CDM.exe ET SYSTEM.exe Résolu/Fermé

Question

Details technique sur cdm.exe et system.exe.    À la maison > Sécurité Information > Encyclopédie De Virus > WORM_kwbot.c  WORM_kwbot.c     Vue d'ensemble   Détails Techniques  ---------------------------------------------------------------------------- Charge utile 1 : Sécurité de réseau de compromis  État 1 de déclenchement : Démarrage de Windows  -------------------------------------------------------------------------------- Langue : Anglais  Plateforme : Windows 95, 98, JE, NT, 2000, XP  Taille de virus : 102.092 bytes Découvert : Fév. 18, 2003 Détection disponible : Fév. 18, 2003 --------------------------------------------------------------------------------Installation Lors de l'exécution, ce ver s'enregistre comme processus et laisse tomber une copie de lui-même, avec l'attribut réglé à caché, en tant que l'un ou l'autre:C:\Windows\System\system32.exeouC:\Windows\System\cmd32.exePour permettre son exécution automatique sur chaque démarrage de Windows, il crée l'un ou l'autre des deux ensembles suivants d'entrées d'enregistrement d'autorun, selon le nom de fichier de sa copie laissée tomber:ENSEMBLE 1 (pour le dossier, le system32.exe):HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\RunonceSystemSAS = "system32.exe"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\RunSystemSAS = "system32.exe"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\RunServicesSystemSAS = "system32.exe"HKEY_USERS\.DEFAULT\Software\Microsoft\Windows \CurrentVersion\RunonceSystemSAS = "system32.exe"ENSEMBLE 2 (pour le dossier, le cmd32.exe ):HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\RunonceCMD = "cmd32.exe"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\RunCMD = "cmd32.exe"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\RunServicesCMD = "cmd32.exe"HKEY_USERS\.DEFAULT\Software\Microsoft\Windows \CurrentVersion\RunonceCMD = "cmd32.exe"Ce ver crée également le subkey suivant d'enregistrement:HKEY_Local_Machine\Software\KryptonPropagation De Kazaa Ce ver propage par l'intermédiaire du dossier de pair-à-pair de Kazaa partageant le réseau. Il laisse tomber une copie de lui-même employant n'importe lequel des noms suivants de dossier dans la chemise partagée par dessus de bureau indiquée de médias de KaZaA:ACDSee 5.5.exe6.5.exe Annonce-avertiÂge des empires 2 crack.exeÉcran Animé 7.0b.exeAnno 1503_crack.exeAOL Messenger.exe InstantanéAquaNox2 Crack.exeAudiograbber 2.05.exeBabeFest ScreenSaver 2003 1.5.exeBabylon 3.50b reg_crack.exeBattlefield1942_bloodpatch.exeBattlefield1942_keygen.exeConcepteur De Carte de visite professionnelle De Visite Plus 7.9.exeC&c Generals_crack.exeC&c Renegade_crack.exeCD 5,0,0,3 (crack).exe de cloneClone 5.0.0.3.exe CDHTML Libre 7.0b.exe De Tasse De CaféFrais Éditez Pro v2.55.exeDiablo 2 Crack.exeDirectDVD 5.0.exeType de DirectX (tout le versions).exeDirectX InfoTool.exePaquet Visuel 6.5.exe De DivXAccélérateur De Téléchargement Plus 6.1.exeCopie de DVD Plus v5.0.exeDVD 2.3.exe Région-LibreFIFA2003 crack.exePièce rapportée Finale 1.5.exe De l'Imagination VII XPFente instantanée de MX (trial).exeFlashGet 1.5.exeFreeRAM XP Pro 1.9.exeGetRight 5.0a.exeJoueur Global 3.0.exe De DiVX2 licence.exe gothiquesGta 3 Crack.exePièce rapportée de GTA 3 (aucun cd).exeBibliothèque 5.5.exe De Cordes De GuitareHitman_2_no_cd_crack.exeÉcran Chaud Saver.exe Des Bébés XXXICQ Lite (new).exeICQ Pro 200á.exeICQ pro 2003b (nouveau beta).exeiMesh 3.6.exeiMesh 3.7b (beta).exeIrfanView 4.5.exeEntaille 2.5.0.exe De KaZaAKaZaA Lite (New).exeKaZaA Speedup 3.6.exeJeu 2003 de golf de liens (crack).exeChutes d'eau Vivantes 1.3.exeMafia_crack.exeMatrice Screensaver 1.5.exeMediaPlayer Update.exemIRC 6.40.exemp3Trim PRO 2.5.exeMessager 5.2.exe de MSNNBA2003_crack.exeVitesse crack.exe du besoin 4Nero brûlant ROM crack.exeNetfast 1.8.exeVitesse 2.0.5.exe d'cAdsl du câble e de réseauNeverwinter_Nights_licence.exeNHL 2003 crack.exeNimo CodecPack (nouveau) 8.0.exePalTalk 5.01b.exeDéfenseur 6.5.exe De PopupTaquet Instantané 3.5.exeQuickTime_Pro_Crack.exePublications périodiques 2003 v.8.0 Full.exeSmartFTP 2.0.0.exeSmartRipper v2.7.exeEnvahisseurs 1978.exe De l'EspaceSplinter_Cell_Crack.exeSteinberg_WaveLab_5_crack.exeTrillian 0,85 (free).exeTweakAll 3.8.exeUnreal2_bloodpatch.exeUnreal2_crack.exeUT2003_bloodpatch.exeUT2003_keygen.exeCd d'UT2003_no (crack).exeUT2003_patch.exeWarCraft_3_crack.exeWinamp 3.8.exeWindowBlinds 4.0.exeWinOnCD 4 PE_crack.exeWinZip 9.0b.exeMessager 6.0.exe De YahooZelda 2.00.exe ClassiqueEn laissant tomber une copie de lui-même dans la chemise partagée, il se rend efficacement disponible pour d'autres utilisateurs pour télécharger sur Kazaa.Possibilités secrètes Ce ver a des possibilités secrètes. Il ouvre un port aléatoire sur le système infecté de sorte qu'un utilisateur à distance puisse accéder à la machine. Pour faire ceci, il se relie à l'cIrc et reçoit des commandes d'cIrc par l'intermédiaire de port ouvert de te. Ce ver permet aux utilisateurs à distance de faire plusieurs choses, incluant:Volez l'information de systèmeAméliorez sa copie sur le système infectéInondez le système infecté (démenti de service)Téléchargez et exécutez les dossiersD'Autres Détails Ce ver est écrit et compilé à Microsoft C++ visuel. Il fonctionne sur Windows 95, 98, MOI, NT, 2000, et XP.ENSEMBLE 1 (pour le dossier laissé tomber, system32.exe)T~Drone.11t69 [ sd]v0.5b TankEd.11[ sd]v0.5b TankEd.11 près [ écart-type ]ENSEMBLE 2 (pour le dossier laissé tomber, cmd32.exe)T~Drone.14t69 [ sd]v0.5b TankEd.14[ sd]v0.5b TankEd.14 près [ écart-type ]Description créée: Fév. 20, 2003 Description mise à jour: Juil. 14, 2003 EXtrait de trendmicro  papy

