Bagle - de chiki a moe
Résolu/Fermé
A voir également:
- Bagle - de chiki a moe
- Extreme down moe - Accueil - Services en ligne
- Zone téléchargement moe - Accueil - Outils
- Comment faire une photo de moins de 2 mo ✓ - Forum Photo numérique
- Zone telechargement moe - Accueil - Services en ligne
- 100 mo internet combien de temps - Forum Mobile
717 réponses
myki
Messages postés
60
Date d'inscription
lundi 5 avril 2004
Statut
Membre
Dernière intervention
16 avril 2009
5 avril 2009 à 13:10
5 avril 2009 à 13:10
je ne serai dire mais je pense que comme la plupart surement juste que on voit pas d'infection dans le rapport
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
5 avril 2009 à 13:33
5 avril 2009 à 13:33
Salut myki,
Peux-tu faire le test chez toi, s'il te plaît; et me répondre ensuite ?J'ose croire que ton PC est propre. ;)
Ne lance que la fonction A.
Merci
Al.
Peux-tu faire le test chez toi, s'il te plaît; et me répondre ensuite ?J'ose croire que ton PC est propre. ;)
Ne lance que la fonction A.
Merci
Al.
Utilisateur anonyme
5 avril 2009 à 14:22
5 avril 2009 à 14:22
bon apres inoculation de la derniere Variante Bagle , reinstall totale avec formatage de partition
une fois la reinstall finie , aucun exe ne fonctionne
Fyk2 ne reaffiche pas le bureau
c'est du virut. cette variante que tu m'as filé !!!
:)))))
une fois la reinstall finie , aucun exe ne fonctionne
Fyk2 ne reaffiche pas le bureau
c'est du virut. cette variante que tu m'as filé !!!
:)))))
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
loloetseb
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
5 avril 2009 à 14:34
5 avril 2009 à 14:34
;)
Utilisateur anonyme
5 avril 2009 à 17:39
5 avril 2009 à 17:39
Bonjours tout le monde ,
@Gen , faut pas jouer avec le feu ... pour le reste on "reste" en mp merci.
Olivier , si tu passe par là , tu pourrais me faire passer un sample "hldrrr" et les plus anciens ..
J ai fais du ménage dans mon "souk" , mais un peut trop a priori (pas lol)
Bon dimanche.
@Gen , faut pas jouer avec le feu ... pour le reste on "reste" en mp merci.
Olivier , si tu passe par là , tu pourrais me faire passer un sample "hldrrr" et les plus anciens ..
J ai fais du ménage dans mon "souk" , mais un peut trop a priori (pas lol)
Bon dimanche.
Utilisateur anonyme
5 avril 2009 à 21:55
5 avril 2009 à 21:55
Salut Olivier ,
Je te remercie , j en profiterai pour revoir 2/3 details dans fyk demain """""" ;)
Là j étais sur usbfix et le fun est là .. mais pas toujours avec le résutat escompté .
Rien de grave .
Passe une bonne semaine & have fun aussi .
Edité , car je sais plus écrire .
Je te remercie , j en profiterai pour revoir 2/3 details dans fyk demain """""" ;)
Là j étais sur usbfix et le fun est là .. mais pas toujours avec le résutat escompté .
Rien de grave .
Passe une bonne semaine & have fun aussi .
Edité , car je sais plus écrire .
Utilisateur anonyme
6 avril 2009 à 20:13
6 avril 2009 à 20:13
Bonsoir tout le monde,
Olivier , j ai pas pris le temps de me mettre sur fyk , je prefere attendre la fin de la semaine ..
car ainsi je completerai le .def
Passe une bonne semaine.
@+
Olivier , j ai pas pris le temps de me mettre sur fyk , je prefere attendre la fin de la semaine ..
car ainsi je completerai le .def
Passe une bonne semaine.
@+
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
7 avril 2009 à 17:13
7 avril 2009 à 17:13
salut moe,
chiqui a encore voulu m'infecter, mais super fyk était là.
manip fait sous compte admin installation et suppression Vista64, Kaspersky désactivé sinon bagle passait pas ;-)
tout s'est bien passé, un seul détail la lecture de l'OS dans le rapport 32bits, chiqui va s'en occuper.
