Bagle - de chiki a moe
Résolu/Fermé
A voir également:
- Bagle - de chiki a moe
- Extreme down moe - Accueil - Services en ligne
- Zone téléchargement moe - Accueil - Outils
- Comment faire une photo de moins de 2 mo ✓ - Forum Photo numérique
- Zone telechargement moe - Accueil - Services en ligne
- 100 mo internet combien de temps - Forum Mobile
717 réponses
Utilisateur anonyme
2 juin 2009 à 09:31
2 juin 2009 à 09:31
Bonjour tout le monde ,
Merci pour les marques de sympathie , ça fait toujours plaisir ;)
Il y a du nouveau chez bagle :
111wfs1intwq.sys remplace -> wfsintwq.sys
11s11ro1s1a2.sys remplace -> srosa2.sys
Un nouveau service -> 111111s1ro1s1a
-->> Fyk a été mis a jours en conséquence (V4.732)
Olivier , ce week end j ai fait avancée la beta quelques peut , pour corriger les soucis que tu m avais signalé .
Tu verras j ai commencée a me pencher sur le sujet Md5 . donc ça n a pas mal avancée .
J ai regardé aussi pour la detection des zip mais c est pas encore ça , une fois les zip collecté leur lecture n est pas vraiment bonne ...La dectection de l exe inclu et la comparaison de valeur Crc32 se passe mal .
si tu peux m aiguiller je veux bien .
j ai oter l option crack \ keygen du menu car pas vraiment utile .
Pour resumer il y a encore quelques details à regler avant la sortie du BB ;)
Au sujet du topic sur Zeb , il est vrai que ça pourrait etre interessnt d avoir des remontées de l étranger, des aides d autre auteurs de batch .
Ca me ferait avancer, ainsi que Fyk et UsbFix
Sinon , tu veux t envoler bel oiseau ? ;) bah je comprends pas de soucis .
De toute façon je ne peut que te remercier et demander un big applause , une ola , pour tes connaissances et ton savoir du partage !
Bonne journée @ toutes et tous .
@+
Merci pour les marques de sympathie , ça fait toujours plaisir ;)
Il y a du nouveau chez bagle :
111wfs1intwq.sys remplace -> wfsintwq.sys
11s11ro1s1a2.sys remplace -> srosa2.sys
Un nouveau service -> 111111s1ro1s1a
-->> Fyk a été mis a jours en conséquence (V4.732)
Olivier , ce week end j ai fait avancée la beta quelques peut , pour corriger les soucis que tu m avais signalé .
Tu verras j ai commencée a me pencher sur le sujet Md5 . donc ça n a pas mal avancée .
J ai regardé aussi pour la detection des zip mais c est pas encore ça , une fois les zip collecté leur lecture n est pas vraiment bonne ...La dectection de l exe inclu et la comparaison de valeur Crc32 se passe mal .
si tu peux m aiguiller je veux bien .
j ai oter l option crack \ keygen du menu car pas vraiment utile .
Pour resumer il y a encore quelques details à regler avant la sortie du BB ;)
Au sujet du topic sur Zeb , il est vrai que ça pourrait etre interessnt d avoir des remontées de l étranger, des aides d autre auteurs de batch .
Ca me ferait avancer, ainsi que Fyk et UsbFix
Sinon , tu veux t envoler bel oiseau ? ;) bah je comprends pas de soucis .
De toute façon je ne peut que te remercier et demander un big applause , une ola , pour tes connaissances et ton savoir du partage !
Bonne journée @ toutes et tous .
@+
Salut Chiquitine,
Je viens de tomber sur ton post à l'instant car je n'avais pas eu le temps de repasser sur le forum depuis le WE dernier.
J'avais commencé à préparer une réponse à tes questions, lorsqu'on m'a appris le retrait de FyK...
C'est un retrait provisoire ou définitif, Cédric ?
@++
Je viens de tomber sur ton post à l'instant car je n'avais pas eu le temps de repasser sur le forum depuis le WE dernier.
J'avais commencé à préparer une réponse à tes questions, lorsqu'on m'a appris le retrait de FyK...
C'est un retrait provisoire ou définitif, Cédric ?
@++
Utilisateur anonyme
29 janv. 2009 à 04:01
29 janv. 2009 à 04:01
re Olivier ,
tu l as rencontré celui ci : "appdata\driv" ?
perso sur ma machine non , je cherche des infos mais .. nada
ARRF le lien passe pas , google : Suspect ! - ae871130f2efb8c1cfb9d4d375c86931 C:\Documents and Settings\Proprietario\Dati applicazioni\driv\downld\1834937.exe
@+
tu l as rencontré celui ci : "appdata\driv" ?
perso sur ma machine non , je cherche des infos mais .. nada
ARRF le lien passe pas , google : Suspect ! - ae871130f2efb8c1cfb9d4d375c86931 C:\Documents and Settings\Proprietario\Dati applicazioni\driv\downld\1834937.exe
@+
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
30 janv. 2009 à 14:56
30 janv. 2009 à 14:56
Re,
Et si c'était "appdata\driv ..." (tronqué) ; ce qui donne un répertoire comme là-dedans:
http://translate.google.be/...
(il y a d'autres exemples pareils rencontrés)
Je ne trouve rien d'autre.
Désolé.
Al.
Et si c'était "appdata\driv ..." (tronqué) ; ce qui donne un répertoire comme là-dedans:
http://translate.google.be/...
(il y a d'autres exemples pareils rencontrés)
Je ne trouve rien d'autre.
Désolé.
Al.
moe
>
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
30 janv. 2009 à 16:02
30 janv. 2009 à 16:02
Salut Chiquitine, Afideg
Si on suis le post en question, l'avant dernière intervention de l'internaute donne la réponse lorsque la personne qui l'aide lui demande l'upload du contenu du dossier :
La cartella driv l'avevo rinominata io (era la cartella drivers del worm) nel tentativo di disattivarla,
Traduction :
Le dossier driv, je l'avais renommé moi même (c'était le dossier drivers du ver) pour tenter de le désactiver...
Tout est dit, fausse alerte :-)
@++
Si on suis le post en question, l'avant dernière intervention de l'internaute donne la réponse lorsque la personne qui l'aide lui demande l'upload du contenu du dossier :
La cartella driv l'avevo rinominata io (era la cartella drivers del worm) nel tentativo di disattivarla,
Traduction :
Le dossier driv, je l'avais renommé moi même (c'était le dossier drivers du ver) pour tenter de le désactiver...
Tout est dit, fausse alerte :-)
@++
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
29 janv. 2009 à 08:20
29 janv. 2009 à 08:20
UN Rapport qui passe pas ..
