Bagle - de chiki a moe
Résolu
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
Salut moe ,
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
A voir également:
- Bagle - de chiki a moe
- Extreme-down moe - Accueil - Services en ligne
- Combien de mo dans 1 go ✓ - Forum Mail
- Combien de ko pour 1 mo ✓ - Forum Matériel & Système
- Combien il y a t-il de ko dans 1 GO (Internet) - Forum Mobile
- 1go combien de mo ✓ - Forum Matériel & Système
717 réponses
RE,
Ça prend tournure c't'histoire !
Ca c est sur , ça prend une magnifique tournure d ailleurs ;)
A propos de code, si un de ces 4 tu décidais d'installer Autoit, dis moi le, je te ferais passer la source de l'exe.
Yes , je vais installer ça ;) car c est sur que le script fyks m interesse de pres...
pour les crc32 et md5 je ferais le tri des que possible de ce que j ai sur la becane.
et je jetterai un oeil avec mon pote google pour voir si il y en a encore a recup.
pour le petit test que je t ai passé c était surtout pour le fun , mais bon je verrais ensuite ...
pour le backup , non aucun soucis . Apres oui n y mettre que les "non-confirmés" pourquoi pas.
de toute façon , au vus des resultats je ne crois pas que ça comporte un risque de seulement "backuper" ces fichiers.
non , franchement c est tres positif , alors chapeau bas l artiste.
bonne soirée également
Ça prend tournure c't'histoire !
Ca c est sur , ça prend une magnifique tournure d ailleurs ;)
A propos de code, si un de ces 4 tu décidais d'installer Autoit, dis moi le, je te ferais passer la source de l'exe.
Yes , je vais installer ça ;) car c est sur que le script fyks m interesse de pres...
pour les crc32 et md5 je ferais le tri des que possible de ce que j ai sur la becane.
et je jetterai un oeil avec mon pote google pour voir si il y en a encore a recup.
pour le petit test que je t ai passé c était surtout pour le fun , mais bon je verrais ensuite ...
pour le backup , non aucun soucis . Apres oui n y mettre que les "non-confirmés" pourquoi pas.
de toute façon , au vus des resultats je ne crois pas que ça comporte un risque de seulement "backuper" ces fichiers.
non , franchement c est tres positif , alors chapeau bas l artiste.
bonne soirée également
Bonsoir Olivier ,
je regardais un peut FyK , et je voulais te faire part de 2 choses.
Au niveau de "Références de comparaison Bagle MD5" je pense que pour le fichier concerné il serait bien d y ajouter des # pour pouvoir exploiter delims , ce qui donnerai dans mons esprit:
Références de comparaison Bagle MD5 :
# CRC32 : 7984d216 # File : C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
# MD5 : 8ff5fc9dcc71751820edd0b6eac49711
Cela a pour objectif , une meilleure compréhension.
Sinon pour la suppression des zip positifs CRC32 , exploité par ref*.def . L idéal serait de faire de meme que 718 , c est a dire :
deleted ! " le zip"
# CRC32 : 7984d216 # Contain crack.exe ..
Je sais pas vraiment ou t en es donc , je t amene l idée et ensuite .. ;)
Ensuite au sujet de "peh" , j aurai aimé ton opinion au niveau de la réparation bien sur ;) Je voulais savoir ce que tu pensais de tes test , si "tout" est reparable .. etc
Pour les personnes qui suivent ce sujet, l icone de notre amis a changé : ico
Olivier , je te met le sample au cas ou , meme si ça m étonnerais que tu ne l ai pas ;)
Je post juste histoire de faire un pré-bilan des avancées , pour lesquelles je ne saurait te remercier a leurs juste valeures.
@ plus tard surement .
je regardais un peut FyK , et je voulais te faire part de 2 choses.
Au niveau de "Références de comparaison Bagle MD5" je pense que pour le fichier concerné il serait bien d y ajouter des # pour pouvoir exploiter delims , ce qui donnerai dans mons esprit:
Références de comparaison Bagle MD5 :
# CRC32 : 7984d216 # File : C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
# MD5 : 8ff5fc9dcc71751820edd0b6eac49711
Cela a pour objectif , une meilleure compréhension.
Sinon pour la suppression des zip positifs CRC32 , exploité par ref*.def . L idéal serait de faire de meme que 718 , c est a dire :
deleted ! " le zip"
# CRC32 : 7984d216 # Contain crack.exe ..
Je sais pas vraiment ou t en es donc , je t amene l idée et ensuite .. ;)
Ensuite au sujet de "peh" , j aurai aimé ton opinion au niveau de la réparation bien sur ;) Je voulais savoir ce que tu pensais de tes test , si "tout" est reparable .. etc
Pour les personnes qui suivent ce sujet, l icone de notre amis a changé : ico
Olivier , je te met le sample au cas ou , meme si ça m étonnerais que tu ne l ai pas ;)
Je post juste histoire de faire un pré-bilan des avancées , pour lesquelles je ne saurait te remercier a leurs juste valeures.
