Après une scan en ligne Panda c:\windows\NirCmd.exe est apparu comme élément
à désinfecter.
Je l'ai lancé dans Total Uninstall pour connaître son parcours. En viewant
les fichiers tout le long de son parcours, je réalise qu'il accédé aux caches
de Thunderbird et firefox, leurs contenues en paramètre et navigation,
messages reçus, ainsi que le paramétrage de GesWall... Modification du
registre, dans system32-->config, drivers...etc.
Que dois-je en conclure?
Dois le supprimer? Si oui, puisqu'il est également dans "System Volume
Information" comment l'y enlever?
De désinstaller avec Total Uninstall est-ce valable? Si un programme a déjà
été installé, est-ce que de le réinstaller avec TotUn et de le désinstaller
ramènera les paramètres tel qu'ils étaient à sa premières installation, soit
avant TotUn(donc inefficace?) ou si il ramènera les paramètres avant toute
forme d’installation de ce programme(peu probable?)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
JF
*Bonjour Mido* ! <news:
Bonjours groupe,
Après une scan en ligne Panda c:windowsNirCmd.exe est apparu comme élément à désinfecter.
Je l'ai lancé dans Total Uninstall pour connaître son parcours. En viewant les fichiers tout le long de son parcours, je réalise qu'il accédé aux caches de Thunderbird et firefox, leurs contenues en paramètre et navigation, messages reçus, ainsi que le paramétrage de GesWall... Modification du registre, dans system32-->config, drivers...etc.
Que dois-je en conclure?
NIRCMD est un des excellents exécutables de Nir Sofer : www.nirsoft.net www.nirsoft.net/utils www.nirsoft.net/utils/nircmd.html www.nirsoft.net/utils/nircmd2.html www.nirsoft.net/utils/nircmd.zip
Version actuelle = 2.0.0.180 25,5 Ko (26 112 octets) Modifié le : dimanche 17 juin 2007, 00:11:24
Voir la FAQ au sujet des faux-positifs http://www.nirsoft.net/faq.html
J'avais utilsé cette commande dans cet article (pour info) : http://fspsa.free.fr/Presse-Papier_vers_Regedit.htm
Lors de l'exécution de NIRCMD sans argument, il propose d'être copié dans Windows de façon à être utilisable plus facilement (Path). On peut procéder autrement...
Kaspersky reste muet à l'analyse (RAS).
Le fichier soumis à l'analyse de www.virustotal.com donne ce résultat : www.virustotal.com/fr/resultado.html?db8086a4495baf499d9943c8439b1583
Dois le supprimer?
S'il y a doute, bien sûr que oui. Compare-le avec l'original et soumet-le à VirusTotal.
Si oui, puisqu'il est également dans "System Volume Information" comment l'y enlever?
Arrêter le système de restauration. tous les points sont perdus. NE PAS OUBLIER DE LE REMMETTRE EN ROUTE.
De désinstaller avec Total Uninstall est-ce valable? Si un programme a déjà été installé, est-ce que de le réinstaller avec TotUn et de le désinstaller ramènera les paramètres tel qu'ils étaient à sa premières installation, soit avant TotUn(donc inefficace?) ou si il ramènera les paramètres avant toute forme d’installation de ce programme(peu probable?)
Dans l'optique où on installe un truc pas sûr, il faut faire surveiller l'installation par TotalUninstall, sinon le pauvre ne peut pas faire beaucoup mieux que Ajoiut/Suppresion de Programmes.
NIRCMD n'a pas, comme la plupart des ces utilitaires, d'installation. Sauf cette proposition de se copier dans Windows pour être utilisable depuis n'importe où (Path). Que je trouve assez malhabile d'ailleurs.
-- Salutations, Jean-François Index du site de PN : www.d2i.ch/pn/az Outlook Express : Suivez vos fils avec [CTL+H] Montrez-nous ce que vous voyez : http://fspsa.free.fr/copiecran.htm
Après une scan en ligne Panda c:windowsNirCmd.exe est apparu comme élément
à désinfecter.
Je l'ai lancé dans Total Uninstall pour connaître son parcours. En viewant
les fichiers tout le long de son parcours, je réalise qu'il accédé aux caches
de Thunderbird et firefox, leurs contenues en paramètre et navigation,
messages reçus, ainsi que le paramétrage de GesWall... Modification du
registre, dans system32-->config, drivers...etc.
Que dois-je en conclure?
