Bagle - de chiki a moe [Résolu]

Chiquitine29 17218Messages postés 1 janvier 2009Date d'inscription - Dernière réponse le 8 nov. 2009 à 22:46

Salut moe ,
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc

Bagle - de chiki a moe »

Suggestions

Bagle - de chiki a moe
500 mo combien de temps sur internet (Résolu) » Forum
1 go en mo (Résolu) » Forum
200 mo internet combien de temps » Forum
Mb mo (Résolu) » Forum
1go combien de mo » Forum
250 mo (Résolu) » Forum
Moa moe » Articles
500 mo internet » Forum
100 mo (Résolu) » Forum

Plus

Réponse

moe 25 janv. 2009 à 20:20

Salut Chiquitine,

Je viens de tomber sur ton post à l'instant car je n'avais pas eu le temps de repasser sur le forum depuis le WE dernier.
J'avais commencé à préparer une réponse à tes questions, lorsqu'on m'a appris le retrait de FyK...
C'est un retrait provisoire ou définitif, Cédric ?

@++

Ajouter un commentaire

Réponse

Chiquitine29 17218Messages postés 1 janvier 2009Date d'inscription 28 janv. 2009 à 02:22

Salut Olivier ,

Bonne semaine y

@+

Ajouter un commentaire - Site web

Réponse

Chiquitine29 17218Messages postés 1 janvier 2009Date d'inscription 29 janv. 2009 à 04:01

re Olivier ,

tu l as rencontré celui ci : "appdata\driv" ?

perso sur ma machine non , je cherche des infos mais .. nada

ARRF le lien passe pas , google : Suspect ! - ae871130f2efb8c1cfb9d4d375c86931 C:\Documents and Settings\Proprietario\Dati applicazioni\driv\downld\1834937.exe

@+

Ajouter un commentaire - Site web

afideg - 30 janv. 2009 à 14:56

Re,

Et si c'était "appdata\driv ..." (tronqué) ; ce qui donne un répertoire comme là-dedans:
http://translate.google.be/...

(il y a d'autres exemples pareils rencontrés)

Je ne trouve rien d'autre.
Désolé.

Al.

moe - 30 janv. 2009 à 16:02

Salut Chiquitine, Afideg

Si on suis le post en question, l'avant dernière intervention de l'internaute donne la réponse lorsque la personne qui l'aide lui demande l'upload du contenu du dossier :
La cartella driv l'avevo rinominata io (era la cartella drivers del worm) nel tentativo di disattivarla,
Traduction :
Le dossier driv, je l'avais renommé moi même (c'était le dossier drivers du ver) pour tenter de le désactiver...

Tout est dit, fausse alerte :-)

@++

Réponse

Chiquitine29 17218Messages postés 1 janvier 2009Date d'inscription 29 janv. 2009 à 08:11

et re , -;)

j ai sorti 4.715

je file

++

Ajouter un commentaire - Site web

Réponse

Chiquitine29 17218Messages postés 1 janvier 2009Date d'inscription 29 janv. 2009 à 08:20

UN Rapport qui passe pas ..

###################### [ FindyKill V4.715 ]

# User : Chiki - PC-DE-TEST
# Executed from : C:\Program Files\FindyKill
# Update on 29/01/09Nby Chiquitine29
# Start at 5:54:47 the 29/01/2009
# Windows Vista - Internet Explorer 7.0.6000.16764

# [ FindyKill V4.715 - Deleting ] ###############

\\\\\\\\\\\\\\\\\\ [ Active Processes ] ///////////////////

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe

\\\\\\\\\\\\\\\\\\ [ Infected Files / Folders ] ///////////////////

################## [ C:\ ]

################## [ C:\Windows ]

################## [ C:\Windows\Prefetch ]

################## [ C:\Windows\system32 ]

Deleted ! - C:\Windows\system32\mdelk.exe
Deleted ! - C:\Windows\system32\wintems.exe
Deleted ! - C:\Windows\system32\ban_list.txt

################## [ C:\Windows\system32\drivers ]

################## [ C:\Users\Chiki\AppData\Roaming ]

Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\flec006.exe"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\list.oct"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\data.oct"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\srvlist.oct"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\shared"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\srosa2.sys"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\downld"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers"