@ plus tard surement .
Salut Cédric,
Cédric, je passe rapidos entre deux coups de fourchettes :-) pour te laisser fyks qui me semble prêt à prendre son envol :-)
Il équivaut à la béta que tu as testé.
Par contre pour tes remarques, j'essayerais d'en tenir compte pour la prochaine évolution de l'exe qui est en cours...
C'est à dire pas avant la semaine prochaine, faute de temps :(
Et donc il n'y a qu'à ce moment là que je pourrais être plus précis sur ce qui est faisable ou pas.
Maintenant, si tu as des rajouts ou des modifs à faire au *.cmd et bien sur à moins que ça te pose problème au niveau du codage, tu es le seul maître à bord Cédric donc ne te gènes pas pour moi !
Ensuite au sujet de "peh" , j aurai aimé ton opinion au niveau de la réparation bien sur ;) Je voulais savoir ce que tu pensais de tes test , si "tout" est reparable .. etc
Bah perso je me posais surtout la question de savoir si réparer ses *.exe sera suffisant pour qu'un prog refonctionne exactement comme avant et éviter ainsi une réinstallation ?
Très sincèrement je n'ai pas encore eu assez de temps pour faire des tests poussés sur un grand nombre de prog de sécu, puisque ce sont les plus touchés en profondeur, donc pour l'instant même si jusqu'à présent je n'ai pas encore eu d'échecs concernant une réparation, ce n'est pas encore suffisant non plus pour envisager une réparation auto en option.
Sujet en travaux... :-)
Bonne journée à toi et bon WE !
Cédric, je passe rapidos entre deux coups de fourchettes :-) pour te laisser fyks qui me semble prêt à prendre son envol :-)
Il équivaut à la béta que tu as testé.
Par contre pour tes remarques, j'essayerais d'en tenir compte pour la prochaine évolution de l'exe qui est en cours...
C'est à dire pas avant la semaine prochaine, faute de temps :(
Et donc il n'y a qu'à ce moment là que je pourrais être plus précis sur ce qui est faisable ou pas.
Maintenant, si tu as des rajouts ou des modifs à faire au *.cmd et bien sur à moins que ça te pose problème au niveau du codage, tu es le seul maître à bord Cédric donc ne te gènes pas pour moi !
Ensuite au sujet de "peh" , j aurai aimé ton opinion au niveau de la réparation bien sur ;) Je voulais savoir ce que tu pensais de tes test , si "tout" est reparable .. etc
Bah perso je me posais surtout la question de savoir si réparer ses *.exe sera suffisant pour qu'un prog refonctionne exactement comme avant et éviter ainsi une réinstallation ?
Très sincèrement je n'ai pas encore eu assez de temps pour faire des tests poussés sur un grand nombre de prog de sécu, puisque ce sont les plus touchés en profondeur, donc pour l'instant même si jusqu'à présent je n'ai pas encore eu d'échecs concernant une réparation, ce n'est pas encore suffisant non plus pour envisager une réparation auto en option.
Sujet en travaux... :-)
Bonne journée à toi et bon WE !
Bonsoir:
je te met le sample au cas ou := excellent sample ;))))
qui s'y frotte s'y pique !! tres bon travail Tchiki ;)))))
"tout" est reparable = je pense qu il faudrait que les progs abimés aient un "dllcache" tel le system32 , non ?
bravo moe et bonne soiree a vous
je te met le sample au cas ou := excellent sample ;))))
qui s'y frotte s'y pique !! tres bon travail Tchiki ;)))))
"tout" est reparable = je pense qu il faudrait que les progs abimés aient un "dllcache" tel le system32 , non ?
bravo moe et bonne soiree a vous
Salut Olivier,
Je viens de mettre la maj en ligne , je te passe le rapport de mon dernier test Rapport
J ai commencé a completer REFMD5.def par le biais d anciens samples et aux suivi des tests.
Pour le .cmd , j y ai apporté 2/3 correctifs , mais rien d exeptionnels. par contre j ai commencé a voir pour la maj suivante , je continuerai au fil du temps.
Je te remercie pour FYKS ;)
Bon week end , bonne semaine et bons test.
Pour les helpeurs qui suivent ce sujet , pensez a demander a l user de brancher ses sources de données avant l option 2.
idem pour la recherche de crack (option 4)
Bon week end a tous.
Je viens de mettre la maj en ligne , je te passe le rapport de mon dernier test Rapport
J ai commencé a completer REFMD5.def par le biais d anciens samples et aux suivi des tests.
Pour le .cmd , j y ai apporté 2/3 correctifs , mais rien d exeptionnels. par contre j ai commencé a voir pour la maj suivante , je continuerai au fil du temps.
