NIRCMD.exe --> Est-ce une attaque?

Le
Mido
Bonjours groupe,

Après une scan en ligne Panda c:windowsNirCmd.exe est apparu comme élément
à désinfecter.

Je l'ai lancé dans Total Uninstall pour connaître son parcours. En viewant
les fichiers tout le long de son parcours, je réalise qu'il accédé aux caches
de Thunderbird et firefox, leurs contenues en paramètre et navigation,
messages reçus, ainsi que le paramétrage de GesWall Modification du
registre, dans system32-->config, driversetc.

Que dois-je en conclure?
Dois le supprimer? Si oui, puisqu'il est également dans "System Volume
Information" comment l'y enlever?

De désinstaller avec Total Uninstall est-ce valable? Si un programme a déjà
été installé, est-ce que de le réinstaller avec TotUn et de le désinstaller
ramènera les paramètres tel qu'ils étaient à sa premières installation, soit
avant TotUn(donc inefficace?) ou si il ramènera les paramètres avant toute
forme d’installation de ce programme(peu probable?)

Merci.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
JF
Le #1184670
*Bonjour Mido* !

Bonjours groupe,

Après une scan en ligne Panda c:windowsNirCmd.exe est apparu comme élément
à désinfecter.

Je l'ai lancé dans Total Uninstall pour connaître son parcours. En viewant
les fichiers tout le long de son parcours, je réalise qu'il accédé aux caches
de Thunderbird et firefox, leurs contenues en paramètre et navigation,
messages reçus, ainsi que le paramétrage de GesWall... Modification du
registre, dans system32-->config, drivers...etc.

Que dois-je en conclure?



NIRCMD est un des excellents exécutables de Nir Sofer :
www.nirsoft.net
www.nirsoft.net/utils
www.nirsoft.net/utils/nircmd.html
www.nirsoft.net/utils/nircmd2.html
www.nirsoft.net/utils/nircmd.zip

Version actuelle = 2.0.0.180
25,5 Ko (26 112 octets)
Modifié le : dimanche 17 juin 2007, 00:11:24

Voir la FAQ au sujet des faux-positifs
http://www.nirsoft.net/faq.html

J'avais utilsé cette commande dans cet article (pour info) :
http://fspsa.free.fr/Presse-Papier_vers_Regedit.htm

Lors de l'exécution de NIRCMD sans argument, il propose d'être copié
dans Windows de façon à être utilisable plus facilement (Path). On peut
procéder autrement...

Kaspersky reste muet à l'analyse (RAS).

Le fichier soumis à l'analyse de www.virustotal.com
donne ce résultat :
www.virustotal.com/fr/resultado.html?db8086a4495baf499d9943c8439b1583





Dois le supprimer?


S'il y a doute, bien sûr que oui. Compare-le avec l'original et
soumet-le à VirusTotal.


Si oui, puisqu'il est également dans "System Volume
Information" comment l'y enlever?


Arrêter le système de restauration. tous les points sont perdus.
NE PAS OUBLIER DE LE REMMETTRE EN ROUTE.


De désinstaller avec Total Uninstall est-ce valable? Si un programme a déjà
été installé, est-ce que de le réinstaller avec TotUn et de le désinstaller
ramènera les paramètres tel qu'ils étaient à sa premières installation, soit
avant TotUn(donc inefficace?) ou si il ramènera les paramètres avant toute
forme d’installation de ce programme(peu probable?)


Dans l'optique où on installe un truc pas sûr, il faut faire surveiller
l'installation par TotalUninstall, sinon le pauvre ne peut pas faire
beaucoup mieux que Ajoiut/Suppresion de Programmes.

NIRCMD n'a pas, comme la plupart des ces utilitaires, d'installation.
Sauf cette proposition de se copier dans Windows pour être utilisable
depuis n'importe où (Path). Que je trouve assez malhabile d'ailleurs.

--
Salutations, Jean-François
Index du site de PN : www.d2i.ch/pn/az
Outlook Express : Suivez vos fils avec [CTL+H]
Montrez-nous ce que vous voyez : http://fspsa.free.fr/copiecran.htm

Mido
Le #1184665

Comment l'effacer?

Arrêter le système de restauration. tous les points sont perdus.
NE PAS OUBLIER DE LE REMMETTRE EN ROUTE.


et puisque
Kaspersky reste muet à l'analyse (RAS).


Comment accéder au "System Volume Information", même désactivé je ne peut y
accéder? Via quel utilitaire puisque mon Kasperky le reconnait pas comme une
menace.

Merci.

JF
Le #1184541
Comment l'effacer?

Arrêter le système de restauration. tous les points sont perdus.
NE PAS OUBLIER DE LE REMMETTRE EN ROUTE.


et puisque
Kaspersky reste muet à l'analyse (RAS).


Comment accéder au "System Volume Information", même désactivé je ne peut y
accéder? Via quel utilitaire puisque mon Kasperky le reconnait pas comme une
menace.

Merci.


C'est un dossier très protégé dans lequel tu ne devrais pas fourrer tes
gros doigts :)
J'ai proposer de le réinitialiser, c'est tout.
Si ton anti-virus ne sait pas faire, tu devrais en utiliser un autre,
ou opérer en mode sans échec.

Le SVI n'est accessible que par SYSTEM.
Pour entrer dans SVI, il faut soit utiliser un navigateur tiers, soit
la Console de Récupération, soit se donner les droits :

Comment faire pour accéder au dossier System Volume Information
http://support.microsoft.com/kb/309531/fr

Accès refusé à un dossier System Volume Information (partition NTFS)
http://www.bellamyjc.org/fr/windowsxp2003.html#svi

Impossibilité d'accéder à certains dossiers ou fichiers
http://www.bellamyjc.org/fr/windowsnt.html#pbaccesfichiers

Rappel : l'onglet sécurité est présent en mode sans échec
ADministrateur. On peut aussi utiliser la commande CACLS.

Une curiosité : on peut partager SVI sur le réseau. Il devient, après
un message d'erreur, accessible au groupe Tout Le Monde (à éviter).

http://fspsa.free.fr/cdr-svi.htm

--
Salutations, Jean-François
Index du site de PN : www.d2i.ch/pn/az
Outlook Express : Suivez vos fils avec [CTL+H]
Montrez-nous ce que vous voyez : http://fspsa.free.fr/copiecran.htm


JF
Le #1184539
J'ai proposer ...
J'ai proposé ...


--
Salutations, Jean-François
Index du site de PN : www.d2i.ch/pn/az
Outlook Express : Suivez vos fils avec [CTL+H]
Montrez-nous ce que vous voyez : http://fspsa.free.fr/copiecran.htm

Mido
Le #1184538

J'ai proposer de le réinitialiser, c'est tout.>



OK, réinitialiser= 0 ou valeur par défaut.
Je viens de constater que leurs volumes sont tous à 0, alors plus besoin de
m'en préocuper!

Hey.. mes doigts y sont pas gros, OK là.:)

Merci JF.


Publicité
Poster une réponse
Anonyme