################## [ C:\Users\Chiki\AppData\Local\Temp ]

################## [ C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5 ]

Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\3LI0OY2Z\b64[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\3LI0OY2Z\b64_1[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\3LI0OY2Z\file[1].txt
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\AXNI9P1H\b64_2[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\ESD92VTE\b64[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\ESD92VTE\b64_1[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\ESD92VTE\b64_3[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\ESD92VTE\b64_3[2].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\QTFPMVW1\b64_1[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\QTFPMVW1\b64_1[2].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\QTFPMVW1\b64_2[1].jpg

\\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\FirtR
Deleted ! - HKEY_CURRENT_USER\Software\MuleAppData
Deleted ! - HKEY_CURRENT_USER\Software\FFC
Deleted ! - HKEY_USERS\S-1-5-21-2984117380-4132440800-2295897647-1000\Software\Local AppWizard-Generated Applications\keygen
Deleted ! - HKEY_USERS\S-1-5-21-2984117380-4132440800-2295897647-1000\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! - HKEY_USERS\S-1-5-21-2984117380-4132440800-2295897647-1000\Software\FFC
Deleted ! - HKEY_USERS\S-1-5-21-2984117380-4132440800-2295897647-1000\Software\MuleAppData

\\\\\\\\\\\\\\\\\\ [ States / Restarting of services ] ///////////////////

# Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - # Type of startup = 3

EapHost - # Type of startup = 2

Wlansvc - # Type of startup = 2

SharedAccess - # Type of startup = 2

wuauserv - # Type of startup = 2

wscsvc - # Type of startup = 2

WinDefend - # Type of startup = 2

-> UAC is Enable

\\\\\\\\\\\\\\\\\\ [ Cleaning Removable drives ] ///////////////////

# Informations :

C: - Lecteur fixe
D: - Lecteur fixe
F: - Lecteur amovible
G: - Lecteur fixe
H: - Lecteur amovible

# deleting files :

\\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////

-> Not found !

\\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////

Références de comparaison Bagle MD5 :

7b9dcd05 C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
21001296c46671d4b18e11fdf3a9f339 C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe

Suspect ! - 21001296c46671d4b18e11fdf3a9f339 C:\Program Files\Pando Networks\Pando\pando.exe

\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////

C:\Users\Chiki\Desktop\avast!.-.server_keyGEN.updated-fixed.07-2006 - Raccourci.lnk
C:\Program Files\CCleaner\CRACK.txt
G:\ACD Systems ACDSee v7.0.102 PowerPack keygen by CORE.zip
G:\$RECYCLE.BIN\S-1-5-21-1166691940-113040777-1741962293-1000\$RT2DBGI\Winrar 3.71 le dernier\keygenpatch.exe
G:\$RECYCLE.BIN\S-1-5-21-1166691940-113040777-1741962293-1000\$RXQS8NA\Guitar Pro V 5.2\Keygen.exe
G:\$RECYCLE.BIN\S-1-5-21-977598231-4271003828-990102855-1000\$RDSLICD\keygenpatch.exe
G:\ZZZZ\Adobe\Adobe Firework CS3\KeyGen_AIO_CS3.exe
G:\ZZZZ\Adobe\Adobe Premiere CS3 Pro\Crack\Keygen.exe
G:\ZZZZ\Adobe\Adobe.Photoshop.Elements.6.0\keygen.exe
G:\ZZZZ\adobe en cours\Adobe Contribute Cs3 Keygen
G:\ZZZZ\adobe en cours\Adobe.Soundbooth.CS3.V1.0.Incl.KeyGen.-.Haze.iso
G:\ZZZZ\adobe en cours\Adobe Contribute Cs3 Keygen\lzdd9p37\Linezer0\Crack contribute CS3\Adobe Contribute CS3 Keygen.exe
G:\ZZZZ\adobe en cours\Crack contribute CS3\Adobe Contribute CS3 Keygen.exe
G:\ZZZZ\Microsoft\Crack xp sp2\KeyGen.exe
G:\ZZZZ\S‚curit‚\Malwarebytes.Anti-Malware\Malwarebytes.Anti-Malware\keygen Malewarebyte
G:\ZZZZ\S‚curit‚\Malwarebytes.Anti-Malware\Malwarebytes.Anti-Malware\keygen Malewarebyte\keygen.exe
G:\ZZZZ\S‚curit‚\Malwarebytes.Anti-Malware\Malwarebytes.Anti-Malware\keygen Malewarebyte\keygen.rar
G:\ZZZZ\Utilitaires\Glary pro + Keygen.rar
G:\ZZZZ\Utilitaires\Winrar 3.71 le dernier\keygenpatch.exe
G:\ZZZZ\Utilitaires\Winrar 3.8 Beta2\Winrar 3.8 Beta\keygenpatch.exe
H:\Crack XP
H:\[Crack].Kaspersky.Internet.Security.2006.by.CORE.zip
H:\Crack XP\Windows XP Password Cracker (CDROM arranque crackear contrase¤a Win).zip
H:\Crack XP\Windows XP Pro & Familial Fr - S‚rials & cl‚ d'activation crack.zip
H:\Crack XP\Microsoft Windows Xp Media Center Edition Octobre 2006 Activation Crack Genuine (Ghost168 Wga Patch).rar
H:\Crack XP\Win XP SP2 Activator _ Activacion Windows XP_ Profesional_Service pack 2_PRO_CRACK_KEYGEN.zip
H:\Crack XP\Microsoft Product Activation Crack All Products Office Windows Xp 2003 Pro Professional Home Server Enterprise (Ghost168 Wga Patch).zip
H:\Crack XP\(CRACK) Windows XP - Activation Crack (Home Edition & Professional).zip
H:\Crack XP\Crack XP.exe
H:\Kerio.WinRoute.Firewall.v5.1.8.with.integrated.McAfee-FCN-Pleasuredome101\crack.nfo

