Bagle - de chiki a moe
Résolu
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
Salut moe ,
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
A voir également:
- Bagle - de chiki a moe
- Extreme-down moe - Accueil - Services en ligne
- Combien de ko pour 1 mo - Forum Mobile
- 100 mo internet combien de temps - Forum Mobile
- 100 mo internet, équivalent en nombre d'heures ✓ - Forum Mobile
- 1go combien de mo ✓ - Forum Matériel & Système
717 réponses
Résumé de la discussion
Le fil porte sur le développement et les tests d’un outil de nettoyage pour Bagle, avec une bêta qui voit des remplacements de fichiers système (111wfs1intwq.sys → wfsintwq.sys; 11s11ro1s1a2.sys → srosa2.sys) et l’ajout d’un nouveau service, Fyk mis à jour en version 4.732.
L’équipe aborde la détection MD5 et ZIP, mais la lecture des ZIP et les vérifications CRC32 restent problématiques, et l’option crack/keygen a été retirée du menu.
L’objectif central est de rendre l’antivirus et le pare-feu actifs après l’exécution d’un kill pendant les tests, en explorant des méthodes (notamment via des scripts VBScript) et en envisageant le partage des savoir-faire autour des samples et d’outils complémentaires comme Themida_y_Co dans Fyks.
Des échanges mentionnent également la suppression de USBFix, la nécessité d’un compilateur et des aspects liés à la vaccination, tout en valorisant les retours externes et les possibilités d’intégration d’autres outils.
salut,
À propos du scan pour la 721 ou la 720, sur un total 140 000 fichiers vista64 le scan met un bon 3min sur un total de 7-8min juste pour analyser 5-6 fichiers image***.zip dans le dossier openoffice.
A+
À propos du scan pour la 721 ou la 720, sur un total 140 000 fichiers vista64 le scan met un bon 3min sur un total de 7-8min juste pour analyser 5-6 fichiers image***.zip dans le dossier openoffice.
A+
salut gen,
Oui vu le type d'infection trouvé, Virut, Mytoob, Sality, car ces cochonneries comme Bagle infectent les exécutables.
C'est pourquoi il ne faut pas non plus passer Bitdefender online scanner avec les paramètres par défaut sinon il va tout effacer.
Anyway quand tu es atteint par cette cochonnerie 8/10 c'est killdisk direct.
moe,
Je te réponds ce soir sur la taille des archives.
A+
Oui vu le type d'infection trouvé, Virut, Mytoob, Sality, car ces cochonneries comme Bagle infectent les exécutables.
C'est pourquoi il ne faut pas non plus passer Bitdefender online scanner avec les paramètres par défaut sinon il va tout effacer.
Anyway quand tu es atteint par cette cochonnerie 8/10 c'est killdisk direct.
moe,
Je te réponds ce soir sur la taille des archives.
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
juste car j ai remarqué que sed.exe est dans pratiquement tous les pc et meme il me semble qu'ad-R ou smitfraud le contient !!??
Salut à tous,
Gen,
7z.exe est un utilitaire tout à fait clean et qui provient du package de 7-Zip :
https://www.7-zip.org/
Et effectivement comme le précise Deniscool, le lien vers chez threatexpert mentionne des fichiers qui ont été soumis pour analyse et donc on peut retrouver aussi bien des fichiers ayant été infectés par des virus "infecteurs d'exe" ainsi que des faux positifs.
Quant à sed.exe c'est éditeur de flux capable de faire des opérations complexes sur du texte par exemple et qui est utilisé par pas mal de fixs, c'est exact.
Si tu souhaites voir un peu à quoi il sert, je te conseille d'aller faire un p'tit tour ici :
http://fr.wikipedia.org/wiki/Sed_(informatique)
http://www.commentcamarche.net/faq/sujet 9536 sed introduction a sed part i
Bonne lecture ;-P
Merci Deniscool, j'essayerais de repasser lire ta réponse en fin de soirée, ou au plus tard demain.
@++
Gen,
7z.exe est un utilitaire tout à fait clean et qui provient du package de 7-Zip :
https://www.7-zip.org/
Et effectivement comme le précise Deniscool, le lien vers chez threatexpert mentionne des fichiers qui ont été soumis pour analyse et donc on peut retrouver aussi bien des fichiers ayant été infectés par des virus "infecteurs d'exe" ainsi que des faux positifs.
Quant à sed.exe c'est éditeur de flux capable de faire des opérations complexes sur du texte par exemple et qui est utilisé par pas mal de fixs, c'est exact.
Si tu souhaites voir un peu à quoi il sert, je te conseille d'aller faire un p'tit tour ici :
http://fr.wikipedia.org/wiki/Sed_(informatique)
http://www.commentcamarche.net/faq/sujet 9536 sed introduction a sed part i
Bonne lecture ;-P
Merci Deniscool, j'essayerais de repasser lire ta réponse en fin de soirée, ou au plus tard demain.