############################## [ FindyKill V4.722 ]
# User : Admin (Utilisateurs) # GUILLAUMEIX
# Update on 04/04/09 by Chiquitine29
# Start at: 22:13:32 | 2009-04-06
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
# AMD Turion(tm) 64 X2 Mobile Technology TL-60
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# AV : Kaspersky Anti-Virus 8.0.0.506 [ Enabled | Updated ]
# C:\ # Disque fixe local # 183,01 Go (114,81 Go free) [Vista] # NTFS
# D:\ # Disque fixe local # 12,95 Go (2,71 Go free) [HP_RECOVERY] # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque fixe local # 44,91 Go (28,88 Go free) [Windows 7] # NTFS
############################## [ Active Processes ]
C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
C:\Program Files (x86)\CyberLink\Shared Files\RichVideo.exe
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPSched.exe
C:\Windows\SysWOW64\runonce.exe
C:\Program Files (x86)\Secunia\PSI\psi.exe
################## [ C:\Windows # C:\Windows\Prefetch ]
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-6819A54D.pf
Deleted ! C:\Windows\Prefetch\WINUPGRO.EXE-CCC1740C.pf
################## [ C:\Windows\System32... ]
################## [ C:\Users\...\AppData\Roaming ]
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\downld"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers"
################## [ Cleaning .. Temp Files... ]
################## [ Registry / Infected keys ]
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\key_generator
################## [ Cleaning Removable drives ]
# Deleting Files :
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.
################## [ Searching Other Infections ]
Deleted ! : C:\Users\Admin\Desktop\zannoTate125.zip
Contain key_generator.exe [856064] with Bagle CRC32 : 8D3544CA
Deleted ! : C:\Users\DeNisCoOl\AppData\Local\Temp\zannoTate125.zip
Contain key_generator.exe [856064] with Bagle CRC32 : 8D3544CA
################## [ ! End of Report # FindyKill V4.722 ! ]
A+
chiqui a encore voulu m'infecter, mais super fyk était là.
manip fait sous compte admin installation et suppression Vista64, Kaspersky désactivé sinon bagle passait pas ;-)
tout s'est bien passé, un seul détail la lecture de l'OS dans le rapport 32bits, chiqui va s'en occuper.
############################## [ FindyKill V4.722 ]
# User : Admin (Utilisateurs) # GUILLAUMEIX
# Update on 04/04/09 by Chiquitine29
# Start at: 22:13:32 | 2009-04-06
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
# AMD Turion(tm) 64 X2 Mobile Technology TL-60
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# AV : Kaspersky Anti-Virus 8.0.0.506 [ Enabled | Updated ]
# C:\ # Disque fixe local # 183,01 Go (114,81 Go free) [Vista] # NTFS
# D:\ # Disque fixe local # 12,95 Go (2,71 Go free) [HP_RECOVERY] # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque fixe local # 44,91 Go (28,88 Go free) [Windows 7] # NTFS
############################## [ Active Processes ]
C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
C:\Program Files (x86)\CyberLink\Shared Files\RichVideo.exe
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPSched.exe
C:\Windows\SysWOW64\runonce.exe
C:\Program Files (x86)\Secunia\PSI\psi.exe
################## [ C:\Windows # C:\Windows\Prefetch ]
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-6819A54D.pf
Deleted ! C:\Windows\Prefetch\WINUPGRO.EXE-CCC1740C.pf
################## [ C:\Windows\System32... ]
################## [ C:\Users\...\AppData\Roaming ]
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\downld"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers"
################## [ Cleaning .. Temp Files... ]
################## [ Registry / Infected keys ]
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\key_generator
################## [ Cleaning Removable drives ]
# Deleting Files :
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.
