cmd32 sto infame

ToniC10 · 22-05-2003, 21:09

ciao a tutti ho un piccolo problemino con questo worm ( credo )

il mio sistema op è Wim 2000 e ho installato come protez. i seg. programmi AVG come antivirus e Anti trojan 5.5

il bello che ogni volta che faccio partire il mio sistema operativo win mi comunic. che ..... CMD32.exe non caricato con il solito mess. d errore

ho fatto la scan. sia con l anti troyan e AVG ma non l ho trovano... sto infame

dalla piccola ricerca che ho fatto mi sembra che sia un worm

ora come faccio a toglierlo e a non ricevere piu il solito mes. d errore

aiuto

TX per l aiuto

darkchild · 22-05-2003, 22:36

Beh....sembra che il sistema non lo trovi quando cerca di caricarlo...quindi prob il file è stato rimosso....magari l'antivirus l'ha messo in quarantena....
Prova a vedere se nel registro hai queste chiavi
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]CMD = cmd32.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
CMD = cmd32.exe

Se ci sono eliminale

ToniC10 · 22-05-2003, 23:58

ciao darkchild

ho trovato la seconda string. e l ho eliminata ma il problema persiste

aiutooo

darkchild · 23-05-2003, 10:51

Prova a vedere qui
http://securityresponse.symantec.com/avcenter/venc/data/pf/w32.kwbot.c.worm.html

ToniC10 · 23-05-2003, 14:07

ciao darkchild ho dato un oc. a quel sito che mi hai seg. ma non so cosa fare

scusami ma per mè l inglese è aramaico

mi spieg. di preciso cosa devo fare TX

darkchild · 24-05-2003, 09:26

Allora...devi paritire in modalità provvisoria e fare una scansione completa del sistema con l'antivirus...
Poi devi cancellare o modificare tutti quei valori nel registro (previo back-up del registro stesso per evitare prob)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
In queste 3 chiavi devi cercare ed eliminare le voci
SystemSAS system32.exe
CMD cmd32.exe

Cercare ed eliminare questa chiave
HKEY_Local_Machine\Software\Krypton,

Cercare questa chiave (se c'è)
HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Nel pannello a destra di regedit fai doppio click sulla voce Shell
Dovrebbe esserci solo la voce Explorer.exe

Cerca le chiavi
HKEY_Current_User\Software\Kazaa\LocalContent
HKEY_Current_User\Software\iMesh\Client\LocalContent
Nel pannello di destra cancella le stringhe che hanno un riferimento a cartelle del tipo
C:\%Windir%\UserTemp
o C:\%Windir%\User32 folders

Spero possa aiutarti...
Ciao

ToniC10 · 24-05-2003, 22:52

TX darkchild

ho fatto tutto quello che mi hai sritto

sembra che si sia risolto tutto

anche... se non ho trovato una HKEY

la cosa importante

che ora sia tornato tutto alla normalità

txxx

22-05-2003, 21:09	#1
ToniC10 Member Iscritto dal: Feb 2003 Messaggi: 189	cmd32 sto infame ciao a tutti ho un piccolo problemino con questo worm ( credo ) il mio sistema op è Wim 2000 e ho installato come protez. i seg. programmi AVG come antivirus e Anti trojan 5.5 il bello che ogni volta che faccio partire il mio sistema operativo win mi comunic. che ..... CMD32.exe non caricato con il solito mess. d errore ho fatto la scan. sia con l anti troyan e AVG ma non l ho trovano... sto infame dalla piccola ricerca che ho fatto mi sembra che sia un worm ora come faccio a toglierlo e a non ricevere piu il solito mes. d errore aiuto TX per l aiuto

22-05-2003, 22:36	#2
darkchild Member Iscritto dal: Jan 2003 Messaggi: 99	Beh....sembra che il sistema non lo trovi quando cerca di caricarlo...quindi prob il file è stato rimosso....magari l'antivirus l'ha messo in quarantena.... Prova a vedere se nel registro hai queste chiavi [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]CMD = cmd32.exe [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] CMD = cmd32.exe Se ci sono eliminale

22-05-2003, 23:58	#3
ToniC10 Member Iscritto dal: Feb 2003 Messaggi: 189	ciao darkchild ho trovato la seconda string. e l ho eliminata ma il problema persiste aiutooo

23-05-2003, 10:51	#4
darkchild Member Iscritto dal: Jan 2003 Messaggi: 99	Prova a vedere qui http://securityresponse.symantec.com/avcenter/venc/data/pf/w32.kwbot.c.worm.html

23-05-2003, 14:07	#5
ToniC10 Member Iscritto dal: Feb 2003 Messaggi: 189	ciao darkchild ho dato un oc. a quel sito che mi hai seg. ma non so cosa fare scusami ma per mè l inglese è aramaico mi spieg. di preciso cosa devo fare TX

24-05-2003, 09:26	#6
darkchild Member Iscritto dal: Jan 2003 Messaggi: 99	Allora...devi paritire in modalità provvisoria e fare una scansione completa del sistema con l'antivirus... Poi devi cancellare o modificare tutti quei valori nel registro (previo back-up del registro stesso per evitare prob) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce In queste 3 chiavi devi cercare ed eliminare le voci SystemSAS system32.exe CMD cmd32.exe Cercare ed eliminare questa chiave HKEY_Local_Machine\Software\Krypton, Cercare questa chiave (se c'è) HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Nel pannello a destra di regedit fai doppio click sulla voce Shell Dovrebbe esserci solo la voce Explorer.exe Cerca le chiavi HKEY_Current_User\Software\Kazaa\LocalContent HKEY_Current_User\Software\iMesh\Client\LocalContent Nel pannello di destra cancella le stringhe che hanno un riferimento a cartelle del tipo C:\%Windir%\UserTemp o C:\%Windir%\User32 folders Spero possa aiutarti... Ciao

24-05-2003, 22:52	#7
ToniC10 Member Iscritto dal: Feb 2003 Messaggi: 189	TX darkchild ho fatto tutto quello che mi hai sritto sembra che si sia risolto tutto anche... se non ho trovato una HKEY la cosa importante che ora sia tornato tutto alla normalità txxx

Strumenti
Mostra una versione stampabile Invia questa pagina per email