###################### [ FindyKill V4.715 ]
# User : Chiki - PC-DE-TEST
# Executed from : C:\Program Files\FindyKill
# Update on 29/01/09Nby Chiquitine29
# Start at 5:54:47 the 29/01/2009
# Windows Vista - Internet Explorer 7.0.6000.16764
# [ FindyKill V4.715 - Deleting ] ###############
\\\\\\\\\\\\\\\\\\ [ Active Processes ] ///////////////////
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe
\\\\\\\\\\\\\\\\\\ [ Infected Files / Folders ] ///////////////////
################## [ C:\ ]
################## [ C:\Windows ]
################## [ C:\Windows\Prefetch ]
################## [ C:\Windows\system32 ]
Deleted ! - C:\Windows\system32\mdelk.exe
Deleted ! - C:\Windows\system32\wintems.exe
Deleted ! - C:\Windows\system32\ban_list.txt
################## [ C:\Windows\system32\drivers ]
################## [ C:\Users\Chiki\AppData\Roaming ]
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\flec006.exe"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\list.oct"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\data.oct"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\srvlist.oct"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\shared"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\srosa2.sys"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\downld"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers"
################## [ C:\Users\Chiki\AppData\Local\Temp ]
################## [ C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5 ]
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\3LI0OY2Z\b64[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\3LI0OY2Z\b64_1[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\3LI0OY2Z\file[1].txt
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\AXNI9P1H\b64_2[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\ESD92VTE\b64[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\ESD92VTE\b64_1[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\ESD92VTE\b64_3[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\ESD92VTE\b64_3[2].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\QTFPMVW1\b64_1[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\QTFPMVW1\b64_1[2].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\QTFPMVW1\b64_2[1].jpg
\\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\FirtR
Deleted ! - HKEY_CURRENT_USER\Software\MuleAppData
Deleted ! - HKEY_CURRENT_USER\Software\FFC
Deleted ! - HKEY_USERS\S-1-5-21-2984117380-4132440800-2295897647-1000\Software\Local AppWizard-Generated Applications\keygen
Deleted ! - HKEY_USERS\S-1-5-21-2984117380-4132440800-2295897647-1000\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! - HKEY_USERS\S-1-5-21-2984117380-4132440800-2295897647-1000\Software\FFC
Deleted ! - HKEY_USERS\S-1-5-21-2984117380-4132440800-2295897647-1000\Software\MuleAppData
\\\\\\\\\\\\\\\\\\ [ States / Restarting of services ] ///////////////////
# Services : [ Auto=2 / Request=3 / Disable=4 ]
Ndisuio - # Type of startup = 3
EapHost - # Type of startup = 2
Wlansvc - # Type of startup = 2
SharedAccess - # Type of startup = 2
wuauserv - # Type of startup = 2
wscsvc - # Type of startup = 2
WinDefend - # Type of startup = 2
-> UAC is Enable
\\\\\\\\\\\\\\\\\\ [ Cleaning Removable drives ] ///////////////////
# Informations :
C: - Lecteur fixe
D: - Lecteur fixe
F: - Lecteur amovible
G: - Lecteur fixe
H: - Lecteur amovible
# deleting files :
\\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////
-> Not found !
\\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////
Références de comparaison Bagle MD5 :
7b9dcd05 C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
21001296c46671d4b18e11fdf3a9f339 C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
Suspect ! - 21001296c46671d4b18e11fdf3a9f339 C:\Program Files\Pando Networks\Pando\pando.exe
\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////
C:\Users\Chiki\Desktop\avast!.-.server_keyGEN.updated-fixed.07-2006 - Raccourci.lnk
C:\Program Files\CCleaner\CRACK.txt
G:\ACD Systems ACDSee v7.0.102 PowerPack keygen by CORE.zip
G:\$RECYCLE.BIN\S-1-5-21-1166691940-113040777-1741962293-1000\$RT2DBGI\Winrar 3.71 le dernier\keygenpatch.exe
G:\$RECYCLE.BIN\S-1-5-21-1166691940-113040777-1741962293-1000\$RXQS8NA\Guitar Pro V 5.2\Keygen.exe
G:\$RECYCLE.BIN\S-1-5-21-977598231-4271003828-990102855-1000\$RDSLICD\keygenpatch.exe
G:\ZZZZ\Adobe\Adobe Firework CS3\KeyGen_AIO_CS3.exe
G:\ZZZZ\Adobe\Adobe Premiere CS3 Pro\Crack\Keygen.exe
G:\ZZZZ\Adobe\Adobe.Photoshop.Elements.6.0\keygen.exe
G:\ZZZZ\adobe en cours\Adobe Contribute Cs3 Keygen
G:\ZZZZ\adobe en cours\Adobe.Soundbooth.CS3.V1.0.Incl.KeyGen.-.Haze.iso
G:\ZZZZ\adobe en cours\Adobe Contribute Cs3 Keygen\lzdd9p37\Linezer0\Crack contribute CS3\Adobe Contribute CS3 Keygen.exe
G:\ZZZZ\adobe en cours\Crack contribute CS3\Adobe Contribute CS3 Keygen.exe
G:\ZZZZ\Microsoft\Crack xp sp2\KeyGen.exe
G:\ZZZZ\S‚curit‚\Malwarebytes.Anti-Malware\Malwarebytes.Anti-Malware\keygen Malewarebyte
G:\ZZZZ\S‚curit‚\Malwarebytes.Anti-Malware\Malwarebytes.Anti-Malware\keygen Malewarebyte\keygen.exe
G:\ZZZZ\S‚curit‚\Malwarebytes.Anti-Malware\Malwarebytes.Anti-Malware\keygen Malewarebyte\keygen.rar
G:\ZZZZ\Utilitaires\Glary pro + Keygen.rar
G:\ZZZZ\Utilitaires\Winrar 3.71 le dernier\keygenpatch.exe
G:\ZZZZ\Utilitaires\Winrar 3.8 Beta2\Winrar 3.8 Beta\keygenpatch.exe
H:\Crack XP
H:\[Crack].Kaspersky.Internet.Security.2006.by.CORE.zip
H:\Crack XP\Windows XP Password Cracker (CDROM arranque crackear contrase¤a Win).zip
H:\Crack XP\Windows XP Pro & Familial Fr - S‚rials & cl‚ d'activation crack.zip
H:\Crack XP\Microsoft Windows Xp Media Center Edition Octobre 2006 Activation Crack Genuine (Ghost168 Wga Patch).rar
H:\Crack XP\Win XP SP2 Activator _ Activacion Windows XP_ Profesional_Service pack 2_PRO_CRACK_KEYGEN.zip
H:\Crack XP\Microsoft Product Activation Crack All Products Office Windows Xp 2003 Pro Professional Home Server Enterprise (Ghost168 Wga Patch).zip
H:\Crack XP\(CRACK) Windows XP - Activation Crack (Home Edition & Professional).zip
H:\Crack XP\Crack XP.exe
H:\Kerio.WinRoute.Firewall.v5.1.8.with.integrated.McAfee-FCN-Pleasuredome101\crack.nfo
################## [ ! End of report # FindyKill V4.715 ! ]
###################### [ FindyKill V4.715 ]
