pense que c'est via la faille de Firefox 1.0.2 que je me suis fait
prendre. Ca permet de télécharger et executer n'importe quel fichier par
simple visualisation d'une page.
Si mais ça n'a pas installé de Virus mais un programme pour la recherche...
Mais de toute faon, je crois qu'il s'agit d'une farce d'Adobe Acrobat Reader. C'est ce dont j'ai entendu parlé, et j'ai bien fait une MAJ justement...
Florent "Xavier" a écrit dans le message de news: 1gvhsv7.f8u3j51d00g4qN%
Florent Clairambault wrote:
Je pense que c'est via la faille de Firefox 1.0.2 que je me suis fait prendre. Ca permet de télécharger et executer n'importe quel fichier par simple visualisation d'une page.
Vous n'avez pas d'antivirus à jour ?
XAv -- "Liberté, j'écris ton NON"
Florent Clairambault
D'un coté c'est une bonne nouvelle, tu aurais pu tomber sur un programme qui t'éfface tous tes fichiers :/ Un black hat qui aide la recherche scientifique c'est peu commun.
Oui, je suis pas trop mécontent...
Si tu demarres en mode sans échec, peux tu supprimer les 2 applications ?
Même sans, ça marche trés bien... C'est juste désagréable de voir qu'on a une appli qui s'est installé sans qu'on s'en rende compte et qu'on ai fait quelque chose de "mal".
D'un coté c'est une bonne nouvelle, tu aurais pu tomber sur un
programme qui t'éfface tous tes fichiers :/
Un black hat qui aide la recherche scientifique c'est peu commun.
Oui, je suis pas trop mécontent...
Si tu demarres en mode sans échec, peux tu supprimer les 2
applications ?
Même sans, ça marche trés bien... C'est juste désagréable de voir qu'on a
une appli qui s'est installé sans qu'on s'en rende compte et qu'on ai fait
quelque chose de "mal".
D'un coté c'est une bonne nouvelle, tu aurais pu tomber sur un programme qui t'éfface tous tes fichiers :/ Un black hat qui aide la recherche scientifique c'est peu commun.
Oui, je suis pas trop mécontent...
Si tu demarres en mode sans échec, peux tu supprimer les 2 applications ?
Même sans, ça marche trés bien... C'est juste désagréable de voir qu'on a une appli qui s'est installé sans qu'on s'en rende compte et qu'on ai fait quelque chose de "mal".