################## [ ! End of report # FindyKill V4.715 ! ]

Ajouter un commentaire - Site web

Réponse

Chiquitine29 17218Messages postés 1 janvier 2009Date d'inscription 29 janv. 2009 à 11:18

>>pour les helpeurs qui suivent cette discusion, une option a été rajouté a la version V4.715

c est l option 4 : Recherche Cracks / Keygens

cette recherche se fait sur le pc et sur les disques amovibles , il est donc important qu ils soient branché ..

###################### [ FindyKill V4.715 ]

# User : Chiki - PC-DE-TEST
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours 29/01/09 par Chiquitine29
# Recherche effectuée à 11:15:25 le 29/01/2009
# Windows Vista - Internet Explorer 7.0.6000.16764

# [ FindyKill V4.715 - Scan ] ##############

\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////

C:\Program Files\CCleaner\CRACK.txt
H:\Crack XP
H:\[Crack].Kaspersky.Internet.Security.2006.by.CORE.zip
H:\Crack XP\Windows XP Password Cracker (CDROM arranque crackear contrase¤a Win).zip
H:\Crack XP\Windows XP Pro & Familial Fr - S‚rials & cl‚ d'activation crack.zip
H:\Crack XP\Microsoft Windows Xp Media Center Edition Octobre 2006 Activation Crack Genuine (Ghost168 Wga Patch).rar
H:\Crack XP\Win XP SP2 Activator _ Activacion Windows XP_ Profesional_Service pack 2_PRO_CRACK_KEYGEN.zip
H:\Crack XP\Microsoft Product Activation Crack All Products Office Windows Xp 2003 Pro Professional Home Server Enterprise (Ghost168 Wga Patch).zip
H:\Crack XP\(CRACK) Windows XP - Activation Crack (Home Edition & Professional).zip
H:\Crack XP\Crack XP.exe
H:\Kerio.WinRoute.Firewall.v5.1.8.with.integrated.McAfee-FCN-Pleasuredome101\crack.nfo

################## [ ! Fin du rapport # FindyKill V4.715 ! ]

le rapport sera aussi "findykill.txt"

@+

Ajouter un commentaire - Site web

moe - 30 janv. 2009 à 13:02

Salut Cédric,

Tout d'abord, merci pour tes explications, sache que je comprends tout à fait tes choix...