Je te remercie pour FYKS ;)
Bon week end , bonne semaine et bons test.
Pour les helpeurs qui suivent ce sujet , pensez a demander a l user de brancher ses sources de données avant l option 2.
idem pour la recherche de crack (option 4)
Bon week end a tous.
Re,
Bah alors à la tienne surtout... je n'ai fait qu'essayer de suivre tes suggestions Cédric :-)
Je te renverrais un autre sample d'ici peu, car d'après ce que j'ai compris tu voulais pouvoir faire une petite synthèse de ce qu'il était possible d'envisager et donc tu as vu la version sur laquelle je bosse actuellement et qui est encore en travaux, mais d'ici là, n'hésites pas à me faire savoir si tu vois des choses à améliorer à retravailler ou à modifier.
Content si le résultat te plait en tout cas :-)
@++
PS:
Au fait, tu as installé Autoit ?
Bah alors à la tienne surtout... je n'ai fait qu'essayer de suivre tes suggestions Cédric :-)
Je te renverrais un autre sample d'ici peu, car d'après ce que j'ai compris tu voulais pouvoir faire une petite synthèse de ce qu'il était possible d'envisager et donc tu as vu la version sur laquelle je bosse actuellement et qui est encore en travaux, mais d'ici là, n'hésites pas à me faire savoir si tu vois des choses à améliorer à retravailler ou à modifier.
Content si le résultat te plait en tout cas :-)
@++
PS:
Au fait, tu as installé Autoit ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut
Si ça peut vous aider
Suite et fin (j'espère) du pb.
Je n'ai pas encore fait le tour du PC mais après réinstallation Avast et Zone alarm fonctionnent, la carte son également.
Ci dessous le rapport de Findykill. Dois-je encore effectuer d'autres opérations pour m'assurer que tout va bien ?
Encore merci pour ce coup de main.
############################## [ FindyKill V4.718 ]
# User : thomas (Administrateurs) # UNICORNI-037CCE
# Update on 01/03/09
# Start at: 10:17:54 | 06/03/2009
# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# FW : ZoneAlarm Firewall[ Enabled ]7.0.462.000
# A:\ # Lecteur de disquettes 3 « pouces
# C:\ # Disque fixe local # 24,82 Go (1,13 Go free) # NTFS
# D:\ # Disque fixe local # 48,83 Go (9,67 Go free) # NTFS
# E:\ # Disque fixe local # 21,1 Go (6,55 Go free) # FAT32
# F:\ # Disque fixe local # 230,64 Go (60,06 Go free) [Stockage] # NTFS
# H:\ # Disque CD-ROM
# I:\ # Disque CD-ROM
############################## [ Active Processes ]
D:\windows\System32\smss.exe
D:\windows\system32\csrss.exe
D:\windows\system32\winlogon.exe
D:\windows\system32\services.exe
D:\windows\system32\lsass.exe
D:\windows\system32\svchost.exe
D:\windows\system32\svchost.exe
D:\windows\System32\svchost.exe
D:\windows\system32\svchost.exe
D:\windows\system32\svchost.exe
D:\windows\system32\spoolsv.exe
D:\WINDOWS\system32\CTsvcCDA.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\Program Files\CDBurnerXP\NMSAccessU.exe
D:\windows\system32\svchost.exe
D:\windows\system32\wdfmgr.exe
D:\windows\system32\DRIVERS\WtSrv.exe
D:\WINDOWS\system32\MsPMSPSv.exe
D:\Program Files\Canon\CAL\CALMAIN.exe
D:\WINDOWS\system32\PowerDesk8\Matrox.PowerDesk.PDeskNet.exe
D:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE
D:\windows\system32\SxgTkBar.exe
D:\windows\system32\WService.EXE
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Documents and Settings\thomas\Application Data\drivers\winupgro.exe
D:\windows\system32\wintems.exe
D:\Documents and Settings\thomas\Application Data\m\flec006.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
################## [ Infected processes stopped ]
"D:\Documents and Settings\thomas\Application Data\drivers\winupgro.exe" (1884)
"D:\windows\system32\wintems.exe" (2140)
"D:\Documents and Settings\thomas\Application Data\m\flec006.exe" (3196)
################## [ Infected Files / Folders D:\ ]
################## [ D:\windows ]
################## [ D:\windows\system32 ]
Deleted ! - D:\windows\system32\mdelk.exe
Deleted ! - D:\windows\system32\wintems.exe
Deleted ! - D:\windows\system32\ban_list.txt
################## [ D:\windows\system32\drivers ]
Deleted ! - "D:\windows\system32\drivers\down"
################## [ D:\.. Application Data ... ]
Deleted ! - "D:\Documents and Settings\thomas\Application Data\m\flec006.exe"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\m\list.oct"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\m\data.oct"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\m\srvlist.oct"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\m\shared"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\m"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\drivers\srosa2.sys"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\drivers\wfsintwq.sys"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\drivers\winupgro.exe"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\drivers\downld"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\drivers"
################## [ Registry / Infected keys ]
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\FirtR
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\patch
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! - HKEY_USERS\S-1-5-21-220523388-1958367476-682003330-1003\Software\FFC
Deleted ! - HKEY_USERS\S-1-5-21-220523388-1958367476-682003330-1003\Software\MuleAppData
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! - HKEY_USERS\S-1-5-21-220523388-1958367476-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! - HKEY_USERS\S-1-5-21-220523388-1958367476-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
Deleted ! - HKEY_USERS\S-1-5-21-220523388-1958367476-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
################## [ Cleaning Removable drives ]
# Deleting files :
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
45f99e31 D:\Documents and Settings\thomas\Application Data\drivers\winupgro.exe
160fa0e8069f9ff6e4a2ac4737f074a3 D:\Documents and Settings\thomas\Application Data\drivers\winupgro.exe
Suspect ! "D:\Program Files\Messenger\msmsgs.exe"
# Taille : 815104 # MD5 : 160FA0E8069F9FF6E4A2AC4737F074A3
################## [ PEH Corrupted ]
D:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
D:\Program Files\Zone Labs\ZoneAlarm\zatutor.exe
D:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
################## [ ! End of Report # FindyKill V4.718 ! ]
A+ :)
Si ça peut vous aider
Suite et fin (j'espère) du pb.