# User : Chiki - PC-DE-TEST
# Executed from : C:\Program Files\FindyKill
# Update on 29/01/09Nby Chiquitine29
# Start at 5:54:47 the 29/01/2009
# Windows Vista - Internet Explorer 7.0.6000.16764
# [ FindyKill V4.715 - Deleting ] ###############
\\\\\\\\\\\\\\\\\\ [ Active Processes ] ///////////////////
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe
\\\\\\\\\\\\\\\\\\ [ Infected Files / Folders ] ///////////////////
################## [ C:\ ]
################## [ C:\Windows ]
################## [ C:\Windows\Prefetch ]
################## [ C:\Windows\system32 ]
Deleted ! - C:\Windows\system32\mdelk.exe
Deleted ! - C:\Windows\system32\wintems.exe
Deleted ! - C:\Windows\system32\ban_list.txt
################## [ C:\Windows\system32\drivers ]
################## [ C:\Users\Chiki\AppData\Roaming ]
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\flec006.exe"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\list.oct"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\data.oct"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\srvlist.oct"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\shared"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\srosa2.sys"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\downld"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers"
################## [ C:\Users\Chiki\AppData\Local\Temp ]
################## [ C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5 ]
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\3LI0OY2Z\b64[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\3LI0OY2Z\b64_1[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\3LI0OY2Z\file[1].txt
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\AXNI9P1H\b64_2[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\ESD92VTE\b64[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\ESD92VTE\b64_1[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\ESD92VTE\b64_3[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\ESD92VTE\b64_3[2].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\QTFPMVW1\b64_1[1].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\QTFPMVW1\b64_1[2].jpg
Deleted ! - C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\QTFPMVW1\b64_2[1].jpg
\\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\FirtR
Deleted ! - HKEY_CURRENT_USER\Software\MuleAppData
Deleted ! - HKEY_CURRENT_USER\Software\FFC
Deleted ! - HKEY_USERS\S-1-5-21-2984117380-4132440800-2295897647-1000\Software\Local AppWizard-Generated Applications\keygen
Deleted ! - HKEY_USERS\S-1-5-21-2984117380-4132440800-2295897647-1000\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! - HKEY_USERS\S-1-5-21-2984117380-4132440800-2295897647-1000\Software\FFC
Deleted ! - HKEY_USERS\S-1-5-21-2984117380-4132440800-2295897647-1000\Software\MuleAppData
\\\\\\\\\\\\\\\\\\ [ States / Restarting of services ] ///////////////////
# Services : [ Auto=2 / Request=3 / Disable=4 ]
Ndisuio - # Type of startup = 3
EapHost - # Type of startup = 2
Wlansvc - # Type of startup = 2
SharedAccess - # Type of startup = 2
wuauserv - # Type of startup = 2
wscsvc - # Type of startup = 2
WinDefend - # Type of startup = 2
-> UAC is Enable
\\\\\\\\\\\\\\\\\\ [ Cleaning Removable drives ] ///////////////////
# Informations :
C: - Lecteur fixe
D: - Lecteur fixe
F: - Lecteur amovible
G: - Lecteur fixe
H: - Lecteur amovible
# deleting files :
\\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////
-> Not found !
\\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////
Références de comparaison Bagle MD5 :
7b9dcd05 C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
21001296c46671d4b18e11fdf3a9f339 C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
Suspect ! - 21001296c46671d4b18e11fdf3a9f339 C:\Program Files\Pando Networks\Pando\pando.exe
\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////
C:\Users\Chiki\Desktop\avast!.-.server_keyGEN.updated-fixed.07-2006 - Raccourci.lnk
C:\Program Files\CCleaner\CRACK.txt
G:\ACD Systems ACDSee v7.0.102 PowerPack keygen by CORE.zip
G:\$RECYCLE.BIN\S-1-5-21-1166691940-113040777-1741962293-1000\$RT2DBGI\Winrar 3.71 le dernier\keygenpatch.exe
G:\$RECYCLE.BIN\S-1-5-21-1166691940-113040777-1741962293-1000\$RXQS8NA\Guitar Pro V 5.2\Keygen.exe
G:\$RECYCLE.BIN\S-1-5-21-977598231-4271003828-990102855-1000\$RDSLICD\keygenpatch.exe
G:\ZZZZ\Adobe\Adobe Firework CS3\KeyGen_AIO_CS3.exe
G:\ZZZZ\Adobe\Adobe Premiere CS3 Pro\Crack\Keygen.exe
G:\ZZZZ\Adobe\Adobe.Photoshop.Elements.6.0\keygen.exe
G:\ZZZZ\adobe en cours\Adobe Contribute Cs3 Keygen
G:\ZZZZ\adobe en cours\Adobe.Soundbooth.CS3.V1.0.Incl.KeyGen.-.Haze.iso
G:\ZZZZ\adobe en cours\Adobe Contribute Cs3 Keygen\lzdd9p37\Linezer0\Crack contribute CS3\Adobe Contribute CS3 Keygen.exe
G:\ZZZZ\adobe en cours\Crack contribute CS3\Adobe Contribute CS3 Keygen.exe
G:\ZZZZ\Microsoft\Crack xp sp2\KeyGen.exe
G:\ZZZZ\S‚curit‚\Malwarebytes.Anti-Malware\Malwarebytes.Anti-Malware\keygen Malewarebyte
G:\ZZZZ\S‚curit‚\Malwarebytes.Anti-Malware\Malwarebytes.Anti-Malware\keygen Malewarebyte\keygen.exe
G:\ZZZZ\S‚curit‚\Malwarebytes.Anti-Malware\Malwarebytes.Anti-Malware\keygen Malewarebyte\keygen.rar
G:\ZZZZ\Utilitaires\Glary pro + Keygen.rar
G:\ZZZZ\Utilitaires\Winrar 3.71 le dernier\keygenpatch.exe
G:\ZZZZ\Utilitaires\Winrar 3.8 Beta2\Winrar 3.8 Beta\keygenpatch.exe
H:\Crack XP
H:\[Crack].Kaspersky.Internet.Security.2006.by.CORE.zip
H:\Crack XP\Windows XP Password Cracker (CDROM arranque crackear contrase¤a Win).zip
H:\Crack XP\Windows XP Pro & Familial Fr - S‚rials & cl‚ d'activation crack.zip
H:\Crack XP\Microsoft Windows Xp Media Center Edition Octobre 2006 Activation Crack Genuine (Ghost168 Wga Patch).rar
H:\Crack XP\Win XP SP2 Activator _ Activacion Windows XP_ Profesional_Service pack 2_PRO_CRACK_KEYGEN.zip
H:\Crack XP\Microsoft Product Activation Crack All Products Office Windows Xp 2003 Pro Professional Home Server Enterprise (Ghost168 Wga Patch).zip
H:\Crack XP\(CRACK) Windows XP - Activation Crack (Home Edition & Professional).zip
H:\Crack XP\Crack XP.exe
H:\Kerio.WinRoute.Firewall.v5.1.8.with.integrated.McAfee-FCN-Pleasuredome101\crack.nfo
################## [ ! End of report # FindyKill V4.715 ! ]
Utilisateur anonyme
29 janv. 2009 à 11:18
29 janv. 2009 à 11:18
>>pour les helpeurs qui suivent cette discusion, une option a été rajouté a la version V4.715
c est l option 4 : Recherche Cracks / Keygens
cette recherche se fait sur le pc et sur les disques amovibles , il est donc important qu ils soient branché ..