Je trouve vraiment judicieuses les modifications que tu as apporté à FYK depuis les dernières versions, le rapport est on ne peut plus clair, net et concis, et a énormément gagné en lisibilité, en taille sans affecter l'essentiel de ce qu'il doit contenir.
Le fait de passer la recherche de crack en option supplémentaire est aussi une très bonne idée car du coup l'outil gagnera en rapidité d'exécution et le rapport en clarté/taille, ce qui n'est pas négligeable :-)

Concernant tes questions, mieux vaut les aborder point par point, ce sera plus facile :-)

Donc première chose, le header et aujourd'hui il ressemble à ceci :

# User : Chiki - PC-DE-TEST
# Executed from : C:\Program Files\FindyKill
# Update on 29/01/09Nby Chiquitine29
# Start at 5:54:47 the 29/01/2009
# Windows Vista - Internet Explorer 7.0.6000.16764

Montre moi ce à quoi tu voudrais qu'il ressemble exactement et je verrais ce que je peux faire d'ici à ce we, en VBS et via WMI.
Pour ma part c'est la seule méthode que je connaisse et la plus rapide pour détecter l'av/fw et son status.

breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill

Très franchement, je ne crois pas que le jeu en vaille la chandelle cédric.
Bagle modifie les *.exe des AV/FW, théoriquement il est possible de les réparer car la modif n'est pas un écrasement total du fichier remplacé par le code du ver, mais une simple petite modif permettant à l'exe de ne plus être reconnu en tant que tel, ce qui génère le fameux message "...n'est pas une application Win32 valide" lorqu'on tente de l'exécuter.
Le problème c'est qu'une fois ces *.exe réparés, j'ai constaté pour ma part que beaucoup d'AV n'acceptaient pas cette réparation et refusaient que l'exe soit exécuté.
C'est du je pense à une auto-protection de l'av contre la modification de ses fichiers.
Donc finalement tu te retrouverais exactement dans la même position qu'au départ.
Puis, vu que l'AV et le FW sont des pièces maitresses de la protection du pc, ne vaut-il pas mieux les faire réinstaller proprement avec des versions clean, plutôt que de prendre le risque de mal réparer et de laisser des protections bancales ?

je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli .
Oui j'ai vu.
Un oubli par qui ? Les tools de déinfection ?
Si cette variante n'est passé que très rapidement, c'est comprehensible car ce n'est évident d'être réactif au jour près...
Possible que ce soit passé au travers, mais bon en même temps cet oubli ne portait pas à conséquence au niveau d'une réinfection, donc si le tir a été rectfié depuis, ce n'est pas très grave.

Concernant appdata\driv, je n'ai pas d'info moi non plus mais je vais me renseigner auprès d'un contact en italie et je te tiens au courant si c'est positif.

@+ tard !

afideg - 30 janv. 2009 à 14:29

Re,

Salut Chiquitine et mOe,

Cit. « une option 4 a été rajoutée à la version V4.715 »

Merci
Al.

Réponse

Chiquitine29 17218Messages postés 1 janvier 2009Date d'inscription 30 janv. 2009 à 18:56

Bonsoir moe ,AL

Je suis aussi assez satisfait de la mise en page du rapport aussi.

Montre moi ce à quoi tu voudrais qu'il ressemble exactement et je verrais ce que je peux faire d'ici à ce we, en VBS et via WMI.
Pour ma part c'est la seule méthode que je connaisse et la plus rapide pour détecter l'av/fw et son status

Très franchement, je ne crois pas que le jeu en vaille la chandelle cédric

Ouais , de toute façon comme tu dis , il est preferable de réinstaller "les solutions de sécu"

cncernant le vbs , te prend pas la tete , car là il n y a plus d interet a afficher l av etc , tout au plus l id windows et le sp ,

ce qui est possible en exportant certaines clé , mais c est sur que avec un vbs c est plus simple et plus rapide

Concernant system32/winupgro.exe , je me suis mal expliqué , mais j ai trouvé ma reponse

pour appdata\driv .. -;) c est clair "falsa alarma"

suis bete car l italien est une langue que je comprend dans les grandes lignes , et j ai pas pris la peine de lire le topic

en fait , je me suis basé sur le rapport , et comme j ai vu appdata\drivers >deleted et suspect driv , dans ma tete , je me suis dis houla ,

y en a deux .. mais au vu du rapport on voir bien que c est une recréation

concernant les cracks\keygen la recherche est aussi faite en fin de kill

ça sera supprimé dans le futur ne laissant apparaitre que les zip rar contenant "la source" et indiqué dans search for other..