################## [ Searching Other Infections ]
Deleted ! : C:\Users\Admin\Desktop\zannoTate125.zip
Contain key_generator.exe [856064] with Bagle CRC32 : 8D3544CA
Deleted ! : C:\Users\DeNisCoOl\AppData\Local\Temp\zannoTate125.zip
Contain key_generator.exe [856064] with Bagle CRC32 : 8D3544CA
################## [ ! End of Report # FindyKill V4.722 ! ]
A+
Salut Cédric, Denis
Denis, le test est très intructif et du coup j'aimerais savoir si tu peux me donner quelques détails supplémentaires, du moins si tu as du temps de disponible à y consacrer.
L'infection ne semble pas s'être développée, aucune trace du rootkit ni des fichiers actifs, donc je me posais une ou deux question à ce sujet.
Lors de ton test, après l'exécution du faux crack, as-tu redemarré le pc ou eu un redemarrage, ou bien as-tu exécuté Findykill dans la foulée du faux crack ?
Et enfin, pourrais-tu ouvrir l'invite de commande, y taper : SET puis valider et copier/coller ici le listing obtenu ?
Merci d'avance.
Cédric, moi non plus je n'ai pas spécialement eu le temps de bosser sur FYK, semaine très chargée côté perso, oblige...
De plus ma connec risque aussi d'être coupée dans la semaine, donc t'inquiètes pas si mes prochaines réponses tardent à arriver.
Merci pour USBFix, je n'ai pas encore pu le tester mais il à l'air d'être déjà en bonne voie :-)
A propos, et si c'est pas indiscret, à quel niveau tu as des soucis pour arriver au résutat escompté ?
Bonne soirée et bonne semaine à tous.
@+
Denis, le test est très intructif et du coup j'aimerais savoir si tu peux me donner quelques détails supplémentaires, du moins si tu as du temps de disponible à y consacrer.
L'infection ne semble pas s'être développée, aucune trace du rootkit ni des fichiers actifs, donc je me posais une ou deux question à ce sujet.
Lors de ton test, après l'exécution du faux crack, as-tu redemarré le pc ou eu un redemarrage, ou bien as-tu exécuté Findykill dans la foulée du faux crack ?
Et enfin, pourrais-tu ouvrir l'invite de commande, y taper : SET puis valider et copier/coller ici le listing obtenu ?
Merci d'avance.
Cédric, moi non plus je n'ai pas spécialement eu le temps de bosser sur FYK, semaine très chargée côté perso, oblige...
De plus ma connec risque aussi d'être coupée dans la semaine, donc t'inquiètes pas si mes prochaines réponses tardent à arriver.
Merci pour USBFix, je n'ai pas encore pu le tester mais il à l'air d'être déjà en bonne voie :-)
A propos, et si c'est pas indiscret, à quel niveau tu as des soucis pour arriver au résutat escompté ?
Bonne soirée et bonne semaine à tous.
@+
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
>
moe
8 avril 2009 à 03:33
8 avril 2009 à 03:33
salut moe,
je n'ai pas redémarré.
le problème Kaspersky à tendance à tout efface, c'est dommage hehe
je vais réessayer et redémarrer pour voir l'effet et lancer la commande SET
A+
je n'ai pas redémarré.
le problème Kaspersky à tendance à tout efface, c'est dommage hehe
je vais réessayer et redémarrer pour voir l'effet et lancer la commande SET
A+
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
>
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
8 avril 2009 à 05:05
8 avril 2009 à 05:05
moe,
--> Bon voici le listing SET ici, j'ai un peu attendu dans mon compte utilisateur standard et au bout de 10min l'ordi a redémarré tout seul.
--> En redémarrant je n'ai pas pu arrêter Kaspersky assez vite, il avait repéré et effacé Bagle mais dans une archive SuperAntispyware!!! pourtant je n'ai que la version gratuite qui se lance au démarrage.
J'ai du réparer SuperA. il avait pris une claque de Kaspersky j'imagine.
--> Et bizarre après passage fyk l'archive et le faux patch était toujours complet alors que pendant le scan il avait bien été détecté et supprimé.
L'infection a pu se propager plus loin cette fois ci es tu satisfait ? :-P
Tu verras les 2 lignes Denied CRC32... et MD5...