pajero-brian · Answer

En bas de cette page ci dessous,il y a3 antivirus en ligne:http://sebsauvage.net/logiciels/fprot.htmlMoi je choisi d'abord bitdefender qui s'occupe pas mal de ce genre de virus, et ensuite secuser pour confirmer(je les trouve complementaires) Bonne chance   papyDes fois çà malche,des fois çà malche pas, hi hi hi hiDécontlasté,  hi hi hi hi

pajero-brian · Answer

hop,  papyDes fois çà malche,des fois çà malche pas, hi hi hi hiDécontlasté,  hi hi hi hi

pajero-brian · Answer

:-))))))  papyDes fois çà malche,des fois çà malche pas, hi hi hi hiDécontlasté,  hi hi hi hi

pajero-brian · Answer

:-))) pour yinpapyDes fois çà malche,des fois çà malche pas, hi hi hi hiDécontlasté,  hi hi hi hi

pajero-brian · Answer

??  papyDes fois çà malche,des fois çà malche pas, hi hi hi hiDécontlasté,  hi hi hi hi

jojo · Answer

Bijour à toit roi de l'info,je suis mouah aussi infécté par cette saloprie de W32.Kwbot.C.P1 de ...... J ai toutes les étapes  que tu as proscrit une à une et me suis renseigné sur un tas de site et toujours rien sur mon micro.J ai télécharger Antivirus v6 et norton antivirus 2002 et toujours rien.Je désespère, j ai purger ma base de registre, enlever toutes les occurences à "cmd 32" et " system SAS" (que je n ai pas trouver dans la base de registre (HKEY_LOCAL USERS, HKEY LOCAL_MACHINE.......)Par contre j ai un fichier "Shell" qui a une occurence à "CMD32" je l ai supprimer et hop MAGIE, EN TEMPS REEL EN PLUS, apres suppression de celui ci et reboot de la machine CA MARCHE YYYOOOOOUUUPPPPIIIIIIIIIMerci à tous ceux qui contribuent à la "Saineté" des PC de pauv' pitis particulier comme nous ote!!!!!HIPIPE HOURRA HIPIPE HOURRA

pajero-brian · Answer

COOL! :-))  papyDes fois çà malche,des fois çà malche pas, hi hi hi hiDécontlasté,  hi hi hi hi