opération qui reste a travailler , pour l option 4 , je pense qu elle est interessante puisque qu elle ouvrira un debas

entre l user et le "aidant"

pour cette option , je reprendrai certainement ta méthode (zipB) ...

sinon je pense a une option 5 , mais je la garde dans dans mes "projets" puisque que c est juste une idée pour le moment,

je t en parlerai le moment venu

si je continue dans les projets , il y aura certainement l ajout d une langue supplémentaire ( le catalan )

voila , si tu veux te lancer dans un vbs... etc , ce que j aimerais ça serais effectivement l id , le sp et pour les lecteurs afficher le nom du volume etc ...

ceci ne pourra que apporter de l esthetique , info supplémentaires

donc si on fais un exemple ça pourrait donner :

###################### [ FindyKill V4.715 ]

# User : Chiki - PC-DE-TEST
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours 29/01/09 par Chiquitine29
# Recherche effectuée à 18:37:37 le 30/01/2009
# Windows Vista Edition intégrale service pack 1
# Internet Explorer 7.0.6000.16764

# Av : Antivir -> killé by notre amis -;)
# FW : Firewall windows ->ok

# [ FindyKill V4.715 - Scan ] ##############

\\\\\\\\\\\\\\\\\\ [ Recherche dans supports amovibles] ///////////////////

# Informations :

C: - Lecteur fixe - Vista Intégrale
D: - Lecteur fixe - Windows XP
F: - Lecteur amovible - Kingston
G: - Lecteur fixe - Videotheque
H: - Lecteur amovible - Kingston

apres les infos celle du vbs , on peut les retranscrire sous forme de commande , je pense que c est une bonne soluce

Voila dans les grandes lignes ,

sinon je voulais aborder un sujet avec toi , le blue screen en debut de kill

perso je travail essentiellement sous vista , denigrant un peut xp

dans les centaines de test effectué sur ma machine , j ai rarement constaté le blue screen

meme en laçant l infection et en allant direct au kill .... j aurais aimé avoir ton opinion sur le sujet

kiss @+

Ajouter un commentaire - Site web

Réponse

afideg 8987Messages postés 10 octobre 2005Date d'inscription 26 janvier 2012Dernière intervention 30 janv. 2009 à 19:23

Re,
Chiquitine accepte ce petit détail :

Ici: # Outils Mis a jours 29/01/09 par Chiquitine29
J'écrirais: # Outil mis à jour le 29/01/09 par Chiquitine29

Très humblement et simplement. ;)
Albert

Ajouter un commentaire

Réponse

Chiquitine29 17218Messages postés 1 janvier 2009Date d'inscription 30 janv. 2009 à 19:40

-;)

merci Al.

ça sera rectifié

Ajouter un commentaire - Site web

Réponse

C_XX 2271Messages postés 21 octobre 2008Date d'inscription 7 mai 2011Dernière intervention 30 janv. 2009 à 19:52

Salut TLM,

Bravo Cedric pour ton travail, et tu as bien fait de revenir sur ta décision concernant le retrait de Findykill ;)

++

Ajouter un commentaire - Site web

Réponse

Chiquitine29 17218Messages postés 1 janvier 2009Date d'inscription 30 janv. 2009 à 20:04

RE,

@ Albert :

###################### [ FindyKill V4.716 ]

# User : Chiki - PC-DE-TEST
# Emplacement : C:\Program Files\FindyKill
# Outil Mis a jours le 29/01/09 par Afideg
# Recherche effectuée à 19:57:52 le 30/01/2009
# Windows Vista - Internet Explorer 7.0.6000.16764

# [ FindyKill V4.716 - Scan ] ##############

\\\\\\\\\\\\\\\\\\\\ [ Processus actifs ] ///////////////////

-;)

@ Cyril , hé bien merci , mais je te retourne le compliment et te remercie pour ta participation a cet outil ,

tu as été present dès le début , donc merci

pour info la traduction anglaise est de cyril , l espagnol de moi , le catalan si ok sera de Cristina (une amie...)