Également Not deleted ! "C:\Users\Admin\AppData\Roaming\drivers"
--> J'ai lancé un scan Kaspersky et il a trouvé du bagle même dans la fameuse archive:
2009-04-07 23:34:36 Non réparés: Trojan-Downloader.Win32.Bagle.aqf C:\Users\DeNisCoOl\AppData\Local\Temp\zannoTate125.zip/key_generator.exe Reporté
2009-04-07 23:29:20 Non réparés: Trojan-Downloader.Win32.Bagle.apr C:\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\afx6rbfs.default\Cache\1D37BB88d01/bagle/run.exe Reporté
Et le rapport :
############################## [ FindyKill V4.722 ]
# User : Admin (Utilisateurs) # GUILLAUMEIX
# Update on 04/04/09 by Chiquitine29
# Start at: 21:58:40 | 2009-04-07
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
# AMD Turion(tm) 64 X2 Mobile Technology TL-60
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# AV : Kaspersky Anti-Virus 8.0.0.506 [ Enabled | Updated ]
# C:\ # Disque fixe local # 183,01 Go (113,46 Go free) [Vista] # NTFS
# D:\ # Disque fixe local # 12,95 Go (2,71 Go free) [HP_RECOVERY] # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque fixe local # 44,91 Go (28,88 Go free) [Windows 7] # NTFS
############################## [ Active Processes ]
C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
C:\Program Files (x86)\CyberLink\Shared Files\RichVideo.exe
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPSched.exe
C:\Windows\SysWOW64\runonce.exe
################## [ C:\Windows # C:\Windows\Prefetch ]
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-3B916CF5.pf
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-6CE147EE.pf
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-86D8FB3E.pf
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-B4571D89.pf
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-C683A408.pf
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-D60A9B1B.pf
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-E84E0CA2.pf
Deleted ! C:\Windows\Prefetch\WINUPGRO.EXE-C2A81427.pf
Deleted ! C:\Windows\Prefetch\WINUPGRO.EXE-CCC1740C.pf
################## [ C:\Windows\System32... ]
################## [ C:\Users\...\AppData\Roaming ]
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\srosa2.sys"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\wfsintwq.sys"
Not deleted ! "C:\Users\Admin\AppData\Roaming\drivers\winupgro.exe"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\downld"
Not deleted ! "C:\Users\Admin\AppData\Roaming\drivers"
################## [ Cleaning .. Temp Files... ]
################## [ Registry / Infected keys ]
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\key_generator
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
################## [ Cleaning Removable drives ]
# Deleting Files :
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
File ... : C:\Users\Admin\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : DENIED
MD5 .... : DENIED
Deleted ! : C:\Users\Admin\Desktop\zannoTate125-2.zip
Contain key_generator.exe [856064] with Bagle CRC32 : 8D3544CA
Deleted ! : C:\Users\Admin\Desktop\zannoTate125.zip
Contain key_generator.exe [856064] with Bagle CRC32 : 8D3544CA
Deleted ! : C:\Users\DeNisCoOl\AppData\Local\Temp\zannoTate125-2.zip
Contain key_generator.exe [856064] with Bagle CRC32 : 8D3544CA
Deleted ! : C:\Users\DeNisCoOl\AppData\Local\Temp\zannoTate125.zip
Contain key_generator.exe [856064] with Bagle CRC32 : 8D3544CA
################## [ ! End of Report # FindyKill V4.722 ! ]
A+
Signé : Kamikaze 2 (gen : Kamikaze 1) lol
--> Bon voici le listing SET ici, j'ai un peu attendu dans mon compte utilisateur standard et au bout de 10min l'ordi a redémarré tout seul.
--> En redémarrant je n'ai pas pu arrêter Kaspersky assez vite, il avait repéré et effacé Bagle mais dans une archive SuperAntispyware!!! pourtant je n'ai que la version gratuite qui se lance au démarrage.
J'ai du réparer SuperA. il avait pris une claque de Kaspersky j'imagine.