Je n'ai pas encore fait le tour du PC mais après réinstallation Avast et Zone alarm fonctionnent, la carte son également.
Ci dessous le rapport de Findykill. Dois-je encore effectuer d'autres opérations pour m'assurer que tout va bien ?
Encore merci pour ce coup de main.
############################## [ FindyKill V4.718 ]
# User : thomas (Administrateurs) # UNICORNI-037CCE
# Update on 01/03/09
# Start at: 10:17:54 | 06/03/2009
# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# FW : ZoneAlarm Firewall[ Enabled ]7.0.462.000
# A:\ # Lecteur de disquettes 3 « pouces
# C:\ # Disque fixe local # 24,82 Go (1,13 Go free) # NTFS
# D:\ # Disque fixe local # 48,83 Go (9,67 Go free) # NTFS
# E:\ # Disque fixe local # 21,1 Go (6,55 Go free) # FAT32
# F:\ # Disque fixe local # 230,64 Go (60,06 Go free) [Stockage] # NTFS
# H:\ # Disque CD-ROM
# I:\ # Disque CD-ROM
############################## [ Active Processes ]
D:\windows\System32\smss.exe
D:\windows\system32\csrss.exe
D:\windows\system32\winlogon.exe
D:\windows\system32\services.exe
D:\windows\system32\lsass.exe
D:\windows\system32\svchost.exe
D:\windows\system32\svchost.exe
D:\windows\System32\svchost.exe
D:\windows\system32\svchost.exe
D:\windows\system32\svchost.exe
D:\windows\system32\spoolsv.exe
D:\WINDOWS\system32\CTsvcCDA.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\Program Files\CDBurnerXP\NMSAccessU.exe
D:\windows\system32\svchost.exe
D:\windows\system32\wdfmgr.exe
D:\windows\system32\DRIVERS\WtSrv.exe
D:\WINDOWS\system32\MsPMSPSv.exe
D:\Program Files\Canon\CAL\CALMAIN.exe
D:\WINDOWS\system32\PowerDesk8\Matrox.PowerDesk.PDeskNet.exe
D:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE
D:\windows\system32\SxgTkBar.exe
D:\windows\system32\WService.EXE
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Documents and Settings\thomas\Application Data\drivers\winupgro.exe
D:\windows\system32\wintems.exe
D:\Documents and Settings\thomas\Application Data\m\flec006.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
################## [ Infected processes stopped ]
"D:\Documents and Settings\thomas\Application Data\drivers\winupgro.exe" (1884)
"D:\windows\system32\wintems.exe" (2140)
"D:\Documents and Settings\thomas\Application Data\m\flec006.exe" (3196)
################## [ Infected Files / Folders D:\ ]
################## [ D:\windows ]
################## [ D:\windows\system32 ]
Deleted ! - D:\windows\system32\mdelk.exe
Deleted ! - D:\windows\system32\wintems.exe
Deleted ! - D:\windows\system32\ban_list.txt
################## [ D:\windows\system32\drivers ]
Deleted ! - "D:\windows\system32\drivers\down"
################## [ D:\.. Application Data ... ]
Deleted ! - "D:\Documents and Settings\thomas\Application Data\m\flec006.exe"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\m\list.oct"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\m\data.oct"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\m\srvlist.oct"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\m\shared"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\m"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\drivers\srosa2.sys"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\drivers\wfsintwq.sys"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\drivers\winupgro.exe"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\drivers\downld"
Deleted ! - "D:\Documents and Settings\thomas\Application Data\drivers"
################## [ Registry / Infected keys ]
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\FirtR
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\patch
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! - HKEY_USERS\S-1-5-21-220523388-1958367476-682003330-1003\Software\FFC
Deleted ! - HKEY_USERS\S-1-5-21-220523388-1958367476-682003330-1003\Software\MuleAppData
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! - HKEY_USERS\S-1-5-21-220523388-1958367476-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! - HKEY_USERS\S-1-5-21-220523388-1958367476-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