@+

Ajouter un commentaire - Site web

Réponse

afideg 8987Messages postés 10 octobre 2005Date d'inscription 26 janvier 2012Dernière intervention 30 janv. 2009 à 20:06

Re

Non ==> # Outil Mis a jours le ...
Oui ==> # Outil mis à jour le ...

Al ;)

Ajouter un commentaire

Réponse

Chiquitine29 17218Messages postés 1 janvier 2009Date d'inscription 30 janv. 2009 à 20:07

lol

méchant garçon -;)

Ajouter un commentaire - Site web

afideg - 30 janv. 2009 à 20:09

Hi,hi

Il faut le plus beau costume à cet outil remarquable.

Al.

Réponse

Chiquitine29 17218Messages postés 1 janvier 2009Date d'inscription 30 janv. 2009 à 20:11

mdr,

oui , c est des détails , mais ils ont leur importance , j ai rectifié ça

merci Al.

Ajouter un commentaire - Site web

Réponse

gen-hackman 68344Messages postés 30 avril 2008Date d'inscription 11 juin 2011Dernière intervention 30 janv. 2009 à 21:26

salut Tch'

je viens de remarquer un truc ahurissant (peut etre banal pour toi):

avant l utilisation de findykill2 , mon processseur tournait à 2.70 Ghz (Intel E6600)
apres l utilisation de findykill2 , mon processseur tourne à 2.71 Ghz

petite action sur le processeur ?
peut etre un aide pour tes recherches ?

Cordialement

Ajouter un commentaire

Réponse

Chiquitine29 17218Messages postés 1 janvier 2009Date d'inscription 30 janv. 2009 à 21:45

re,

Salut Gen..

salut Tch' y varra ... -;)

oui en effet , et la prochaine maj : change , le proc , elle installe un 4 corrazon , colle 4 g de ram, un refroidissement liquide, instal des néons dans la tour etc ...

bien sur le tout , est en discussion avec les fournisseurs -;)

Si t as passé FYK sur une machine non infecté , la seule chose de positif que tu auras sera une nettoyage des temps

je lol bien sur

@+

Ajouter un commentaire - Site web

Réponse

moe 30 janv. 2009 à 22:18

Bonsoir à tous,

cncernant le vbs , te prend pas la tete , car là il n y a plus d interet a afficher l av etc , tout au plus l id windows et le sp ,ce qui est possible en exportant certaines clé , mais c est sur que avec un vbs c est plus simple et plus rapide...

Bah trop tard lol, mais bon tout dans le VBS que je te propose est et sera modifiable en fonction de ce que tu voudras conserver.
Concernant la détection AV/FW ça peut avoir son utilité, ne serait-ce que pour savoir rapidement quelles sont les protections installées.
Par contre cette détection ne fonctionne pas sous les versions d'xp en dessous d'un pack2 si je ne dis pas de bétises, donc faudra pas s'affoler si le rapport ne les mentionnent pas dans ce cas.
J'ai vu aussi que le status du firewall d'XP est rarement mentionné, donc j'ai rajouté une petite détection en ce sens.
Mais bon le démarrage du service le concernant par fyk étant laissé à la demande de l'utilisateur (0x3), son status ne devrait pas souvent être mentionné...Donc çà c'est juste pour le fun :-)
A toi de voir ce que tu veux garder ou supprimer et surtout de vérifier s'il tourne correctement sous vista :-)
Ensuite on en reparlera en fonction de tes choix.
Le script est ici : http://cjoint.com/data/cbvIZOE5AJ_Header_FYK.txt

pour cette option , je reprendrai certainement ta méthode (zipB) ...

Pour les zip sources alors ?
Si tu la prends pour une option à part entière va falloir alors que tu prévois des backups de l'infection, sinon ça risque d'être difficile de récupérer un CRC32 de fichiers qui n'existent plus :-)
J'essayerais de voir s'il est possible de se passer du crc32 et d'aller chercher direct le string "themida" dans l'exe d'une archive, dans ce cas ça pourrait simplifier les choses.
Bref...To be continued... lol

sinon je voulais aborder un sujet avec toi , le blue screen en debut de kill

Ca m'est arrivé aussi, rarement c'est vrai, mais j'ai pu constater que certaines fois le fait d'arréter les processus de l'infection ou de vouloir jouer avec le service srosa, pouvait les provoquer.
Idem avec des tools comme RKU, dont l'utilisation peut parfois générer un blue screen avec cette infection.
Par contre, pour ma part ça ne s'est jamais reproduit deux fois de suite, un reboot aura suffit en général pour que le tool reprenne la main comme prévu.
Pourquoi ? Tu as eu beaucoups de remontées sur des BSOD ?
Sur un OS en particulier ?