--> Et bizarre après passage fyk l'archive et le faux patch était toujours complet alors que pendant le scan il avait bien été détecté et supprimé.
L'infection a pu se propager plus loin cette fois ci es tu satisfait ? :-P
Tu verras les 2 lignes Denied CRC32... et MD5...
Également Not deleted ! "C:\Users\Admin\AppData\Roaming\drivers"
--> J'ai lancé un scan Kaspersky et il a trouvé du bagle même dans la fameuse archive:
2009-04-07 23:34:36 Non réparés: Trojan-Downloader.Win32.Bagle.aqf C:\Users\DeNisCoOl\AppData\Local\Temp\zannoTate125.zip/key_generator.exe Reporté
2009-04-07 23:29:20 Non réparés: Trojan-Downloader.Win32.Bagle.apr C:\Users\Admin\AppData\Local\Mozilla\Firefox\Profiles\afx6rbfs.default\Cache\1D37BB88d01/bagle/run.exe Reporté
Et le rapport :
############################## [ FindyKill V4.722 ]
# User : Admin (Utilisateurs) # GUILLAUMEIX
# Update on 04/04/09 by Chiquitine29
# Start at: 21:58:40 | 2009-04-07
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
# AMD Turion(tm) 64 X2 Mobile Technology TL-60
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# AV : Kaspersky Anti-Virus 8.0.0.506 [ Enabled | Updated ]
# C:\ # Disque fixe local # 183,01 Go (113,46 Go free) [Vista] # NTFS
# D:\ # Disque fixe local # 12,95 Go (2,71 Go free) [HP_RECOVERY] # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque fixe local # 44,91 Go (28,88 Go free) [Windows 7] # NTFS
############################## [ Active Processes ]
C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
C:\Program Files (x86)\CyberLink\Shared Files\RichVideo.exe
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPSched.exe
C:\Windows\SysWOW64\runonce.exe
################## [ C:\Windows # C:\Windows\Prefetch ]
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-3B916CF5.pf
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-6CE147EE.pf
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-86D8FB3E.pf
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-B4571D89.pf
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-C683A408.pf
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-D60A9B1B.pf
Deleted ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-E84E0CA2.pf
Deleted ! C:\Windows\Prefetch\WINUPGRO.EXE-C2A81427.pf
Deleted ! C:\Windows\Prefetch\WINUPGRO.EXE-CCC1740C.pf
################## [ C:\Windows\System32... ]
################## [ C:\Users\...\AppData\Roaming ]
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\srosa2.sys"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\wfsintwq.sys"
Not deleted ! "C:\Users\Admin\AppData\Roaming\drivers\winupgro.exe"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\downld"
Not deleted ! "C:\Users\Admin\AppData\Roaming\drivers"
################## [ Cleaning .. Temp Files... ]
################## [ Registry / Infected keys ]
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\key_generator
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
################## [ Cleaning Removable drives ]
# Deleting Files :
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
File ... : C:\Users\Admin\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : DENIED
MD5 .... : DENIED
Deleted ! : C:\Users\Admin\Desktop\zannoTate125-2.zip
Contain key_generator.exe [856064] with Bagle CRC32 : 8D3544CA
Deleted ! : C:\Users\Admin\Desktop\zannoTate125.zip
Contain key_generator.exe [856064] with Bagle CRC32 : 8D3544CA
Deleted ! : C:\Users\DeNisCoOl\AppData\Local\Temp\zannoTate125-2.zip
Contain key_generator.exe [856064] with Bagle CRC32 : 8D3544CA
Deleted ! : C:\Users\DeNisCoOl\AppData\Local\Temp\zannoTate125.zip
Contain key_generator.exe [856064] with Bagle CRC32 : 8D3544CA
################## [ ! End of Report # FindyKill V4.722 ! ]
A+
Signé : Kamikaze 2 (gen : Kamikaze 1) lol
Utilisateur anonyme
7 avril 2009 à 18:57
7 avril 2009 à 18:57
Salut Olivier ,
Je comptais me mettre 2/3 heures sur fyk ce soir .. olé ;)
Pour usbfix , "le résultat escompté" : j ai corrigé , par contre je veux retravailler la partie M2 .. (rech & kill)
Je vais voir ça cette semaine . Je te tiendrais au courant .
