cmdcon.exe

Kanosmn

Poistelin varmaan liian innokkaasti trojalaista. Konetta käynnistettäessä herjaa ei löydä cmdcon exe:ä. Mistä moisen voi saada. käyttöjärjestelmä XP

6

393

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • aatos

      Ei tuo cmdcon.exe kuulu XP:hen.
      Se ilmeisesti on osa sitä troijalaista jonka olet poistanut ?
      Ilmeisesti siitä on jäänyt merkintä jonnekin käynnistykseen...

      Löysin tuommoisen kuvauksen (description); ilmeisesti pitäisi etsiä win.ini-tiedosto ja editoida siitä pois sen jutut.
      http://www.sophos.com/virusinfo/analyses/trojcrypterc.html

      • aatos

        Pari rekisterikohtaa siinä myös mainitaan; tuossa koko juttu:

        Troj/Crypter-C is a downloader Trojan which runs continuously in the background and periodically tries to download files from a remote location.

        When first run the Trojan copies itself to the Windows System folder using a randomly selected filename. Filenames used by the Trojan include: audiodrv.exe, audioinf.exe, bluecol.exe, cmdcon.exe, diskinf.exe, dllreg.exe, enhance32.exe, infdisk.exe, kbddrv32.exe, kbdrvinf.exe, main16.exe, main32.exe, mousedrv.exe, mswavedll.exe, msurl32.exe, netdll32.exe, netdllex.exe, p4mx4.exe, m32info.exe, pwr32ctr.exe, pwr32crtl.exe, sd32info.exe, vid32cntl.exe and vidcntl.exe.

        The Trojan adds its pathname to a new sub-key of the following registry entry to run itself on startup:

        HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

        The name of the new sub-key matches the filename of the Trojan executable, excluding the extension.

        The Trojan also runs itself on startup by adding its pathname to a new run= line in the [Windows] section of \WIN.INI.

        The following registry entry is also created:

        HKCU\Software\Microsoft\Windows\CurrentVersion\uninstall\
        \UninstallString = %SYSTEM%\.exe

        Temporary files may be created in the Windows TEMP folder with filenames matching that of the Trojan executable, but without an extension.


      • kanosmn
        aatos kirjoitti:

        Pari rekisterikohtaa siinä myös mainitaan; tuossa koko juttu:

        Troj/Crypter-C is a downloader Trojan which runs continuously in the background and periodically tries to download files from a remote location.

        When first run the Trojan copies itself to the Windows System folder using a randomly selected filename. Filenames used by the Trojan include: audiodrv.exe, audioinf.exe, bluecol.exe, cmdcon.exe, diskinf.exe, dllreg.exe, enhance32.exe, infdisk.exe, kbddrv32.exe, kbdrvinf.exe, main16.exe, main32.exe, mousedrv.exe, mswavedll.exe, msurl32.exe, netdll32.exe, netdllex.exe, p4mx4.exe, m32info.exe, pwr32ctr.exe, pwr32crtl.exe, sd32info.exe, vid32cntl.exe and vidcntl.exe.

        The Trojan adds its pathname to a new sub-key of the following registry entry to run itself on startup:

        HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

        The name of the new sub-key matches the filename of the Trojan executable, excluding the extension.

        The Trojan also runs itself on startup by adding its pathname to a new run= line in the [Windows] section of \WIN.INI.

        The following registry entry is also created:

        HKCU\Software\Microsoft\Windows\CurrentVersion\uninstall\
        \UninstallString = %SYSTEM%\.exe

        Temporary files may be created in the Windows TEMP folder with filenames matching that of the Trojan executable, but without an extension.

        Kiitti vaan jos olis saanut saman suomeksi, kun ei toi lontoo taitu niin hyvin, että uskaltais jotain tehdä...


      • hijackthis
        kanosmn kirjoitti:

        Kiitti vaan jos olis saanut saman suomeksi, kun ei toi lontoo taitu niin hyvin, että uskaltais jotain tehdä...

        http://koti.mbnet.fi/pattaya1/hijackthis.htm
        ja liitä logi tähän nii katotaan sitä.
        Sieltä löytynee rivejä missä viitataan tuohon troijalaisen panemaan tiedostoon cmdcon.exe.

        ainakin sieltä löytyy

        04 -alkuisista ehkä myös

        F1 -alkuisesta riveistä toi cmdcon.exe.

        Voi löytyä muistakin riveistä sekä myös monia muita "pöpöjä" joista et ole tietoinen.
        Parempi siis ,että liität login tänne ennenkuin alat poistamaan niitä rivejä itse.
        Joku antaa kyllä ohjeita niiden rivien poistoon.


      • aatos
        kanosmn kirjoitti:

        Kiitti vaan jos olis saanut saman suomeksi, kun ei toi lontoo taitu niin hyvin, että uskaltais jotain tehdä...