@++

Ajouter un commentaire

Réponse

gen-hackman 68344Messages postés 30 avril 2008Date d'inscription 11 juin 2011Dernière intervention 30 janv. 2009 à 22:25

et une protection residente anti-Bagle , ce serait possile ?

Ajouter un commentaire

Réponse

Chiquitine29 17218Messages postés 1 janvier 2009Date d'inscription 30 janv. 2009 à 23:00

re moe , Gen ,

@ gen :

et une protection residente anti-Bagle , ce serait possile ?

ça pourrais etre limite envisageble mais l outil en ai pas encore là -;)

@ moe :

Si tu la prends pour une option à part entière va falloir alors que tu prévois des backups de l'infection, sinon ça risque d'être difficile de récupérer un CRC32 de fichiers qui n'existent plus :-)

Oui , on peut partir de ce principe , c est a dire relever les valeurs dès le scan option 1 et les conserver , l idéal étant d avoir une base de données.

Pourquoi ? Tu as eu beaucoups de remontées sur des BSOD ?
Sur un OS en particulier ?

Quelques unes en effet , mais surtout sur xp , une ce soir encore , l user m a mp :

http://www.commentcamarche.net/forum/affich 10782648 2 virus antivirus bloques dem sans e imposs?

perso , je crois pas que le kil des procs soit fautifs , je dirais plutot que le ".sys" est chatouilleux -;)

apres etablir des certitudes n est pas simple puisque rarement des tests a faire

dans ces cas là , une autre solutions est adpaté , l utilisation d un autre outil ..

le but de fyk étant justement d éviter l utilisation d un autre outil , donc je reste perplexe sur ce sujet

breff y a du taff , pour toucher au but , meme si je pense qu il est proche .

pour en revenr au cracks\merdouille , j avais ouvert un topic au bureau au titre , findykill kill de crack ou pas ,

je suppose que tu l as vu , perso j ai aimé ce topic par rapport aux remarques ..

celles ci concernaient les fp , perso je pense proposer une methode pour les eviter , c est a dire via un script
celui ci , bien sur pourra prendre en compte les "04" vérolé

c est juste une pensée , puisque aucun test n a été fait .

Breff , cette phase aussi pourrait quasiment terminer le processus

Qu en penses tu ?

++

Ajouter un commentaire - Site web

myki - 31 mars 2009 à 01:09

bjr (enfin la il est 1h du mat ^^) , bjr Chiquitine29

moi je viens de m'apercevoir que mon antivirus ne voulait plus se lancer du moins application win32 non valide
j'ai un peu fouiner internet j'ai o moins réussi au bout de plus de 4heure a trouver mbam qui m'a permis de retrouver mon son déjà sur skype etc, mais findykill pa trop envie de faire de bourde ^^ vu que tout mes logiciel de sécurité ne veulent tjr pas se lancer je pose le rapport de recherche:

############################## [ FindyKill V4.721 ] 

# User : Administrateur (Administrateurs) # TITANIUM
# Update on 29/03/09 by Chiquitine29
# Start at: 00:42:29 | 31/03/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# AMD Athlon(tm) XP 2000+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 40,13 Go (11,25 Go free) # NTFS
# D:\ # Disque fixe local # 1,5 Go (996,53 Mo free) [XP GOLD] # FAT32
# E:\ # Disque fixe local # 53,3 Go (21,75 Go free) # NTFS
# F:\ # Disque fixe local # 47,96 Go (18,2 Go free) [DOC MYK] # FAT32
# G:\ # Disque fixe local # 46,98 Go (25,08 Go free) [EMULE] # FAT32
# H:\ # Disque CD-ROM
# I:\ # Disque fixe local # 465,76 Go (40,24 Go free) [Externe 500] # NTFS
# J:\ # Disque CD-ROM
# K:\ # Disque CD-ROM
# L:\ # Disque CD-ROM
# M:\ # Disque CD-ROM
# N:\ # Disque CD-ROM
 