NIRCMD est un des excellents exécutables de Nir Sofer :
www.nirsoft.net
www.nirsoft.net/utils
www.nirsoft.net/utils/nircmd.html
www.nirsoft.net/utils/nircmd2.html
www.nirsoft.net/utils/nircmd.zip
Version actuelle = 2.0.0.180
25,5 Ko (26 112 octets)
Modifié le : dimanche 17 juin 2007, 00:11:24
Voir la FAQ au sujet des faux-positifs
http://www.nirsoft.net/faq.html
J'avais utilsé cette commande dans cet article (pour info) :
http://fspsa.free.fr/Presse-Papier_vers_Regedit.htm
Lors de l'exécution de NIRCMD sans argument, il propose d'être copié
dans Windows de façon à être utilisable plus facilement (Path). On peut
procéder autrement...
Kaspersky reste muet à l'analyse (RAS).
Le fichier soumis à l'analyse de www.virustotal.com
donne ce résultat :
www.virustotal.com/fr/resultado.html?db8086a4495baf499d9943c8439b1583
Dois le supprimer?
S'il y a doute, bien sûr que oui. Compare-le avec l'original et
soumet-le à VirusTotal.
Si oui, puisqu'il est également dans "System Volume
Information" comment l'y enlever?
Arrêter le système de restauration. tous les points sont perdus.
NE PAS OUBLIER DE LE REMMETTRE EN ROUTE.
De désinstaller avec Total Uninstall est-ce valable? Si un programme a déjà
été installé, est-ce que de le réinstaller avec TotUn et de le désinstaller
ramènera les paramètres tel qu'ils étaient à sa premières installation, soit
avant TotUn(donc inefficace?) ou si il ramènera les paramètres avant toute
forme d’installation de ce programme(peu probable?)
Dans l'optique où on installe un truc pas sûr, il faut faire surveiller
l'installation par TotalUninstall, sinon le pauvre ne peut pas faire
beaucoup mieux que Ajoiut/Suppresion de Programmes.
NIRCMD n'a pas, comme la plupart des ces utilitaires, d'installation.
Sauf cette proposition de se copier dans Windows pour être utilisable
depuis n'importe où (Path). Que je trouve assez malhabile d'ailleurs.
--
Salutations, Jean-François
Index du site de PN : www.d2i.ch/pn/az
Outlook Express : Suivez vos fils avec [CTL+H]
Montrez-nous ce que vous voyez : http://fspsa.free.fr/copiecran.htm
Après une scan en ligne Panda c:windowsNirCmd.exe est apparu comme élément à désinfecter.
Je l'ai lancé dans Total Uninstall pour connaître son parcours. En viewant les fichiers tout le long de son parcours, je réalise qu'il accédé aux caches de Thunderbird et firefox, leurs contenues en paramètre et navigation, messages reçus, ainsi que le paramétrage de GesWall... Modification du registre, dans system32-->config, drivers...etc.
Que dois-je en conclure?
NIRCMD est un des excellents exécutables de Nir Sofer : www.nirsoft.net www.nirsoft.net/utils www.nirsoft.net/utils/nircmd.html www.nirsoft.net/utils/nircmd2.html www.nirsoft.net/utils/nircmd.zip
Version actuelle = 2.0.0.180 25,5 Ko (26 112 octets) Modifié le : dimanche 17 juin 2007, 00:11:24
Voir la FAQ au sujet des faux-positifs http://www.nirsoft.net/faq.html
J'avais utilsé cette commande dans cet article (pour info) : http://fspsa.free.fr/Presse-Papier_vers_Regedit.htm
Lors de l'exécution de NIRCMD sans argument, il propose d'être copié dans Windows de façon à être utilisable plus facilement (Path). On peut procéder autrement...
Kaspersky reste muet à l'analyse (RAS).
Le fichier soumis à l'analyse de www.virustotal.com donne ce résultat : www.virustotal.com/fr/resultado.html?db8086a4495baf499d9943c8439b1583
Dois le supprimer?
S'il y a doute, bien sûr que oui. Compare-le avec l'original et soumet-le à VirusTotal.
Si oui, puisqu'il est également dans "System Volume Information" comment l'y enlever?
Arrêter le système de restauration. tous les points sont perdus. NE PAS OUBLIER DE LE REMMETTRE EN ROUTE.