Changelog
New maj : UsbFix
Sinon y a des FP dans recycler & $recycle.bin , idem a corriger cette semaine.
Pour finir , FyK et UsbFix sont passé sur xp 64 (merci Chimay8) & denis a testé Usbfix ..
Voilou , prend ton temps Olivier & have fun ;)
Bonne soirée.
Je comptais me mettre 2/3 heures sur fyk ce soir .. olé ;)
Pour usbfix , "le résultat escompté" : j ai corrigé , par contre je veux retravailler la partie M2 .. (rech & kill)
Je vais voir ça cette semaine . Je te tiendrais au courant .
Changelog
New maj : UsbFix
Sinon y a des FP dans recycler & $recycle.bin , idem a corriger cette semaine.
Pour finir , FyK et UsbFix sont passé sur xp 64 (merci Chimay8) & denis a testé Usbfix ..
Voilou , prend ton temps Olivier & have fun ;)
Bonne soirée.
Utilisateur anonyme
7 avril 2009 à 19:59
7 avril 2009 à 19:59
Re Olivier,
En fait Chimay a du 32 bit , car je lui ai demandé "set".
Sinon , au niveau des "résultat escompté" je cherche à exclure <no name> de l édition des clés ...
J ' y suis pas encore arrivé .
Pour le reste je pense que cet outil suis un bon chemin.
En fait Chimay a du 32 bit , car je lui ai demandé "set".
Sinon , au niveau des "résultat escompté" je cherche à exclure <no name> de l édition des clés ...
J ' y suis pas encore arrivé .
Pour le reste je pense que cet outil suis un bon chemin.
Utilisateur anonyme
7 avril 2009 à 20:57
7 avril 2009 à 20:57
Re ,
décidément ..
Je viens de taffer sur notre amis , j ai pas juger une maj nécessaire , mis a part le .def ...
Pour celui ci j ai ma recolte . (5)
Si toi meme par rapport a tes investigations , tu es en mesure de completer ce meme fichier .. je prend.
Bonne semaine & a ce week end surement.
edit le rapport :
############################## [ FindyKill V4.722 ]
# User : Chiki (Administrateurs) # PC-DE-TEST
# Update on 04/04/09 by Chiquitine29
# Start at: 20:50:10 | 07/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
# AMD Turion(tm) 64 X2 Mobile Technology TL-52
# Microsoft® Windows Vista™ Édition Intégrale (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ (!) Disabled | Updated ]
# C:\ # Disque fixe local # 221,17 Go (117,52 Go free) [Vista Intégrale] # NTFS
# D:\ # Disque CD-ROM
############################## [ Active Processes ]
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\PresentationSettings.exe
################## [ C:\Windows # C:\Windows\Prefetch ]
################## [ C:\Windows\System32... ]
Deleted ! C:\Windows\system32\mdelk.exe
Deleted ! C:\Windows\system32\wintems.exe
Deleted ! C:\Windows\system32\ban_list.txt
################## [ C:\Users\...\AppData\Roaming ]
Deleted ! "C:\Users\Chiki\AppData\Roaming\m\flec006.exe"
Deleted ! "C:\Users\Chiki\AppData\Roaming\m\list.oct"
Deleted ! "C:\Users\Chiki\AppData\Roaming\m\data.oct"
Deleted ! "C:\Users\Chiki\AppData\Roaming\m\srvlist.oct"
Deleted ! "C:\Users\Chiki\AppData\Roaming\drivers\srosa2.sys"
Deleted ! "C:\Users\Chiki\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! "C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe"
Deleted ! "C:\Users\Chiki\AppData\Roaming\m\shared"
Deleted ! "C:\Users\Chiki\AppData\Roaming\m"
Deleted ! "C:\Users\Chiki\AppData\Roaming\drivers\downld"
Deleted ! "C:\Users\Chiki\AppData\Roaming\drivers"
################## [ Cleaning .. Temp Files... ]
Deleted ! C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\PDQQEI12\b64_3[1].jpg
Deleted ! C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\PDQQEI12\b64_6[1].jpg
Deleted ! C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\PDQQEI12\file[1].txt
Deleted ! C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\XMCIGYIS\b64[1].jpg
