[Résolu] sethc.exe

[TA-K-2-PT]

Salut,

 

j'ai eu un pop up de SSM où il me disait que winlogon voulait lancer sethc.exe .

Bon réflexe je sait pas ce que c'est je bloque.

Petite recherche a droite a gauche , et je vous que ça peut être utilisé pour un test de pénétration.Bon..du coup petite recherche sur le disk, je trouve deux emplacements, un a priori normal dans system32.

Et un autre dans : WINDOWS\SoftwareDistribution\Download\71fa8e4b1f1c72b0e3a5d30a0a049f55\backup

 

Bon petit scan des 2 avec antivir puis sur Virus total.Pas de problème, c'est déjà une bonne nouvelle.

 

Tout ça m'amène a quelques questions :

 

1. Comment savoir si sethc.exe est légitime ou pas ?

 

2. A quoi ça sert ce truc ? j'ai cherché j'ai pas trouvé d'explication vraiment convaincantes.

 

3. le chemin \WINDOWS\SoftwareDistribution\Download\71fa8e4b1f1c72b0e3a5d30a0a049f55\backup

il correspond a quoi , car j'y retrouve ce qu'il y a dans system32 cmd.exe, regedit.exe ect ect...

 

Et est ce que je peut supprimer soit le répertoire SoftwareDistribution , soit sont contenu ?

 

Voila merci bien.

 

A+

Modifié le 8 avril 2009 par TA-K-2-PT

[Falkra]

Bonjour TA-K-2-PT,

 

\WINDOWS\SoftwareDistribution sert à windows à stocker les fichiers qu'il télécharge lors de mises à jour.

 

Sethc.exe vient bien de microsoft, tu es sous Vista ? C'est un exécutable pour les touches rémanentes, mais comme souvent, taxé de backdoor, enfin plus ou moins.

Voir ici, par exemple : http://www.computerdefense.org/2007/03/13/...-keys-backdoor/ (et lien McAfee donné).

Tu peux le bloquer a priori, ça ne devrait pas empêcher windows de tourner.

 

Tu peux utiliser PureRa pour nettoyer le dossier (sans virer quoi que ce soit de vital).

Page officielle :

http://raproducts.org/purera.html

 

 

Petit test :

http://www.libellules.ch/dotclear/index.ph...08/10/27/PureRa

[TA-K-2-PT]

lu falkra,

 

effectivement je comprend mieux ce qui c'est passé, je joué a HL2 et j'utilise très souvent Shift quand je joue.C'est ça qui a du déclencher le truc.

 

Sinon merci pour PureRa j'ai lu vite fait les liens ça a l'air bien pratique ce truc, je regarderai de plus prêt un peu plus tard.

 

Quand a sethc j'ai lu les 2 articles (McAfee et l'autre), très intéressant et assez hallucinant.Comme quoi un petit David malin, gagnera toujours face a un gros Goliath bien c**.

 

Sinon je suis sous XP, d'ailleurs le fait que Vista soit un peu plus précautionneux avec sethc, en fait le 1er bon point que je lit sur cet OS.

Mais bon après j'ai pas non plus creuser a fond le truc.

 

Merci a toi.

 

A+

[Falkra]

C'est ça.

Shift 5 fois déclenche les touches rémanentes, par contre dans le panneau de configuration, accessibilité, tu peux désactiver tout ça (vois dans paramètres, car la combinaison peut être active même si la case n'est pas cochée !). Il suffit de faire le test en appuyant 5 fois sur shift.

 

Je te fais une copie d'écran si tu veux.

[TA-K-2-PT]

bah apparement c'est désactivé, car lorsque j'appuie 5 fois sur Shift rien ne se passe.

Dans panneau de config , la case est décochée, et j'ai aussi bloqué sethc via SSM.

 

Cela dit si les touches rémanentes sont activées, le processus sethc devrait être visible dans le gestionnaire de taches (si on la pas modifié etc ect ..).

 

Donc a priori c'est assez facile de vérifier si le truc tourne ou pas.