Deleted ! - HKEY_USERS\S-1-5-21-220523388-1958367476-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
################## [ Cleaning Removable drives ]
# Deleting files :
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
45f99e31 D:\Documents and Settings\thomas\Application Data\drivers\winupgro.exe
160fa0e8069f9ff6e4a2ac4737f074a3 D:\Documents and Settings\thomas\Application Data\drivers\winupgro.exe
Suspect ! "D:\Program Files\Messenger\msmsgs.exe"
# Taille : 815104 # MD5 : 160FA0E8069F9FF6E4A2AC4737F074A3
################## [ PEH Corrupted ]
D:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
D:\Program Files\Zone Labs\ZoneAlarm\zatutor.exe
D:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
################## [ ! End of Report # FindyKill V4.718 ! ]
A+ :)
re,
Chicki nous dira si je me trompe :
> réinstaller Spybot ( H.S )
> faire vérifier ceci sur VT : D:\Program Files\Messenger\msmsgs.exe
de grande chance que bagle l'est infecté ! Donc si c'est bien le cas , supprimer le fichier et faire réinstaller Messenger ... ;)
++
Chicki nous dira si je me trompe :
> réinstaller Spybot ( H.S )
> faire vérifier ceci sur VT : D:\Program Files\Messenger\msmsgs.exe
de grande chance que bagle l'est infecté ! Donc si c'est bien le cas , supprimer le fichier et faire réinstaller Messenger ... ;)
++
;)
Salut Ske .
Kevin ,
Je n'ai pas encore fait le tour du PC mais après réinstallation Avast et Zone alarm fonctionnent, la carte son également.
Ci dessous le rapport de Findykill. Dois-je encore effectuer d'autres opérations pour m'assurer que tout va bien ?
Encore merci pour ce coup de main.
>>reste sur ce topic stp ;)
mais effectivement , il faut réinstaller messenger , panneau de configuration , ajout et suppression , clic droit sur messenger et chosir reparer.
bonne soirée.
Salut Ske .
Kevin ,
Je n'ai pas encore fait le tour du PC mais après réinstallation Avast et Zone alarm fonctionnent, la carte son également.
Ci dessous le rapport de Findykill. Dois-je encore effectuer d'autres opérations pour m'assurer que tout va bien ?
Encore merci pour ce coup de main.
>>reste sur ce topic stp ;)
mais effectivement , il faut réinstaller messenger , panneau de configuration , ajout et suppression , clic droit sur messenger et chosir reparer.
bonne soirée.
bnjr a vous jespre ke trouverez ce ke vous voulz dans ce site http://red-touriste.blogspot.com/ merci de votre visite cliker sur les annces en rouge ca va mieux vous aider mrci de votre visite a binto
Bonsoir a tous
juste a titre info :
J'ai deux ou trois bagles enfermes dans des dossiers.RAR et pas de detection
juste a titre info :
J'ai deux ou trois bagles enfermes dans des dossiers.RAR et pas de detection
Re,
Gen, oui, je pense que çà intéressera surement Cédric et si tu souhaites partager ces fichiers, contactes-le par MP et donnes-lui un lien de téléchargement pour qu'il puisse les tester !
Merci !
Cédric, cette fois je pense que c'est ok pour les zip :-) et dans la foulée j'ai adapté le script par rapport à tes dernières remarques à y être, tu me diras si c'est ce que tu voulais !
Bonne fin de soirée, @++
Gen, oui, je pense que çà intéressera surement Cédric et si tu souhaites partager ces fichiers, contactes-le par MP et donnes-lui un lien de téléchargement pour qu'il puisse les tester !
Merci !
Cédric, cette fois je pense que c'est ok pour les zip :-) et dans la foulée j'ai adapté le script par rapport à tes dernières remarques à y être, tu me diras si c'est ce que tu voulais !
Bonne fin de soirée, @++
Re Olivier , on tient le bon bout ? perso je pense que oui ;) d ailleurs je te félicite pour le taff que t as effectué ces derniers jours , franchement j ai envie de manipuler autoit ;)
je vais tester tout ça et je re dans 1 H
Gen, oui si tu peux m envoyer ces fichiers par mp je prend et je t en remercie .
@ Toute
je vais tester tout ça et je re dans 1 H
Gen, oui si tu peux m envoyer ces fichiers par mp je prend et je t en remercie .