De désinstaller avec Total Uninstall est-ce valable? Si un programme a déjà été installé, est-ce que de le réinstaller avec TotUn et de le désinstaller ramènera les paramètres tel qu'ils étaient à sa premières installation, soit avant TotUn(donc inefficace?) ou si il ramènera les paramètres avant toute forme d’installation de ce programme(peu probable?)
Dans l'optique où on installe un truc pas sûr, il faut faire surveiller l'installation par TotalUninstall, sinon le pauvre ne peut pas faire beaucoup mieux que Ajoiut/Suppresion de Programmes.
NIRCMD n'a pas, comme la plupart des ces utilitaires, d'installation. Sauf cette proposition de se copier dans Windows pour être utilisable depuis n'importe où (Path). Que je trouve assez malhabile d'ailleurs.
-- Salutations, Jean-François Index du site de PN : www.d2i.ch/pn/az Outlook Express : Suivez vos fils avec [CTL+H] Montrez-nous ce que vous voyez : http://fspsa.free.fr/copiecran.htm
Mido
Comment l'effacer?
Arrêter le système de restauration. tous les points sont perdus. NE PAS OUBLIER DE LE REMMETTRE EN ROUTE.
et puisque
Kaspersky reste muet à l'analyse (RAS).
Comment accéder au "System Volume Information", même désactivé je ne peut y accéder? Via quel utilitaire puisque mon Kasperky le reconnait pas comme une menace.
Merci.
Comment l'effacer?
Arrêter le système de restauration. tous les points sont perdus.
NE PAS OUBLIER DE LE REMMETTRE EN ROUTE.
et puisque
Kaspersky reste muet à l'analyse (RAS).
Comment accéder au "System Volume Information", même désactivé je ne peut y
accéder? Via quel utilitaire puisque mon Kasperky le reconnait pas comme une
menace.
Arrêter le système de restauration. tous les points sont perdus. NE PAS OUBLIER DE LE REMMETTRE EN ROUTE.
et puisque
Kaspersky reste muet à l'analyse (RAS).
Comment accéder au "System Volume Information", même désactivé je ne peut y accéder? Via quel utilitaire puisque mon Kasperky le reconnait pas comme une menace.
Merci.
JF
Comment l'effacer?
Arrêter le système de restauration. tous les points sont perdus. NE PAS OUBLIER DE LE REMMETTRE EN ROUTE.
et puisque
Kaspersky reste muet à l'analyse (RAS).
Comment accéder au "System Volume Information", même désactivé je ne peut y accéder? Via quel utilitaire puisque mon Kasperky le reconnait pas comme une menace.
Merci.
C'est un dossier très protégé dans lequel tu ne devrais pas fourrer tes gros doigts :) J'ai proposer de le réinitialiser, c'est tout. Si ton anti-virus ne sait pas faire, tu devrais en utiliser un autre, ou opérer en mode sans échec.
Le SVI n'est accessible que par SYSTEM. Pour entrer dans SVI, il faut soit utiliser un navigateur tiers, soit la Console de Récupération, soit se donner les droits :
Comment faire pour accéder au dossier System Volume Information http://support.microsoft.com/kb/309531/fr
Accès refusé à un dossier System Volume Information (partition NTFS) http://www.bellamyjc.org/fr/windowsxp2003.html#svi
Impossibilité d'accéder à certains dossiers ou fichiers http://www.bellamyjc.org/fr/windowsnt.html#pbaccesfichiers
Rappel : l'onglet sécurité est présent en mode sans échec ADministrateur. On peut aussi utiliser la commande CACLS.
Une curiosité : on peut partager SVI sur le réseau. Il devient, après un message d'erreur, accessible au groupe Tout Le Monde (à éviter).
http://fspsa.free.fr/cdr-svi.htm
-- Salutations, Jean-François Index du site de PN : www.d2i.ch/pn/az Outlook Express : Suivez vos fils avec [CTL+H] Montrez-nous ce que vous voyez : http://fspsa.free.fr/copiecran.htm
Comment l'effacer?
Arrêter le système de restauration. tous les points sont perdus.
NE PAS OUBLIER DE LE REMMETTRE EN ROUTE.
et puisque
Kaspersky reste muet à l'analyse (RAS).
Comment accéder au "System Volume Information", même désactivé je ne peut y
accéder? Via quel utilitaire puisque mon Kasperky le reconnait pas comme une
menace.
Merci.
C'est un dossier très protégé dans lequel tu ne devrais pas fourrer tes
gros doigts :)
J'ai proposer de le réinitialiser, c'est tout.