############################## [ Processus actifs ] 
 
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Program Files\Java\jre6\bin\jqs.exe
E:\Program Files\Java\jre6\bin\jusched.exe
E:\Program Files\Skype\Phone\Skype.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\Program Files\DAEMON Tools Lite\daemon.exe
E:\Program Files\TGTSoft\StyleXP\StyleXP.exe
F:\EA GAMES\Need for Speed Undercover\PB\PnkBstrA.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\wdfmgr.exe
E:\WINDOWS\System32\alg.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Program Files\Skype\Plugin Manager\skypePM.exe
E:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
E:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\WINDOWS\system32\wbem\wmiprvse.exe
 
################## [ Fichiers / Dossiers infectieux E:\ ] 
 
 
################## [ E:\WINDOWS & E:\WINDOWS\Prefetch ] 
 
 
################## [ E:\WINDOWS\system32 ] 
 
 
################## [ E:\WINDOWS\system32\drivers ] 
 
 
################## [ E:\.. Application Data ... ] 
 
Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers" 
Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers\downld" 
 
################## [ E:\Users...\Temp Files... ] 
 
 
################## [ Registre / Clés infectieuses ] 
 
Found ! - HKEY_USERS\S-1-5-21-299502267-573735546-725345543-500\Software\Local AppWizard-Generated Applications\MsnMsgr  
Found ! - HKEY_USERS\S-1-5-21-299502267-573735546-725345543-500\Software\bisoft  
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\MsnMsgr  
Found ! - HKEY_CURRENT_USER\Software\bisoft  
 
 
################## [ Recherche dans supports amovibles] 
 
# Présence des fichiers : 

 
################## [ Registre / Mountpoint2 ] 
 
# -> Not found !  
 
################## [ ! Fin du rapport # FindyKill V4.721 ! ]

Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers"
Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers\downld"

avec malwarebytes anti-malware dans (disk racine)Documents and Settings\Administrateur\Application Data\drivers il y avait un truc qui s'était installer il restait srosa2.sys il a été supprimer et la j'ai un autre juste un document vide , tss si je le supprime ^^ non car drivers dans application data logiquement il y'en as pas ?

tout ça pour avoir voulu trouver un patch fr pour conqueror expansion grr marre des malin qui ... mette des mauvais truc=)

ben j'espère avoir une repose très rapidement stp (connait les passionner d'ordi jamais sans son ordi xd) ^^

Réponse

afideg 8987Messages postés 10 octobre 2005Date d'inscription 26 janvier 2012Dernière intervention 30 janv. 2009 à 23:53

(suite)

Par rapport au précédent lien rapporté de thibo62 .

Ici, un cas ComboFix avec cette mention inédite "- Mode FONCTIONNALITES REDUITES -"
http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=5#148

Lyonnais92 émet un avis ici http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=5#150 ;
il annonce: « En mode réduit, le CFScript ne fonctionne pas.
Supprime Combofix.exe sur ton Bureau et fais ceci : télécharge combofix (par sUBs) ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe ; etc. »

Est-cela qui expliquerait l'inefficacité (l'efficacité incomplète) de ComboFix dans le cas rapporté de thibo62 ?
C'est quoi cette mention "- Mode FONCTIONNALITES REDUITES -" ?
Réponse en MP ? (si trop "confidentiel") ;)

Al.

Ajouter un commentaire

1 2 3 4 5 6 7

Répondre au sujet

Posez votre question

Dossier à la une

5 extensions si vous voulez revenir à l'ancien Facebook

5 extensions si vous voulez revenir à l'ancien Facebook

Vous n'aimez pas le lifting de Facebook ? Le site Mashable propose cinq étapes pour revenir à l'ancienne présentation du réseau social.

Les interviews exclusives

Google Alertes

"un outil vraiment simple à la portée de tous"

Toutes les interviews

Collection CommentÇaMarche.net

Fabrice Lemainque

Tout pour bien utiliser Excel 2010

Plus de livres

Bagle - de chiki a moe [Résolu]