@++
Bonsoir tout le monde ,
Olivier , j ai fait des tests ce soir pour améliorer la vitesse du scan (SniffB) ..
Donc je pense me diriger vers cette direction mais je ne sais pas trop encore .
Si t as un avis ..
@+
Olivier , j ai fait des tests ce soir pour améliorer la vitesse du scan (SniffB) ..
Donc je pense me diriger vers cette direction mais je ne sais pas trop encore .
Si t as un avis ..
@+
bonsoir premier avis :
Scan excellement rapide
reperte des 3,2,2,2,2,2 ???(ca sert trop ca )
j ai trouvé le scan rouge de la version beta beaucoup plus attrayant a l oeil :)
Scan excellement rapide
reperte des 3,2,2,2,2,2 ???(ca sert trop ca )
j ai trouvé le scan rouge de la version beta beaucoup plus attrayant a l oeil :)
biensur !!!
si l option 1 trouve quelque chose c'est qu il y quelque chose a supprimer :)
Findykill est fait pour un certain type d infections donc s'il detecte quelque chose c'est que c est nefaste pour ton system
si l option 1 trouve quelque chose c'est qu il y quelque chose a supprimer :)
Findykill est fait pour un certain type d infections donc s'il detecte quelque chose c'est que c est nefaste pour ton system
je sait combien de fois ca a du mettre le message ;( sorry donc
je fait quoi y' pourtant bien des fichier infecter donc corruupted donc je fait l'action 2 de findykill?
mais si tu as essayé des patchs ou cracks tu n as pas "QUE" du bagle a mon avis tu devrais ouvrir une conversation sur le forum virus securite afin de finir ta desinfection et ne pas detourner le sujet principal de celle-ci Merci
salut moe,
donc dans le répertoire openoffice.org 3, il y a 6 fichiers d'archives photo de 3 à 5 Mo chacun.
en regardant une des archives, j'y ai vu environ 7200 fichiers et 110 dossiers, winrar à mis 40sec pour les extraires.
ce qui explique donc la longueur du scan : cqfd
A+
donc dans le répertoire openoffice.org 3, il y a 6 fichiers d'archives photo de 3 à 5 Mo chacun.
en regardant une des archives, j'y ai vu environ 7200 fichiers et 110 dossiers, winrar à mis 40sec pour les extraires.
ce qui explique donc la longueur du scan : cqfd
A+
Salut à tous,
DeNisCoOl, effectivement je comprend pourquoi 7200 fichiers et 110 dossiers juste dans une archive, peuvent provoquer une lenteur de 7z :-).
Merci pour la remontée en tout cas, j'essayerais prochainement de voir s'il est possible d'optimiser la vitesse de scan.
Cédric, c'est très rapide en effet et le principe des fichiers recherchés qui défilent en couleur est assez sympa à l'oeil.
Tu arrives bien à joindre l'utile à l'agréable on dirait :-)
Bah pourquoi pas !
Par contre pendant un test sur Vista j'ai eu plusieurs messages "Windows : Pas de disque" lorsque l'outil a attaqué ce genre de portion de code :
FOR %%A in (C D E F G .....) do if exist %%A: (...)
Le problème c'est que ce message n'est pas systématique, c'est à dire qu'après un reboot du pc et réutilisation de l'outil, je n'ai pas rerencontré le soucis.
Néanmoins, pendant la session ou le message était généré, en changeant :
FOR %%A in (C D E F G .....) do if exist %%A: (...)
par :
FOR %%A in (C D E F G .....) do Dir /a "%%A:\*.*">nul 2>&1 && (...)
Le problème ne s'est plus manifesté...
Peut-être une piste à creuser...
Voilà, sinon concernant les tests sur un OS 64, pour ma part Cédric, ce ne sera pas possible de pouvoir en faire contrairement à ce que je croyais encore il y a quelques jours... Désolé...Et un peu (beaucoup...) frustré aussi sur ce coup...
Ce qui m'a fait me poser logiquement la question de savoir si je devais te demander un retrait d'FYKS, Cédric...
Après reflexion, je me suis dit que sans pouvoir faire de tests approfondis et concrets, dans le meilleur des cas je vais sois devoir bloquer l'exécution sur les OS 64 si tu souhaites le conserver en l'état, soit te faire passer le code source pour que tu puisses l'adapter si de ton côté tu as la possibilité de faire des tests sur ce type d'OS.
J'attend ton avis, mais d'ici à ce week-end je te ferais surement passer une version filtrante qui devra remplacer la v1.0.1.8...
Bonne soirée à tous, @++
DeNisCoOl, effectivement je comprend pourquoi 7200 fichiers et 110 dossiers juste dans une archive, peuvent provoquer une lenteur de 7z :-).