NiKoAs · Answer

salut j'ai le même problême que tous...le virus ma infecter aussi merci d'avence

pajero-brian · Answer

Dump!!!papyDes fois çà malche,des fois çà malche pas, hi hi hi hiDécontlasté,  hi hi hi hi

frédéric De suisse · Answer

Salut à tous, Je ne sais pas si ca peut vous aider, mais moi aussi j'etais infecté par le ver "W32.Kwbot.C"j'ai fouillé ma base de registre (executer=>regedit)mais j'ai trouvé qu'une valeur chaine comportant le chemin system32.exe, alors j'ai installé norton system works2004 et par miracle il m'a detecté 84 fichiers infectés par "W32.Kwbot.C" Notron a automatiquement tout supprimer, j'ai refait une analyse je ne suis plus contaminé, et surtout au demarrage de windows il n'y a plus de message d'erreur comme quoi il manque system32.exeje tourne sous xp pro mais je pense que celà ne doit changer en rien par rapport à un autre system d'exploitation.si vous désirez savoir ou avoir systemworks 2004 envoyez moi un mail et je vous donne le lien.j'espere que ca a pu vous aidez, bonne journée à tous.-[10:31] [ T o p i c ] : Frédéric C [_¸,."¬=æ¤º²°`¯ ¯`°²º¤æ=¬".,¸. SC.Soit A un succès dans la vie. Alors A=x+y+z où x=travailler, y=s'amuser, z=se taire _¸,."¬=æ¤º²°`¯ ¯`°²º¤æ=¬".,¸.] .

pajero-brian · Answer

:-))Des fois çà malche,des fois çà malche pas, hi hi hi hiDécontlasté,  hi hi hi hi

yann · Answer

Moi aussi infecté par ledit ver, j'ai essayé de suivre les instructions du site, mais toutes les clés que vous demandez de supprimer n'existent pas dans ma base de registreOn fait comment dans ce cas là?????????Merci de me répondre

frédéric de Suisse · Answer

Salut                   il faut que tu installes norton2003 ou 2004 chez moi il a supprimé le ver

pajero-brian · Answer

:-))Des fois çà malche,des fois çà malche pas, hi hi hi hiDécontlasté,  hi hi hi hi

pajero-brian · Answer

?Des fois çà malche,des fois çà malche pas, hi hi hi hiDécontlasté,  hi hi hi hi

pajero-brian · Answer

Des fois çà malche,des fois çà malche pas, hi hi hi hiDécontlasté,  hi hi hi hi

frédéric de suisse · Answer

Ce message est destiné à tous ceux qui m'ont ecrit pour me demander le lien de norton system works pro 2004Ecrivez moi depuis votre client mail,ou donnez moi votre adresse E-mail pour que je vous reponde. Sinon je ne peux deviner votre adresse.-[13:11] [ T o p i c ] : Frédéric C [_¸,."¬=æ¤º²°`¯ ¯`°²º¤æ=¬".,¸. SC.Soit A un succès dans la vie. Alors A=x+y+z où x=travailler, y=s'amuser, z=se taire _¸,."¬=æ¤º²°`¯ ¯`°²º¤æ=¬".,¸.] .

nico · Answer

salut fred mon email est : sgohan6@caramail.com je te remercie de bien vouloir m envoyer le lien.salut.

jamx · Answer

Ces liens sont destinés uniquement à ceux qui ont la licence pour norton systemworks2004pro fr, les autres passés votre chemin car vous n'avez pas le droit de telecharger ce soft sans avoir de licence!http://www.coolghost.fr.fm/Rubrique Protection (anti-virus)JE LE REPETE ENCORE UNE FOIS,VOUS DEVEZ AVOIR LA LICENCE DE NORTON SYSTEMWORKS2004PRO FR POUR TELECHARGER CE SOFT-[22:38] [ T o p i c ] : Frédéric C [_¸,."¬=æ¤º²°`¯ ¯`°²º¤æ=¬".,¸. SC.Soit A un succès dans la vie. Alors A=x+y+z où x=travailler, y=s'amuser, z=se taire _¸,."¬=æ¤º²°`¯ ¯`°²º¤æ=¬".,¸.] .

SAKO · Answer

Merci pour les infos techniques pajero-brian! C'est comme çà que j'ai reconnu un hote indésirable sur mon PChttp://www.commentcamarche.net/forum/affich-534309-Virus-ou-trojan-que-r%E9calcitrantJ'ai pourtant suivis vos sages conseils avec tous ces supers logiciels indiqués...mais il est toujours téléchargé sur mon PC!!j'espere qu'il ne mute pas comme le virus du poulet?!

Julie · Answer

je cherche un crack pour acdsee version 6.0 car il ne veut pas fonctionner sur ma version de weindows qui est la version 98/2 merci d'avance si vous savez ou je px la trouver

CDM.exe ET SYSTEM.exe

21 réponses

Discussions similaires