###################### [ FindyKill V4.715 ]
# User : Chiki - PC-DE-TEST
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours 29/01/09 par Chiquitine29
# Recherche effectuée à 11:15:25 le 29/01/2009
# Windows Vista - Internet Explorer 7.0.6000.16764
# [ FindyKill V4.715 - Scan ] ##############
\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////
C:\Program Files\CCleaner\CRACK.txt
H:\Crack XP
H:\[Crack].Kaspersky.Internet.Security.2006.by.CORE.zip
H:\Crack XP\Windows XP Password Cracker (CDROM arranque crackear contrase¤a Win).zip
H:\Crack XP\Windows XP Pro & Familial Fr - S‚rials & cl‚ d'activation crack.zip
H:\Crack XP\Microsoft Windows Xp Media Center Edition Octobre 2006 Activation Crack Genuine (Ghost168 Wga Patch).rar
H:\Crack XP\Win XP SP2 Activator _ Activacion Windows XP_ Profesional_Service pack 2_PRO_CRACK_KEYGEN.zip
H:\Crack XP\Microsoft Product Activation Crack All Products Office Windows Xp 2003 Pro Professional Home Server Enterprise (Ghost168 Wga Patch).zip
H:\Crack XP\(CRACK) Windows XP - Activation Crack (Home Edition & Professional).zip
H:\Crack XP\Crack XP.exe
H:\Kerio.WinRoute.Firewall.v5.1.8.with.integrated.McAfee-FCN-Pleasuredome101\crack.nfo
################## [ ! Fin du rapport # FindyKill V4.715 ! ]
le rapport sera aussi "findykill.txt"
@+
c est l option 4 : Recherche Cracks / Keygens
cette recherche se fait sur le pc et sur les disques amovibles , il est donc important qu ils soient branché ..
###################### [ FindyKill V4.715 ]
# User : Chiki - PC-DE-TEST
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours 29/01/09 par Chiquitine29
# Recherche effectuée à 11:15:25 le 29/01/2009
# Windows Vista - Internet Explorer 7.0.6000.16764
# [ FindyKill V4.715 - Scan ] ##############
\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////
C:\Program Files\CCleaner\CRACK.txt
H:\Crack XP
H:\[Crack].Kaspersky.Internet.Security.2006.by.CORE.zip
H:\Crack XP\Windows XP Password Cracker (CDROM arranque crackear contrase¤a Win).zip
H:\Crack XP\Windows XP Pro & Familial Fr - S‚rials & cl‚ d'activation crack.zip
H:\Crack XP\Microsoft Windows Xp Media Center Edition Octobre 2006 Activation Crack Genuine (Ghost168 Wga Patch).rar
H:\Crack XP\Win XP SP2 Activator _ Activacion Windows XP_ Profesional_Service pack 2_PRO_CRACK_KEYGEN.zip
H:\Crack XP\Microsoft Product Activation Crack All Products Office Windows Xp 2003 Pro Professional Home Server Enterprise (Ghost168 Wga Patch).zip
H:\Crack XP\(CRACK) Windows XP - Activation Crack (Home Edition & Professional).zip
H:\Crack XP\Crack XP.exe
H:\Kerio.WinRoute.Firewall.v5.1.8.with.integrated.McAfee-FCN-Pleasuredome101\crack.nfo
################## [ ! Fin du rapport # FindyKill V4.715 ! ]
le rapport sera aussi "findykill.txt"
@+
Salut Cédric,
Tout d'abord, merci pour tes explications, sache que je comprends tout à fait tes choix...
Je trouve vraiment judicieuses les modifications que tu as apporté à FYK depuis les dernières versions, le rapport est on ne peut plus clair, net et concis, et a énormément gagné en lisibilité, en taille sans affecter l'essentiel de ce qu'il doit contenir.
Le fait de passer la recherche de crack en option supplémentaire est aussi une très bonne idée car du coup l'outil gagnera en rapidité d'exécution et le rapport en clarté/taille, ce qui n'est pas négligeable :-)
Concernant tes questions, mieux vaut les aborder point par point, ce sera plus facile :-)
Donc première chose, le header et aujourd'hui il ressemble à ceci :
Montre moi ce à quoi tu voudrais qu'il ressemble exactement et je verrais ce que je peux faire d'ici à ce we, en VBS et via WMI.
Pour ma part c'est la seule méthode que je connaisse et la plus rapide pour détecter l'av/fw et son status.
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
Très franchement, je ne crois pas que le jeu en vaille la chandelle cédric.
Bagle modifie les *.exe des AV/FW, théoriquement il est possible de les réparer car la modif n'est pas un écrasement total du fichier remplacé par le code du ver, mais une simple petite modif permettant à l'exe de ne plus être reconnu en tant que tel, ce qui génère le fameux message "...n'est pas une application Win32 valide" lorqu'on tente de l'exécuter.
Le problème c'est qu'une fois ces *.exe réparés, j'ai constaté pour ma part que beaucoup d'AV n'acceptaient pas cette réparation et refusaient que l'exe soit exécuté.
C'est du je pense à une auto-protection de l'av contre la modification de ses fichiers.
Donc finalement tu te retrouverais exactement dans la même position qu'au départ.
Puis, vu que l'AV et le FW sont des pièces maitresses de la protection du pc, ne vaut-il pas mieux les faire réinstaller proprement avec des versions clean, plutôt que de prendre le risque de mal réparer et de laisser des protections bancales ?
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli .
Oui j'ai vu.
Un oubli par qui ? Les tools de déinfection ?
Si cette variante n'est passé que très rapidement, c'est comprehensible car ce n'est évident d'être réactif au jour près...
Possible que ce soit passé au travers, mais bon en même temps cet oubli ne portait pas à conséquence au niveau d'une réinfection, donc si le tir a été rectfié depuis, ce n'est pas très grave.
Concernant appdata\driv, je n'ai pas d'info moi non plus mais je vais me renseigner auprès d'un contact en italie et je te tiens au courant si c'est positif.
@+ tard !
Tout d'abord, merci pour tes explications, sache que je comprends tout à fait tes choix...
Je trouve vraiment judicieuses les modifications que tu as apporté à FYK depuis les dernières versions, le rapport est on ne peut plus clair, net et concis, et a énormément gagné en lisibilité, en taille sans affecter l'essentiel de ce qu'il doit contenir.
Le fait de passer la recherche de crack en option supplémentaire est aussi une très bonne idée car du coup l'outil gagnera en rapidité d'exécution et le rapport en clarté/taille, ce qui n'est pas négligeable :-)
Concernant tes questions, mieux vaut les aborder point par point, ce sera plus facile :-)
Donc première chose, le header et aujourd'hui il ressemble à ceci :
# User : Chiki - PC-DE-TEST # Executed from : C:\Program Files\FindyKill # Update on 29/01/09Nby Chiquitine29 # Start at 5:54:47 the 29/01/2009 # Windows Vista - Internet Explorer 7.0.6000.16764
Montre moi ce à quoi tu voudrais qu'il ressemble exactement et je verrais ce que je peux faire d'ici à ce we, en VBS et via WMI.
Pour ma part c'est la seule méthode que je connaisse et la plus rapide pour détecter l'av/fw et son status.