Deleted ! C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\XMCIGYIS\b64_2[1].jpg
################## [ Registry / Infected keys ]
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\DateTime4
Deleted ! HKEY_CURRENT_USER\Software\FirtR
Deleted ! HKEY_CURRENT_USER\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\install_crack
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-3466371617-3319660374-2288821052-1000\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
################## [ Cleaning Removable drives ]
# Deleting Files :
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
File ... : C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : b6638d0b
MD5 .... : 3b0299d2ed3587a62bd15341de6396ef
Deleted ! : C:\Program Files\Windows Live\Messenger\msnmsgr.exe
# Taille : 864256 # MD5 : 3B0299D2ED3587A62BD15341DE6396EF
Deleted ! : C:\Users\Chiki\Desktop\2.3\keygen.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
Deleted ! : C:\Users\Chiki\Desktop\2.3.zip
Contain keygen.exe [806912] with Bagle CRC32 : 55635C49
Deleted ! : C:\Users\Chiki\Desktop\2.4.zip
Contain install_crack.exe [864256] with Bagle CRC32 : B6638D0B
Deleted ! : C:\Users\Chiki\Desktop\2.5.zip
Contain install_crack.exe [864256] with Bagle CRC32 : B6638D0B
Deleted ! : C:\Users\Chiki\Desktop\3.0\install_crack.exe
# Taille : 864256 # MD5 : 3B0299D2ED3587A62BD15341DE6396EF
Deleted ! : C:\Users\Chiki\Desktop\3.0.zip
Contain install_crack.exe [864256] with Bagle CRC32 : B6638D0B
Suspect ! : C:\Users\Chiki\Desktop\Samples\0\Fairwinds Credit Union Mortgage Rates 1.0.exe
# Taille : 704512 # MD5 : 45C9114E9FE0F7D9DEDBEB87B4F143A3
File was renamed : Fairwinds Credit Union Mortgage Rates 1.0.exe.REN
Suspect ! : C:\Users\Chiki\Desktop\Samples\xstat\serial.exe
# Taille : 851976 # MD5 : 3A0E0D0F4A94179E414B2BF6E5B1C1E8
File was renamed : serial.exe.REN
Deleted ! : C:\Users\Chiki\Desktop\Web Site Publisher 1.6.2 [With Crack]\install_crack.exe
# Taille : 864256 # MD5 : 3B0299D2ED3587A62BD15341DE6396EF
Deleted ! : C:\Users\Chiki\Desktop\Yahoo Mail Checker 1\install_crack.exe
# Taille : 864256 # MD5 : 3B0299D2ED3587A62BD15341DE6396EF
Deleted ! : C:\Users\Cédric\AppData\Local\Temp\Rar$EX00.056\install.exe
# Taille : 868352 # MD5 : A0EE969DA1BC816195BDDF74F58D4008
Deleted ! : C:\Users\Cédric\AppData\Local\Temp\Rar$EX00.182\install.exe
# Taille : 868352 # MD5 : A0EE969DA1BC816195BDDF74F58D4008
Deleted ! : C:\Users\Cédric\AppData\Local\Temp\Rar$EX00.387\install.exe
# Taille : 868352 # MD5 : A0EE969DA1BC816195BDDF74F58D4008
Deleted ! : C:\Users\Cédric\AppData\Local\Temp\Rar$EX00.477\install.exe
# Taille : 868352 # MD5 : A0EE969DA1BC816195BDDF74F58D4008
Deleted ! : C:\Users\Cédric\AppData\Local\Temp\Rar$EX00.866\install.exe
# Taille : 868352 # MD5 : A0EE969DA1BC816195BDDF74F58D4008
################## [ Corrupted files # Re-Installation required ]
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avadmin.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avconfig.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\guardgui.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\licmgr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\preupd.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\update.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\wsctool.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6000.16420_none_55c0ce805b18c568\MSASCui.exe
C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6001.18000_none_57bcb0ca582f18c5\MSASCui.exe
################## [ ! End of Report # FindyKill V4.722 ! ]
décidément ..
