Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

A quoi sert le fichier cmd32.exe ?

didmetz

Par didmetz
dans Software

 Partager

Messages recommandés

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Bonsoir à tous. Ce n'est pas un virus mais un trojan (source Sophos) :

 

Troj/Sdbot-GG est un cheval de Troie de porte dérobée qui fonctionne en tâche de fond sous la forme d'un processus de service et qui permet via des canaux IRC un accès distant non autorisé à un ordinateur.

 

Troj/Sdbot-GG se copie dans le dossier système Windows sous le nom CMD32.EXE et, pour s’exécuter au redémarrage du système, crée les entrées de registre aux emplacements suivants :

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Ass and titties

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Ass and titties

 

Troj/Sdbot-GG reste résident, surveillant les commandes provenant des utilisateurs distants. S'il reçoit la commande appropriée, le cheval de Troie tente de se copier sur des partages réseau protégés par des mots de passe faibles.

 

Un nettoyage des clés indiquées et un scan de Spybot devraient en venir à bout.

stin07bis Mega Power Member

stin07bis

Posté(e)
Posté(e)

bonjour à tous...sans contredire, il me semble que la pluspart des sites le decrivent comme "worm"

a voir aussi ces clefs...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run CMD = cmd32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices CMD = cmd32.exe

@+

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Salut Stin. En fait, il y en a plusieurs sous cette appellation et il y a pas mal de clés à vérifier dont celles-ci :

 

"Tanked.11":

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SystemSAS = system32.exe

 

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

SystemSAS = system32.exe

 

"Tanked.13":

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

WinSys = winsys.exe

 

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

WinSys = winsys.exe

 

"Tanked.14":

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

CMD = cmd32.exe

 

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

CMD = cmd32.exe

 

celles que tu cites concerneraient donc le worm Tanked.14. Pourquoi pas lui ?

stin07bis Mega Power Member

stin07bis

Posté(e)
Posté(e)

salut megataupe...au fait, c'est que il y a des opions differentes, et c'est pas facile de reellement savoir lequel de ces clefs sont les bonnes pour enlever ce "cmd32.exe" (j'avais vu pour ces "tanked") hum, cela ne veut pas dire que je ne respecte pas ton point de vu (d'ailleurs je trouve tes interventions très objectifs)...ce sujet à déjà ete traité ici....

http://forum.zebulon.fr/lofiversion/index.php/t54974.html

@+

Invité confidentiels

Invité confidentiels

Posté(e)
Posté(e)

si vous continuez a lui conseiller de supprimer encore des clef , il ne va plus rien lui rester dans son registre ! :P

neos Extrem Member

neos

Posté(e)
Posté(e)

salut

peut etre W32.Kwbot.C.Worm

clique ICI

sinon demarre en mode sans echec

scan avec ton anti-trojan

puis fais un nettoyage de registre

passe un coup de stinger aussi

que tu trouveras ICI

Bonne chance

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...