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
Très franchement, je ne crois pas que le jeu en vaille la chandelle cédric.
Bagle modifie les *.exe des AV/FW, théoriquement il est possible de les réparer car la modif n'est pas un écrasement total du fichier remplacé par le code du ver, mais une simple petite modif permettant à l'exe de ne plus être reconnu en tant que tel, ce qui génère le fameux message "...n'est pas une application Win32 valide" lorqu'on tente de l'exécuter.
Le problème c'est qu'une fois ces *.exe réparés, j'ai constaté pour ma part que beaucoup d'AV n'acceptaient pas cette réparation et refusaient que l'exe soit exécuté.
C'est du je pense à une auto-protection de l'av contre la modification de ses fichiers.
Donc finalement tu te retrouverais exactement dans la même position qu'au départ.
Puis, vu que l'AV et le FW sont des pièces maitresses de la protection du pc, ne vaut-il pas mieux les faire réinstaller proprement avec des versions clean, plutôt que de prendre le risque de mal réparer et de laisser des protections bancales ?
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli .
Oui j'ai vu.
Un oubli par qui ? Les tools de déinfection ?
Si cette variante n'est passé que très rapidement, c'est comprehensible car ce n'est évident d'être réactif au jour près...
Possible que ce soit passé au travers, mais bon en même temps cet oubli ne portait pas à conséquence au niveau d'une réinfection, donc si le tir a été rectfié depuis, ce n'est pas très grave.
Concernant appdata\driv, je n'ai pas d'info moi non plus mais je vais me renseigner auprès d'un contact en italie et je te tiens au courant si c'est positif.
@+ tard !
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
30 janv. 2009 à 14:29
30 janv. 2009 à 14:29
Re,
Salut Chiquitine et mOe,
Cit. « une option 4 a été rajoutée à la version V4.715 »
Merci
Al.
Salut Chiquitine et mOe,
Cit. « une option 4 a été rajoutée à la version V4.715 »
Merci
Al.
Utilisateur anonyme
30 janv. 2009 à 18:56
30 janv. 2009 à 18:56
Bonsoir moe ,AL
Je suis aussi assez satisfait de la mise en page du rapport aussi.
Montre moi ce à quoi tu voudrais qu'il ressemble exactement et je verrais ce que je peux faire d'ici à ce we, en VBS et via WMI.
Pour ma part c'est la seule méthode que je connaisse et la plus rapide pour détecter l'av/fw et son status
Très franchement, je ne crois pas que le jeu en vaille la chandelle cédric
Ouais , de toute façon comme tu dis , il est preferable de réinstaller "les solutions de sécu"
cncernant le vbs , te prend pas la tete , car là il n y a plus d interet a afficher l av etc , tout au plus l id windows et le sp ,
ce qui est possible en exportant certaines clé , mais c est sur que avec un vbs c est plus simple et plus rapide
Concernant system32/winupgro.exe , je me suis mal expliqué , mais j ai trouvé ma reponse
pour appdata\driv .. -;) c est clair "falsa alarma"
suis bete car l italien est une langue que je comprend dans les grandes lignes , et j ai pas pris la peine de lire le topic
en fait , je me suis basé sur le rapport , et comme j ai vu appdata\drivers >deleted et suspect driv , dans ma tete , je me suis dis houla ,
y en a deux .. mais au vu du rapport on voir bien que c est une recréation
concernant les cracks\keygen la recherche est aussi faite en fin de kill
ça sera supprimé dans le futur ne laissant apparaitre que les zip rar contenant "la source" et indiqué dans search for other..
opération qui reste a travailler , pour l option 4 , je pense qu elle est interessante puisque qu elle ouvrira un debas
entre l user et le "aidant"
pour cette option , je reprendrai certainement ta méthode (zipB) ...
sinon je pense a une option 5 , mais je la garde dans dans mes "projets" puisque que c est juste une idée pour le moment,
je t en parlerai le moment venu
si je continue dans les projets , il y aura certainement l ajout d une langue supplémentaire ( le catalan )
voila , si tu veux te lancer dans un vbs... etc , ce que j aimerais ça serais effectivement l id , le sp et pour les lecteurs afficher le nom du volume etc ...
ceci ne pourra que apporter de l esthetique , info supplémentaires
donc si on fais un exemple ça pourrait donner :
###################### [ FindyKill V4.715 ]
# User : Chiki - PC-DE-TEST
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours 29/01/09 par Chiquitine29
# Recherche effectuée à 18:37:37 le 30/01/2009
# Windows Vista Edition intégrale service pack 1
# Internet Explorer 7.0.6000.16764
# Av : Antivir -> killé by notre amis -;)
# FW : Firewall windows ->ok
# [ FindyKill V4.715 - Scan ] ##############
\\\\\\\\\\\\\\\\\\ [ Recherche dans supports amovibles] ///////////////////
# Informations :
C: - Lecteur fixe - Vista Intégrale
D: - Lecteur fixe - Windows XP
F: - Lecteur amovible - Kingston
G: - Lecteur fixe - Videotheque
H: - Lecteur amovible - Kingston
apres les infos celle du vbs , on peut les retranscrire sous forme de commande , je pense que c est une bonne soluce
Voila dans les grandes lignes ,
sinon je voulais aborder un sujet avec toi , le blue screen en debut de kill
perso je travail essentiellement sous vista , denigrant un peut xp
dans les centaines de test effectué sur ma machine , j ai rarement constaté le blue screen
meme en laçant l infection et en allant direct au kill .... j aurais aimé avoir ton opinion sur le sujet
kiss @+
Je suis aussi assez satisfait de la mise en page du rapport aussi.
Montre moi ce à quoi tu voudrais qu'il ressemble exactement et je verrais ce que je peux faire d'ici à ce we, en VBS et via WMI.
Pour ma part c'est la seule méthode que je connaisse et la plus rapide pour détecter l'av/fw et son status
Très franchement, je ne crois pas que le jeu en vaille la chandelle cédric
Ouais , de toute façon comme tu dis , il est preferable de réinstaller "les solutions de sécu"
cncernant le vbs , te prend pas la tete , car là il n y a plus d interet a afficher l av etc , tout au plus l id windows et le sp ,
ce qui est possible en exportant certaines clé , mais c est sur que avec un vbs c est plus simple et plus rapide
Concernant system32/winupgro.exe , je me suis mal expliqué , mais j ai trouvé ma reponse
pour appdata\driv .. -;) c est clair "falsa alarma"
suis bete car l italien est une langue que je comprend dans les grandes lignes , et j ai pas pris la peine de lire le topic
en fait , je me suis basé sur le rapport , et comme j ai vu appdata\drivers >deleted et suspect driv , dans ma tete , je me suis dis houla ,
y en a deux .. mais au vu du rapport on voir bien que c est une recréation
concernant les cracks\keygen la recherche est aussi faite en fin de kill
ça sera supprimé dans le futur ne laissant apparaitre que les zip rar contenant "la source" et indiqué dans search for other..
opération qui reste a travailler , pour l option 4 , je pense qu elle est interessante puisque qu elle ouvrira un debas
entre l user et le "aidant"
pour cette option , je reprendrai certainement ta méthode (zipB) ...