@ Toute
Re,
Y a anguille sous roche lol , j ai eu aucune detection . Je referais des test demain en fin d aprem .
je te passe le rapport que j ai eu :
############################## [ FindyKill V4.719 ]
# User : Chiki (Administrateurs) # PC-DE-TEST
# Update on 06/03/09 by Chiquitine29
# Start at: 23:39:08 | 09/03/2009
# AMD Turion(tm) 64 X2 Mobile Technology TL-52
# Microsoft© Windows VistaT dition Int‚grale (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16809
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ (!) Disabled | Updated ]
# C:\ # Disque fixe local # 151,25 Go (120,34 Go free) # NTFS
# D:\ # Disque fixe local # 69,92 Go (69,83 Go free) [Windows XP] # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque amovible # 1,92 Go (510,88 Mo free) [KINGSTON] # FAT
# H:\ # Disque amovible # 953,73 Mo (923,89 Mo free) [KINGSTON] # FAT
############################## [ Active Processes ]
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\Chiki\AppData\Roaming\drivers\downld\220117.exe
################## [ Infected processes stopped ]
"C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe" (524)
################## [ Infected Files / Folders C:\ ]
################## [ C:\Windows ]
################## [ C:\Windows\system32 ]
################## [ C:\Windows\system32\drivers ]
################## [ C:\.. Application Data ... ]
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\flec006.exe"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\list.oct"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\data.oct"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\srvlist.oct"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\shared"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\srosa2.sys"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\downld"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers"
################## [ Registry / Infected keys ]
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\MuleAppData
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\install_patch
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\MsnMsgr
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! - HKEY_USERS\S-1-5-21-3630267974-3300606578-698605598-1000\Software\MuleAppData
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! - HKEY_USERS\S-1-5-21-3630267974-3300606578-698605598-1000\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
Deleted ! - HKEY_USERS\S-1-5-21-3630267974-3300606578-698605598-1000\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
################## [ Cleaning Removable drives ]
# Deleting files :
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
File ... : C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : 55635c49
MD5 .... : ecf8931b307651315b9590ef30fd9077
Deleted ! : C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
Deleted ! : C:\Users\Chiki\AppData\Local\Temp\Rar$EX00.397\Skype(c) 3.2\install.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
Deleted ! : C:\Users\Chiki\Desktop\Dropper protégé\Skype(c) 3.2\Skype(c) 3.2\install.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
dans : C:\Users\Chiki\Desktop\Dropper protégé j ai des merdouille non protégée aussi et des zip sur le bureau non protégé + 1 protégé, si fyks rencontre des zip avec mdp .. y a une influence ?
################## [ PEH Corrupted ]
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\guardgui.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\licmgr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
################## [ ! End of Report # FindyKill V4.719 ! ]
Y a anguille sous roche lol , j ai eu aucune detection . Je referais des test demain en fin d aprem .
je te passe le rapport que j ai eu :
############################## [ FindyKill V4.719 ]
# User : Chiki (Administrateurs) # PC-DE-TEST
# Update on 06/03/09 by Chiquitine29
# Start at: 23:39:08 | 09/03/2009
# AMD Turion(tm) 64 X2 Mobile Technology TL-52
# Microsoft© Windows VistaT dition Int‚grale (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16809
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ (!) Disabled | Updated ]
# C:\ # Disque fixe local # 151,25 Go (120,34 Go free) # NTFS
# D:\ # Disque fixe local # 69,92 Go (69,83 Go free) [Windows XP] # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque amovible # 1,92 Go (510,88 Mo free) [KINGSTON] # FAT
# H:\ # Disque amovible # 953,73 Mo (923,89 Mo free) [KINGSTON] # FAT
############################## [ Active Processes ]
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\Chiki\AppData\Roaming\drivers\downld\220117.exe
################## [ Infected processes stopped ]
"C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe" (524)
################## [ Infected Files / Folders C:\ ]
################## [ C:\Windows ]
################## [ C:\Windows\system32 ]
################## [ C:\Windows\system32\drivers ]
################## [ C:\.. Application Data ... ]
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\flec006.exe"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\list.oct"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\data.oct"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\srvlist.oct"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m\shared"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\m"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\srosa2.sys"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers\downld"
Deleted ! - "C:\Users\Chiki\AppData\Roaming\drivers"
################## [ Registry / Infected keys ]
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\MuleAppData
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\install_patch
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\MsnMsgr
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! - HKEY_USERS\S-1-5-21-3630267974-3300606578-698605598-1000\Software\MuleAppData
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! - HKEY_USERS\S-1-5-21-3630267974-3300606578-698605598-1000\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
Deleted ! - HKEY_USERS\S-1-5-21-3630267974-3300606578-698605598-1000\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
################## [ Cleaning Removable drives ]
# Deleting files :
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
File ... : C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : 55635c49
MD5 .... : ecf8931b307651315b9590ef30fd9077
Deleted ! : C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
Deleted ! : C:\Users\Chiki\AppData\Local\Temp\Rar$EX00.397\Skype(c) 3.2\install.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
Deleted ! : C:\Users\Chiki\Desktop\Dropper protégé\Skype(c) 3.2\Skype(c) 3.2\install.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
dans : C:\Users\Chiki\Desktop\Dropper protégé j ai des merdouille non protégée aussi et des zip sur le bureau non protégé + 1 protégé, si fyks rencontre des zip avec mdp .. y a une influence ?