Merci pour la remontée en tout cas, j'essayerais prochainement de voir s'il est possible d'optimiser la vitesse de scan.
Cédric, c'est très rapide en effet et le principe des fichiers recherchés qui défilent en couleur est assez sympa à l'oeil.
Tu arrives bien à joindre l'utile à l'agréable on dirait :-)
Bah pourquoi pas !
Par contre pendant un test sur Vista j'ai eu plusieurs messages "Windows : Pas de disque" lorsque l'outil a attaqué ce genre de portion de code :
FOR %%A in (C D E F G .....) do if exist %%A: (...)
Le problème c'est que ce message n'est pas systématique, c'est à dire qu'après un reboot du pc et réutilisation de l'outil, je n'ai pas rerencontré le soucis.
Néanmoins, pendant la session ou le message était généré, en changeant :
FOR %%A in (C D E F G .....) do if exist %%A: (...)
par :
FOR %%A in (C D E F G .....) do Dir /a "%%A:\*.*">nul 2>&1 && (...)
Le problème ne s'est plus manifesté...
Peut-être une piste à creuser...
Voilà, sinon concernant les tests sur un OS 64, pour ma part Cédric, ce ne sera pas possible de pouvoir en faire contrairement à ce que je croyais encore il y a quelques jours... Désolé...Et un peu (beaucoup...) frustré aussi sur ce coup...
Ce qui m'a fait me poser logiquement la question de savoir si je devais te demander un retrait d'FYKS, Cédric...
Après reflexion, je me suis dit que sans pouvoir faire de tests approfondis et concrets, dans le meilleur des cas je vais sois devoir bloquer l'exécution sur les OS 64 si tu souhaites le conserver en l'état, soit te faire passer le code source pour que tu puisses l'adapter si de ton côté tu as la possibilité de faire des tests sur ce type d'OS.
J'attend ton avis, mais d'ici à ce week-end je te ferais surement passer une version filtrante qui devra remplacer la v1.0.1.8...
Bonne soirée à tous, @++
Salut Olivier & grennette et tout le monde lol
Grennette ça fais plaisir de te voir ;)
Olivier , pour les "windows pas de disques" (d ailleurs ne te fie pas a la quantité de fichiers recherché c étais pour test) , c est vrai, mais comme tu dis apres reboot tu n avais plus ce message ..
J a fais egalement quelques test sur le sujet .. par rapport a usbfix pour etre franc.
Le message intervient si je ne me trompe pas apres usage d un cd . .. donc comme je l avais dis il y a quelques temps, le mieux serait d exclure le/les lecteurs cd dvd de la rech.
Donc via $drives seulement il faudrait retravailler cette rech via le vbs .. (si tu peux , ça m arrangerai)
Pour fyks je ne crois pas qu il faille ni filtrer ni encore moins l abandonner ... car la methode est bonne etc .
Il est vrai que nous manquons de test et de remontées sur ces OS 64 mais je suis sur que ça peut s arranger....
Pour les couleurs etc , oui j aime bien mais ça allais un peut trop vite ... J ai revu ça et te passerai une autre beta ce soir .
Sinon pour les peh ? t en penses quoi ?
Grennette ça fais plaisir de te voir ;)
Olivier , pour les "windows pas de disques" (d ailleurs ne te fie pas a la quantité de fichiers recherché c étais pour test) , c est vrai, mais comme tu dis apres reboot tu n avais plus ce message ..
J a fais egalement quelques test sur le sujet .. par rapport a usbfix pour etre franc.
Le message intervient si je ne me trompe pas apres usage d un cd . .. donc comme je l avais dis il y a quelques temps, le mieux serait d exclure le/les lecteurs cd dvd de la rech.
Donc via $drives seulement il faudrait retravailler cette rech via le vbs .. (si tu peux , ça m arrangerai)
Pour fyks je ne crois pas qu il faille ni filtrer ni encore moins l abandonner ... car la methode est bonne etc .
Il est vrai que nous manquons de test et de remontées sur ces OS 64 mais je suis sur que ça peut s arranger....
Pour les couleurs etc , oui j aime bien mais ça allais un peut trop vite ... J ai revu ça et te passerai une autre beta ce soir .
Sinon pour les peh ? t en penses quoi ?
Est-ce que tu pourrais me dire la taille que font ces archives ou éventuellement juste me préciser si elle dépasse les 10 Mo pour chaque archive. ?
Et contiennent t'elles plusieurs dossiers et sous-dossiers ?
Merci d'avance...
Normalement au delà de 10 Mo l'archive n'est pas scannée, donc si ces archives ne dépassent pas cette taille, le soucis de longueur peut provenir de 7z.exe qui est utilisé pour récupérer les infos nécessaires et notamment le CRC32 de chaque fichiers contenus dans l'archive...
A suivre...
@++