        Siis cmdcon.exe ei kuulu XP:hen.
        Se voi kuulua johonkin muuhun asialliseen ohjelmaan, sitä en tiedä.
        Kun sinulla jokin troijalainen oli, niin oletan että se oli sitten tuo.

        Windows-hakemistosta löytyy tiedosto win.ini.
        Avaa se vaikkapa muistiossa ja jos sieltä löytyy cmdcon-rivi, niin poista se, se todennäköisesti on muotoa:
        Run=c:\windows\system\cmdcon.exe
        tai jotain sinnepäin.

        Talletat tiedoston.

        Sitten pitäisi tarkistaa rekisteristä.
        Käynnistä > Suorita > kirjoita Avaa:-laatikkoon "regedit" > OK
        Etsi avautuneessa rekisterieditorissa kansio:

        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
        CurrentVersion\RunServices
        Jos sieltä löytyy cmdcon, niin poista se rivi.

        Eipähän tuo niin vaarallista ole, kun se ei enää käynnisty, vaan ainostaan tulee tuo "kauneusvirhe" käynnistettäessä.

        Tuossapa nuo, mutta niinkuin tuossa edellä jo sanotaan, niin siellä voi olla muitakin juttuja, jotka varmaan olisi hyvä tarkistaa tuolla hijackthis-ohjelmalla.


    • Kanosmn

      Nyt käynnistyy normaalisti. KIITOKSIA!

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Luetuimmat keskustelut

    1. Hoitajalakko peruuntuu, tilalle joukkoirtisanoutumiset

      "Tehyn ja Superin hallitukset kokoontuivat tänään toteamaan, että tilanne edellyttää järeämpiä työtaistelutoimia." https://www.hs.fi/politiikka/art-2
      Maailman menoa
      739
      9154
    2. Johan tuli oikea aivopieru Britti Lordilta

      Emeritusprofessori Lordi Robert Skidelsky sanoi Suomen rikkovan YYA sopimusta joka on tehty Neuvostoliiton kanssaa 1948. Mitä pir
      Maailman menoa
      373
      7897
    3. Tehyn Rytkösellä tallessa tekstiviestit A-studiokohussa

      https://www.mtvuutiset.fi/artikkeli/a-studiosta-kohu-tehyn-rytkosen-mukaan-ministeri-linden-sai-paattaa-osallistujat-ohjelma-kiistaa-vaitteen/8407068
      Maailman menoa
      160
      5600
    4. William ja Sonja Aiello ERO

      Hyvä Sonja! Nyt etsit uudet kaverit ja jätät nuo huume- ja rahanpesu porukat haisemaan taaksesi!
      Kotimaiset julkkisjuorut
      54
      2341
    5. Oho! Seurapiirikaunotar, ex-missi Sabina Särkkä yllättää tällä harvinaisella kyvyllä: "Mulla on..."

      Sabina Särkkä on nähty monissa tv-reality-sarjoissa. Mutta tiesitkö, että Särkällä on valokuvamuisti? https://www.suomi24.fi/viihde/oho-seurapiirikaun
      Kotimaiset julkkisjuorut
      6
      2085
    6. Se siitä sitten

      Kirjoitan tänne kun en sulle voi. En vaivaa sua enää koskaan. En ikinä tarkoittanut olla ahdistava tai takertuva. Tunteet heräsi enkä osannut olla tyy
      Ikävä
      82
      1734
    7. Ohhoh! Rita Niemi-Manninen otti ison tatuoinnin - Herätti somekansan: "Täydellinen paikka!"

      Rita Niemi-Mannisen suuri, uusi tatuointi on saanut somekansan heräämään talvihorroksesta. Niemi-Manninen otti tatskan rakkauslomalla Aki-miehensä kan
      Kotimaiset julkkisjuorut
      19
      1673
    8. Ihastumisesta kertominen

      Olen päättänyt kertoa tunteistani ihastukseni kohteelle. Erityisen vaikeaksi tilanteeni tekee se, että kyseessä on ns. kielletty rakkaus. Olen jo toi
      Ihastuminen
      92
      1419
    9. Taas Venäjän tiedoittaja akka Varoitti Suomea ja Ruotsia liittymästä Natoon

      Juuri sopivasti julkaistu varoitus, kun Suomen eduskunta alkaa klo 13:50 käsitellä asiaa suorassa TV 1:n lähetyksessä. ILtasanomat.
      Maailman menoa
      438
      1355
    10. Harvoin julkisuudessa nähty Jari Sillanpää, 56, julkaisi uusia kuvia - Karisti Suomen pölyt jaloista

      Huumekohun jälkeen matalaa profiilia pitänyt Jari "Siltsu" Sillanpää on ollut vaitonainen elämästään. Tänä keväänä miehen some on ollut hiljainen. Nyt
      Kotimaiset julkkisjuorut
      7
      1243
    Aihe