sinon je pense a une option 5 , mais je la garde dans dans mes "projets" puisque que c est juste une idée pour le moment,
je t en parlerai le moment venu
si je continue dans les projets , il y aura certainement l ajout d une langue supplémentaire ( le catalan )
voila , si tu veux te lancer dans un vbs... etc , ce que j aimerais ça serais effectivement l id , le sp et pour les lecteurs afficher le nom du volume etc ...
ceci ne pourra que apporter de l esthetique , info supplémentaires
donc si on fais un exemple ça pourrait donner :
###################### [ FindyKill V4.715 ]
# User : Chiki - PC-DE-TEST
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours 29/01/09 par Chiquitine29
# Recherche effectuée à 18:37:37 le 30/01/2009
# Windows Vista Edition intégrale service pack 1
# Internet Explorer 7.0.6000.16764
# Av : Antivir -> killé by notre amis -;)
# FW : Firewall windows ->ok
# [ FindyKill V4.715 - Scan ] ##############
\\\\\\\\\\\\\\\\\\ [ Recherche dans supports amovibles] ///////////////////
# Informations :
C: - Lecteur fixe - Vista Intégrale
D: - Lecteur fixe - Windows XP
F: - Lecteur amovible - Kingston
G: - Lecteur fixe - Videotheque
H: - Lecteur amovible - Kingston
apres les infos celle du vbs , on peut les retranscrire sous forme de commande , je pense que c est une bonne soluce
Voila dans les grandes lignes ,
sinon je voulais aborder un sujet avec toi , le blue screen en debut de kill
perso je travail essentiellement sous vista , denigrant un peut xp
dans les centaines de test effectué sur ma machine , j ai rarement constaté le blue screen
meme en laçant l infection et en allant direct au kill .... j aurais aimé avoir ton opinion sur le sujet
kiss @+
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
30 janv. 2009 à 19:23
30 janv. 2009 à 19:23
Re,
Chiquitine accepte ce petit détail :
Ici: # Outils Mis a jours 29/01/09 par Chiquitine29
J'écrirais: # Outil mis à jour le 29/01/09 par Chiquitine29
Très humblement et simplement. ;)
Albert
Chiquitine accepte ce petit détail :
Ici: # Outils Mis a jours 29/01/09 par Chiquitine29
J'écrirais: # Outil mis à jour le 29/01/09 par Chiquitine29
Très humblement et simplement. ;)
Albert
Utilisateur anonyme
30 janv. 2009 à 19:52
30 janv. 2009 à 19:52
Salut TLM,
Bravo Cedric pour ton travail, et tu as bien fait de revenir sur ta décision concernant le retrait de Findykill ;)
++
Bravo Cedric pour ton travail, et tu as bien fait de revenir sur ta décision concernant le retrait de Findykill ;)
++
Utilisateur anonyme
30 janv. 2009 à 20:04
30 janv. 2009 à 20:04
RE,
@ Albert :
###################### [ FindyKill V4.716 ]
# User : Chiki - PC-DE-TEST
# Emplacement : C:\Program Files\FindyKill
# Outil Mis a jours le 29/01/09 par Afideg
# Recherche effectuée à 19:57:52 le 30/01/2009
# Windows Vista - Internet Explorer 7.0.6000.16764
# [ FindyKill V4.716 - Scan ] ##############
\\\\\\\\\\\\\\\\\\\\ [ Processus actifs ] ///////////////////
-;)
@ Cyril , hé bien merci , mais je te retourne le compliment et te remercie pour ta participation a cet outil ,
tu as été present dès le début , donc merci
pour info la traduction anglaise est de cyril , l espagnol de moi , le catalan si ok sera de Cristina (une amie...)
@+
@ Albert :
###################### [ FindyKill V4.716 ]
# User : Chiki - PC-DE-TEST
# Emplacement : C:\Program Files\FindyKill
# Outil Mis a jours le 29/01/09 par Afideg
# Recherche effectuée à 19:57:52 le 30/01/2009
# Windows Vista - Internet Explorer 7.0.6000.16764
# [ FindyKill V4.716 - Scan ] ##############
\\\\\\\\\\\\\\\\\\\\ [ Processus actifs ] ///////////////////
-;)
@ Cyril , hé bien merci , mais je te retourne le compliment et te remercie pour ta participation a cet outil ,
tu as été present dès le début , donc merci
pour info la traduction anglaise est de cyril , l espagnol de moi , le catalan si ok sera de Cristina (une amie...)
@+
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
30 janv. 2009 à 20:06
30 janv. 2009 à 20:06
Re
Non ==> # Outil Mis a jours le ...
Oui ==> # Outil mis à jour le ...
Al ;)
Non ==> # Outil Mis a jours le ...
Oui ==> # Outil mis à jour le ...
Al ;)
Utilisateur anonyme
30 janv. 2009 à 20:07
30 janv. 2009 à 20:07
lol
méchant garçon -;)
méchant garçon -;)
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
30 janv. 2009 à 20:09
30 janv. 2009 à 20:09
Hi,hi
Il faut le plus beau costume à cet outil remarquable.
Al.
Il faut le plus beau costume à cet outil remarquable.
Al.
Utilisateur anonyme
30 janv. 2009 à 20:11
30 janv. 2009 à 20:11
mdr,
oui , c est des détails , mais ils ont leur importance , j ai rectifié ça
merci Al.
oui , c est des détails , mais ils ont leur importance , j ai rectifié ça
merci Al.
Utilisateur anonyme
30 janv. 2009 à 21:26
30 janv. 2009 à 21:26
salut Tch'
je viens de remarquer un truc ahurissant (peut etre banal pour toi):
avant l utilisation de findykill2 , mon processseur tournait à 2.70 Ghz (Intel E6600)
apres l utilisation de findykill2 , mon processseur tourne à 2.71 Ghz
petite action sur le processeur ?
peut etre un aide pour tes recherches ?
Cordialement
je viens de remarquer un truc ahurissant (peut etre banal pour toi):
avant l utilisation de findykill2 , mon processseur tournait à 2.70 Ghz (Intel E6600)
apres l utilisation de findykill2 , mon processseur tourne à 2.71 Ghz
petite action sur le processeur ?
peut etre un aide pour tes recherches ?
Cordialement
Utilisateur anonyme
30 janv. 2009 à 21:45
30 janv. 2009 à 21:45
re,
Salut Gen..
salut Tch' y varra ... -;)
oui en effet , et la prochaine maj : change , le proc , elle installe un 4 corrazon , colle 4 g de ram, un refroidissement liquide, instal des néons dans la tour etc ...
bien sur le tout , est en discussion avec les fournisseurs -;)
Si t as passé FYK sur une machine non infecté , la seule chose de positif que tu auras sera une nettoyage des temps
je lol bien sur
@+
Salut Gen..
salut Tch' y varra ... -;)
oui en effet , et la prochaine maj : change , le proc , elle installe un 4 corrazon , colle 4 g de ram, un refroidissement liquide, instal des néons dans la tour etc ...
bien sur le tout , est en discussion avec les fournisseurs -;)
Si t as passé FYK sur une machine non infecté , la seule chose de positif que tu auras sera une nettoyage des temps
je lol bien sur
@+
Bonsoir à tous,
cncernant le vbs , te prend pas la tete , car là il n y a plus d interet a afficher l av etc , tout au plus l id windows et le sp ,ce qui est possible en exportant certaines clé , mais c est sur que avec un vbs c est plus simple et plus rapide...