################## [ PEH Corrupted ]
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\guardgui.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\licmgr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
################## [ ! End of Report # FindyKill V4.719 ! ]
re , j ai fait un dernier test , sans la protect mbam et sans les zip avec mdp etc
c est idem de mon coté.
Bueno , je regarderais si j ai pas merdé de mon coté , demain a tete reposée .
Bonne nuit et merci en tout cas de ta participation active .
c est idem de mon coté.
Bueno , je regarderais si j ai pas merdé de mon coté , demain a tete reposée .
Bonne nuit et merci en tout cas de ta participation active .
Re,
Non, je crois pas qu'une l'archive protégé soit génante, puisque ce soir j'ai effectué une petite dizaine de tests avec justement des zip lockés dans le lot et les détections/suppressions on fonctionnées sans problème.
Je viens de refaire un essai et apparement le soucis survient une fois le script compilé en *.exe mais pas lorsqu'il est directement exécuté à partir d'autoit....
Donc demain j'essayerai de voir d'ou ça peut provenir et si c'est une portion du code pose problème...
P'tain c'est ralant lol, tout marche sauf une fois compilé !! Grrrr ! :-)
Bonne nuit à toi aussi et à demain surement.
Non, je crois pas qu'une l'archive protégé soit génante, puisque ce soir j'ai effectué une petite dizaine de tests avec justement des zip lockés dans le lot et les détections/suppressions on fonctionnées sans problème.
Je viens de refaire un essai et apparement le soucis survient une fois le script compilé en *.exe mais pas lorsqu'il est directement exécuté à partir d'autoit....
Donc demain j'essayerai de voir d'ou ça peut provenir et si c'est une portion du code pose problème...
P'tain c'est ralant lol, tout marche sauf une fois compilé !! Grrrr ! :-)
Bonne nuit à toi aussi et à demain surement.
lol
bah c est rassurant alors , ..
je te laisse voir ça .
bonne nuit et n y "reve pas trop ...-;) "
a demain
bah c est rassurant alors , ..
je te laisse voir ça .
bonne nuit et n y "reve pas trop ...-;) "
a demain
re, avant d aller au dodo
si tu peux rajouter ,
Edité , je me suis trompé .
Suspect ! chemin+le fichier
^(!^) Moved to quarantine
Bonne nuit et merci ;)
si tu peux rajouter ,
Edité , je me suis trompé .
Suspect ! chemin+le fichier
^(!^) Moved to quarantine
Bonne nuit et merci ;)
Bonjours tout le monde ,
Gen , bah ecoute c est pas grave mais engeule bitdefender d avoir été efficace ..
Olivier ,
pour :
Suspect ! chemin+le fichier
^(!^) Moved to quarantine
laisse tombé , j y ai réfléchis , et ça risque d enduire en erreures.
Bonne journée a tous.
Gen , bah ecoute c est pas grave mais engeule bitdefender d avoir été efficace ..
Olivier ,
pour :
Suspect ! chemin+le fichier
^(!^) Moved to quarantine
laisse tombé , j y ai réfléchis , et ça risque d enduire en erreures.
Bonne journée a tous.
Salut à tous,
Cédric,
Voilà de quoi refaire un essai, j'espère que cette fois ce sera la bonne :-)
Pour les fichiers mentionnés suspect, en fait j'ai un peu anticipé et préféré renommer le fichier en le laissant dans le dossier d'origine plutôt que de backuper comme c'était le cas avec la dernière béta.
Dans le rapport ça donne ceci :
Suspect ! chemin+le fichier
# Taille #md5
File was renamed toto.exe.REN
Là j'ai pas encore eu le temps de tenir compte de ta remarque, donc si tu me dit ce que tu veux exactement qui soit mentionné dans le rapport pour les fichiers suspects, je t'enverrais une version de fyks en conséquence dans la soirée.
Enfin...Sous réserve que cette fois les zips soit détectés lol :-)
Bonne soirée et @+tard !
Cédric,
Voilà de quoi refaire un essai, j'espère que cette fois ce sera la bonne :-)
Pour les fichiers mentionnés suspect, en fait j'ai un peu anticipé et préféré renommer le fichier en le laissant dans le dossier d'origine plutôt que de backuper comme c'était le cas avec la dernière béta.