Si ton anti-virus ne sait pas faire, tu devrais en utiliser un autre,
ou opérer en mode sans échec.
Le SVI n'est accessible que par SYSTEM.
Pour entrer dans SVI, il faut soit utiliser un navigateur tiers, soit
la Console de Récupération, soit se donner les droits :
Comment faire pour accéder au dossier System Volume Information
http://support.microsoft.com/kb/309531/fr
Accès refusé à un dossier System Volume Information (partition NTFS)
http://www.bellamyjc.org/fr/windowsxp2003.html#svi
Impossibilité d'accéder à certains dossiers ou fichiers
http://www.bellamyjc.org/fr/windowsnt.html#pbaccesfichiers
Rappel : l'onglet sécurité est présent en mode sans échec
ADministrateur. On peut aussi utiliser la commande CACLS.
Une curiosité : on peut partager SVI sur le réseau. Il devient, après
un message d'erreur, accessible au groupe Tout Le Monde (à éviter).
http://fspsa.free.fr/cdr-svi.htm
--
Salutations, Jean-François
Index du site de PN : www.d2i.ch/pn/az
Outlook Express : Suivez vos fils avec [CTL+H]
Montrez-nous ce que vous voyez : http://fspsa.free.fr/copiecran.htm
Arrêter le système de restauration. tous les points sont perdus. NE PAS OUBLIER DE LE REMMETTRE EN ROUTE.
et puisque
Kaspersky reste muet à l'analyse (RAS).
Comment accéder au "System Volume Information", même désactivé je ne peut y accéder? Via quel utilitaire puisque mon Kasperky le reconnait pas comme une menace.
Merci.
C'est un dossier très protégé dans lequel tu ne devrais pas fourrer tes gros doigts :) J'ai proposer de le réinitialiser, c'est tout. Si ton anti-virus ne sait pas faire, tu devrais en utiliser un autre, ou opérer en mode sans échec.
Le SVI n'est accessible que par SYSTEM. Pour entrer dans SVI, il faut soit utiliser un navigateur tiers, soit la Console de Récupération, soit se donner les droits :
Comment faire pour accéder au dossier System Volume Information http://support.microsoft.com/kb/309531/fr
Accès refusé à un dossier System Volume Information (partition NTFS) http://www.bellamyjc.org/fr/windowsxp2003.html#svi
Impossibilité d'accéder à certains dossiers ou fichiers http://www.bellamyjc.org/fr/windowsnt.html#pbaccesfichiers
Rappel : l'onglet sécurité est présent en mode sans échec ADministrateur. On peut aussi utiliser la commande CACLS.
Une curiosité : on peut partager SVI sur le réseau. Il devient, après un message d'erreur, accessible au groupe Tout Le Monde (à éviter).
http://fspsa.free.fr/cdr-svi.htm
-- Salutations, Jean-François Index du site de PN : www.d2i.ch/pn/az Outlook Express : Suivez vos fils avec [CTL+H] Montrez-nous ce que vous voyez : http://fspsa.free.fr/copiecran.htm
JF
J'ai proposer ... J'ai proposé ...
-- Salutations, Jean-François Index du site de PN : www.d2i.ch/pn/az Outlook Express : Suivez vos fils avec [CTL+H] Montrez-nous ce que vous voyez : http://fspsa.free.fr/copiecran.htm
J'ai proposer ...
J'ai proposé ...
--
Salutations, Jean-François
Index du site de PN : www.d2i.ch/pn/az
Outlook Express : Suivez vos fils avec [CTL+H]
Montrez-nous ce que vous voyez : http://fspsa.free.fr/copiecran.htm
-- Salutations, Jean-François Index du site de PN : www.d2i.ch/pn/az Outlook Express : Suivez vos fils avec [CTL+H] Montrez-nous ce que vous voyez : http://fspsa.free.fr/copiecran.htm
Mido
J'ai proposer de le réinitialiser, c'est tout.>
OK, réinitialiser= 0 ou valeur par défaut. Je viens de constater que leurs volumes sont tous à 0, alors plus besoin de m'en préocuper!
Hey.. mes doigts y sont pas gros, OK là.:)
Merci JF.
J'ai proposer de le réinitialiser, c'est tout.>
OK, réinitialiser= 0 ou valeur par défaut.
Je viens de constater que leurs volumes sont tous à 0, alors plus besoin de
m'en préocuper!