Bah trop tard lol, mais bon tout dans le VBS que je te propose est et sera modifiable en fonction de ce que tu voudras conserver.
Concernant la détection AV/FW ça peut avoir son utilité, ne serait-ce que pour savoir rapidement quelles sont les protections installées.
Par contre cette détection ne fonctionne pas sous les versions d'xp en dessous d'un pack2 si je ne dis pas de bétises, donc faudra pas s'affoler si le rapport ne les mentionnent pas dans ce cas.
J'ai vu aussi que le status du firewall d'XP est rarement mentionné, donc j'ai rajouté une petite détection en ce sens.
Mais bon le démarrage du service le concernant par fyk étant laissé à la demande de l'utilisateur (0x3), son status ne devrait pas souvent être mentionné...Donc çà c'est juste pour le fun :-)
A toi de voir ce que tu veux garder ou supprimer et surtout de vérifier s'il tourne correctement sous vista :-)
Ensuite on en reparlera en fonction de tes choix.
Le script est ici : http://cjoint.com/data/cbvIZOE5AJ_Header_FYK.txt
pour cette option , je reprendrai certainement ta méthode (zipB) ...
Pour les zip sources alors ?
Si tu la prends pour une option à part entière va falloir alors que tu prévois des backups de l'infection, sinon ça risque d'être difficile de récupérer un CRC32 de fichiers qui n'existent plus :-)
J'essayerais de voir s'il est possible de se passer du crc32 et d'aller chercher direct le string "themida" dans l'exe d'une archive, dans ce cas ça pourrait simplifier les choses.
Bref...To be continued... lol
sinon je voulais aborder un sujet avec toi , le blue screen en debut de kill
Ca m'est arrivé aussi, rarement c'est vrai, mais j'ai pu constater que certaines fois le fait d'arréter les processus de l'infection ou de vouloir jouer avec le service srosa, pouvait les provoquer.
Idem avec des tools comme RKU, dont l'utilisation peut parfois générer un blue screen avec cette infection.
Par contre, pour ma part ça ne s'est jamais reproduit deux fois de suite, un reboot aura suffit en général pour que le tool reprenne la main comme prévu.
Pourquoi ? Tu as eu beaucoups de remontées sur des BSOD ?
Sur un OS en particulier ?
@++
cncernant le vbs , te prend pas la tete , car là il n y a plus d interet a afficher l av etc , tout au plus l id windows et le sp ,ce qui est possible en exportant certaines clé , mais c est sur que avec un vbs c est plus simple et plus rapide...
Bah trop tard lol, mais bon tout dans le VBS que je te propose est et sera modifiable en fonction de ce que tu voudras conserver.
Concernant la détection AV/FW ça peut avoir son utilité, ne serait-ce que pour savoir rapidement quelles sont les protections installées.
Par contre cette détection ne fonctionne pas sous les versions d'xp en dessous d'un pack2 si je ne dis pas de bétises, donc faudra pas s'affoler si le rapport ne les mentionnent pas dans ce cas.
J'ai vu aussi que le status du firewall d'XP est rarement mentionné, donc j'ai rajouté une petite détection en ce sens.
Mais bon le démarrage du service le concernant par fyk étant laissé à la demande de l'utilisateur (0x3), son status ne devrait pas souvent être mentionné...Donc çà c'est juste pour le fun :-)
A toi de voir ce que tu veux garder ou supprimer et surtout de vérifier s'il tourne correctement sous vista :-)
Ensuite on en reparlera en fonction de tes choix.
Le script est ici : http://cjoint.com/data/cbvIZOE5AJ_Header_FYK.txt
pour cette option , je reprendrai certainement ta méthode (zipB) ...
Pour les zip sources alors ?
Si tu la prends pour une option à part entière va falloir alors que tu prévois des backups de l'infection, sinon ça risque d'être difficile de récupérer un CRC32 de fichiers qui n'existent plus :-)
J'essayerais de voir s'il est possible de se passer du crc32 et d'aller chercher direct le string "themida" dans l'exe d'une archive, dans ce cas ça pourrait simplifier les choses.
Bref...To be continued... lol
sinon je voulais aborder un sujet avec toi , le blue screen en debut de kill
Ca m'est arrivé aussi, rarement c'est vrai, mais j'ai pu constater que certaines fois le fait d'arréter les processus de l'infection ou de vouloir jouer avec le service srosa, pouvait les provoquer.
Idem avec des tools comme RKU, dont l'utilisation peut parfois générer un blue screen avec cette infection.
Par contre, pour ma part ça ne s'est jamais reproduit deux fois de suite, un reboot aura suffit en général pour que le tool reprenne la main comme prévu.
Pourquoi ? Tu as eu beaucoups de remontées sur des BSOD ?
Sur un OS en particulier ?
@++
Utilisateur anonyme
30 janv. 2009 à 22:25
30 janv. 2009 à 22:25
et une protection residente anti-Bagle , ce serait possile ?
Utilisateur anonyme
30 janv. 2009 à 23:00
30 janv. 2009 à 23:00
re moe , Gen ,
@ gen :
et une protection residente anti-Bagle , ce serait possile ?
ça pourrais etre limite envisageble mais l outil en ai pas encore là -;)
@ moe :
Si tu la prends pour une option à part entière va falloir alors que tu prévois des backups de l'infection, sinon ça risque d'être difficile de récupérer un CRC32 de fichiers qui n'existent plus :-)
Oui , on peut partir de ce principe , c est a dire relever les valeurs dès le scan option 1 et les conserver , l idéal étant d avoir une base de données.
Pourquoi ? Tu as eu beaucoups de remontées sur des BSOD ?
Sur un OS en particulier ?
Quelques unes en effet , mais surtout sur xp , une ce soir encore , l user m a mp :
http://www.commentcamarche.net/forum/affich 10782648 2 virus antivirus bloques dem sans e imposs?
perso , je crois pas que le kil des procs soit fautifs , je dirais plutot que le ".sys" est chatouilleux -;)
apres etablir des certitudes n est pas simple puisque rarement des tests a faire
dans ces cas là , une autre solutions est adpaté , l utilisation d un autre outil ..
le but de fyk étant justement d éviter l utilisation d un autre outil , donc je reste perplexe sur ce sujet
breff y a du taff , pour toucher au but , meme si je pense qu il est proche .
pour en revenr au cracks\merdouille , j avais ouvert un topic au bureau au titre , findykill kill de crack ou pas ,
je suppose que tu l as vu , perso j ai aimé ce topic par rapport aux remarques ..
celles ci concernaient les fp , perso je pense proposer une methode pour les eviter , c est a dire via un script
celui ci , bien sur pourra prendre en compte les "04" vérolé
c est juste une pensée , puisque aucun test n a été fait .
Breff , cette phase aussi pourrait quasiment terminer le processus
Qu en penses tu ?