Dans le rapport ça donne ceci :
Suspect ! chemin+le fichier
# Taille #md5
File was renamed toto.exe.REN
Là j'ai pas encore eu le temps de tenir compte de ta remarque, donc si tu me dit ce que tu veux exactement qui soit mentionné dans le rapport pour les fichiers suspects, je t'enverrais une version de fyks en conséquence dans la soirée.
Enfin...Sous réserve que cette fois les zips soit détectés lol :-)
Bonne soirée et @+tard !
Salut Olivier ,
je vais tester ça tout de suite .
Pour suspect , bah si tu peux mettre ;) :
Suspect ! chemin+le fichier
# Taille #md5
# File was renamed toto.exe.REN ça m ira tres bien.
Dis moi est ce que tu peux me faire parvenir les icones B dropper que tu as ?
Je test et re .
@ toute.
je vais tester ça tout de suite .
Pour suspect , bah si tu peux mettre ;) :
Suspect ! chemin+le fichier
# Taille #md5
# File was renamed toto.exe.REN ça m ira tres bien.
Dis moi est ce que tu peux me faire parvenir les icones B dropper que tu as ?
Je test et re .
@ toute.
re,
Merdouille, j ai eu aucune détection ,
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
File ... : C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : 55635c49
MD5 .... : ecf8931b307651315b9590ef30fd9077
Deleted ! : C:\Program Files\Pando Networks\Pando\pando.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
Deleted ! : C:\Users\Chiki\AppData\Local\Temp\Rar$EX00.354\Skype(c) 3.2\install.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
Deleted ! : C:\Users\Chiki\AppData\Local\Temp\Rar$EX00.602\Skype(c) 3.2\install.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
Deleted ! : C:\Users\Chiki\AppData\Local\Temp\Rar$EX01.408\Skype(c) 3.2\install.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
Deleted ! : C:\Users\Chiki\Desktop\Dropper protégé\Samples B\Y'z Shadow 1.9\install_crack.exe
# Taille : 815104 # MD5 : 160FA0E8069F9FF6E4A2AC4737F074A3
Deleted ! : C:\Users\Chiki\Desktop\Dropper protégé\Skype(c) 3.2\install.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
################## [ PEH Corrupted ]
T as fais tes tests a partir de l exe ? je me rappel que quand je m obstinai a taffer avec batch to exe , fyk plantait , il m a suffit d y ajouter un ) en fin de code pour resoudre le blem , mais j ai jamais pigé vraiment pourquoi .
bref je refais un test .
Merdouille, j ai eu aucune détection ,
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
File ... : C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : 55635c49
MD5 .... : ecf8931b307651315b9590ef30fd9077
Deleted ! : C:\Program Files\Pando Networks\Pando\pando.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
Deleted ! : C:\Users\Chiki\AppData\Local\Temp\Rar$EX00.354\Skype(c) 3.2\install.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
Deleted ! : C:\Users\Chiki\AppData\Local\Temp\Rar$EX00.602\Skype(c) 3.2\install.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
Deleted ! : C:\Users\Chiki\AppData\Local\Temp\Rar$EX01.408\Skype(c) 3.2\install.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
Deleted ! : C:\Users\Chiki\Desktop\Dropper protégé\Samples B\Y'z Shadow 1.9\install_crack.exe
# Taille : 815104 # MD5 : 160FA0E8069F9FF6E4A2AC4737F074A3
Deleted ! : C:\Users\Chiki\Desktop\Dropper protégé\Skype(c) 3.2\install.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
################## [ PEH Corrupted ]
T as fais tes tests a partir de l exe ? je me rappel que quand je m obstinai a taffer avec batch to exe , fyk plantait , il m a suffit d y ajouter un ) en fin de code pour resoudre le blem , mais j ai jamais pigé vraiment pourquoi .
bref je refais un test .
Re,
Bon, je dois t'avouer que ça se présente assez mal cette histoire parce que là je ne vois plus du tout ou peut se situer le problème...
Chez moi sous xp ça passe, avec l'exe inclu à FYK et aussi directement à partir du script...
Question idiote...
Lorsque tu as mis fyks dans tools, il y avait bien refmd5.def dans le même dossier ?
Tu as utilisé le dernier cmd que je t'ai envoyé ?
Pas de problèmes pour les icônes, je te fais passer çà sous peu après avoir fait le tri :-)
@+ tard
Bon, je dois t'avouer que ça se présente assez mal cette histoire parce que là je ne vois plus du tout ou peut se situer le problème...
Chez moi sous xp ça passe, avec l'exe inclu à FYK et aussi directement à partir du script...
Question idiote...
Lorsque tu as mis fyks dans tools, il y avait bien refmd5.def dans le même dossier ?
Tu as utilisé le dernier cmd que je t'ai envoyé ?
Pas de problèmes pour les icônes, je te fais passer çà sous peu après avoir fait le tri :-)
@+ tard