++
@ gen :
et une protection residente anti-Bagle , ce serait possile ?
ça pourrais etre limite envisageble mais l outil en ai pas encore là -;)
@ moe :
Si tu la prends pour une option à part entière va falloir alors que tu prévois des backups de l'infection, sinon ça risque d'être difficile de récupérer un CRC32 de fichiers qui n'existent plus :-)
Oui , on peut partir de ce principe , c est a dire relever les valeurs dès le scan option 1 et les conserver , l idéal étant d avoir une base de données.
Pourquoi ? Tu as eu beaucoups de remontées sur des BSOD ?
Sur un OS en particulier ?
Quelques unes en effet , mais surtout sur xp , une ce soir encore , l user m a mp :
http://www.commentcamarche.net/forum/affich 10782648 2 virus antivirus bloques dem sans e imposs?
perso , je crois pas que le kil des procs soit fautifs , je dirais plutot que le ".sys" est chatouilleux -;)
apres etablir des certitudes n est pas simple puisque rarement des tests a faire
dans ces cas là , une autre solutions est adpaté , l utilisation d un autre outil ..
le but de fyk étant justement d éviter l utilisation d un autre outil , donc je reste perplexe sur ce sujet
breff y a du taff , pour toucher au but , meme si je pense qu il est proche .
pour en revenr au cracks\merdouille , j avais ouvert un topic au bureau au titre , findykill kill de crack ou pas ,
je suppose que tu l as vu , perso j ai aimé ce topic par rapport aux remarques ..
celles ci concernaient les fp , perso je pense proposer une methode pour les eviter , c est a dire via un script
celui ci , bien sur pourra prendre en compte les "04" vérolé
c est juste une pensée , puisque aucun test n a été fait .
Breff , cette phase aussi pourrait quasiment terminer le processus
Qu en penses tu ?
++
bjr (enfin la il est 1h du mat ^^) , bjr Chiquitine29
moi je viens de m'apercevoir que mon antivirus ne voulait plus se lancer du moins application win32 non valide
j'ai un peu fouiner internet j'ai o moins réussi au bout de plus de 4heure a trouver mbam qui m'a permis de retrouver mon son déjà sur skype etc, mais findykill pa trop envie de faire de bourde ^^ vu que tout mes logiciel de sécurité ne veulent tjr pas se lancer je pose le rapport de recherche:
Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers"
Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers\downld"
avec malwarebytes anti-malware dans (disk racine)Documents and Settings\Administrateur\Application Data\drivers il y avait un truc qui s'était installer il restait srosa2.sys il a été supprimer et la j'ai un autre juste un document vide , tss si je le supprime ^^ non car drivers dans application data logiquement il y'en as pas ?
tout ça pour avoir voulu trouver un patch fr pour conqueror expansion grr marre des malin qui ... mette des mauvais truc=)
ben j'espère avoir une repose très rapidement stp (connait les passionner d'ordi jamais sans son ordi xd) ^^
moi je viens de m'apercevoir que mon antivirus ne voulait plus se lancer du moins application win32 non valide
j'ai un peu fouiner internet j'ai o moins réussi au bout de plus de 4heure a trouver mbam qui m'a permis de retrouver mon son déjà sur skype etc, mais findykill pa trop envie de faire de bourde ^^ vu que tout mes logiciel de sécurité ne veulent tjr pas se lancer je pose le rapport de recherche:
############################## [ FindyKill V4.721 ] # User : Administrateur (Administrateurs) # TITANIUM # Update on 29/03/09 by Chiquitine29 # Start at: 00:42:29 | 31/03/2009 # Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/ # AMD Athlon(tm) XP 2000+ # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2 # Internet Explorer 6.0.2900.2180 # Windows Firewall Status : Enabled # C:\ # Disque fixe local # 40,13 Go (11,25 Go free) # NTFS # D:\ # Disque fixe local # 1,5 Go (996,53 Mo free) [XP GOLD] # FAT32 # E:\ # Disque fixe local # 53,3 Go (21,75 Go free) # NTFS # F:\ # Disque fixe local # 47,96 Go (18,2 Go free) [DOC MYK] # FAT32 # G:\ # Disque fixe local # 46,98 Go (25,08 Go free) [EMULE] # FAT32 # H:\ # Disque CD-ROM # I:\ # Disque fixe local # 465,76 Go (40,24 Go free) [Externe 500] # NTFS # J:\ # Disque CD-ROM # K:\ # Disque CD-ROM # L:\ # Disque CD-ROM # M:\ # Disque CD-ROM # N:\ # Disque CD-ROM ############################## [ Processus actifs ] E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\csrss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Program Files\TGTSoft\StyleXP\StyleXPService.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\SOUNDMAN.EXE E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe E:\WINDOWS\system32\RUNDLL32.EXE E:\Program Files\Java\jre6\bin\jqs.exe E:\Program Files\Java\jre6\bin\jusched.exe E:\Program Files\Skype\Phone\Skype.exe E:\WINDOWS\system32\nvsvc32.exe E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe E:\Program Files\DAEMON Tools Lite\daemon.exe E:\Program Files\TGTSoft\StyleXP\StyleXP.exe F:\EA GAMES\Need for Speed Undercover\PB\PnkBstrA.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\wdfmgr.exe E:\WINDOWS\System32\alg.exe E:\WINDOWS\system32\wscntfy.exe E:\Program Files\Skype\Plugin Manager\skypePM.exe E:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe E:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe E:\Program Files\Mozilla Firefox\firefox.exe E:\WINDOWS\system32\wbem\wmiprvse.exe ################## [ Fichiers / Dossiers infectieux E:\ ] ################## [ E:\WINDOWS & E:\WINDOWS\Prefetch ] ################## [ E:\WINDOWS\system32 ] ################## [ E:\WINDOWS\system32\drivers ] ################## [ E:\.. Application Data ... ] Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers" Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers\downld" ################## [ E:\Users...\Temp Files... ] ################## [ Registre / Clés infectieuses ] Found ! - HKEY_USERS\S-1-5-21-299502267-573735546-725345543-500\Software\Local AppWizard-Generated Applications\MsnMsgr Found ! - HKEY_USERS\S-1-5-21-299502267-573735546-725345543-500\Software\bisoft Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\MsnMsgr Found ! - HKEY_CURRENT_USER\Software\bisoft ################## [ Recherche dans supports amovibles] # Présence des fichiers : ################## [ Registre / Mountpoint2 ] # -> Not found ! ################## [ ! Fin du rapport # FindyKill V4.721 ! ]
Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers"
Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers\downld"
avec malwarebytes anti-malware dans (disk racine)Documents and Settings\Administrateur\Application Data\drivers il y avait un truc qui s'était installer il restait srosa2.sys il a été supprimer et la j'ai un autre juste un document vide , tss si je le supprime ^^ non car drivers dans application data logiquement il y'en as pas ?
tout ça pour avoir voulu trouver un patch fr pour conqueror expansion grr marre des malin qui ... mette des mauvais truc=)
ben j'espère avoir une repose très rapidement stp (connait les passionner d'ordi jamais sans son ordi xd) ^^