Je viens de taffer sur notre amis , j ai pas juger une maj nécessaire , mis a part le .def ...
Pour celui ci j ai ma recolte . (5)
Si toi meme par rapport a tes investigations , tu es en mesure de completer ce meme fichier .. je prend.
Bonne semaine & a ce week end surement.
edit le rapport :
############################## [ FindyKill V4.722 ]
# User : Chiki (Administrateurs) # PC-DE-TEST
# Update on 04/04/09 by Chiquitine29
# Start at: 20:50:10 | 07/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
# AMD Turion(tm) 64 X2 Mobile Technology TL-52
# Microsoft® Windows Vista™ Édition Intégrale (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ (!) Disabled | Updated ]
# C:\ # Disque fixe local # 221,17 Go (117,52 Go free) [Vista Intégrale] # NTFS
# D:\ # Disque CD-ROM
############################## [ Active Processes ]
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\PresentationSettings.exe
################## [ C:\Windows # C:\Windows\Prefetch ]
################## [ C:\Windows\System32... ]
Deleted ! C:\Windows\system32\mdelk.exe
Deleted ! C:\Windows\system32\wintems.exe
Deleted ! C:\Windows\system32\ban_list.txt
################## [ C:\Users\...\AppData\Roaming ]
Deleted ! "C:\Users\Chiki\AppData\Roaming\m\flec006.exe"
Deleted ! "C:\Users\Chiki\AppData\Roaming\m\list.oct"
Deleted ! "C:\Users\Chiki\AppData\Roaming\m\data.oct"
Deleted ! "C:\Users\Chiki\AppData\Roaming\m\srvlist.oct"
Deleted ! "C:\Users\Chiki\AppData\Roaming\drivers\srosa2.sys"
Deleted ! "C:\Users\Chiki\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! "C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe"
Deleted ! "C:\Users\Chiki\AppData\Roaming\m\shared"
Deleted ! "C:\Users\Chiki\AppData\Roaming\m"
Deleted ! "C:\Users\Chiki\AppData\Roaming\drivers\downld"
Deleted ! "C:\Users\Chiki\AppData\Roaming\drivers"
################## [ Cleaning .. Temp Files... ]
Deleted ! C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\PDQQEI12\b64_3[1].jpg
Deleted ! C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\PDQQEI12\b64_6[1].jpg
Deleted ! C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\PDQQEI12\file[1].txt
Deleted ! C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\XMCIGYIS\b64[1].jpg
Deleted ! C:\Users\Chiki\Local Settings\Temporary Internet Files\Content.IE5\XMCIGYIS\b64_2[1].jpg
################## [ Registry / Infected keys ]
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\DateTime4
Deleted ! HKEY_CURRENT_USER\Software\FirtR
Deleted ! HKEY_CURRENT_USER\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\install_crack
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-3466371617-3319660374-2288821052-1000\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
################## [ Cleaning Removable drives ]
# Deleting Files :
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
File ... : C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : b6638d0b
MD5 .... : 3b0299d2ed3587a62bd15341de6396ef
Deleted ! : C:\Program Files\Windows Live\Messenger\msnmsgr.exe
# Taille : 864256 # MD5 : 3B0299D2ED3587A62BD15341DE6396EF
Deleted ! : C:\Users\Chiki\Desktop\2.3\keygen.exe
# Taille : 806912 # MD5 : ECF8931B307651315B9590EF30FD9077
Deleted ! : C:\Users\Chiki\Desktop\2.3.zip
Contain keygen.exe [806912] with Bagle CRC32 : 55635C49
Deleted ! : C:\Users\Chiki\Desktop\2.4.zip
Contain install_crack.exe [864256] with Bagle CRC32 : B6638D0B
Deleted ! : C:\Users\Chiki\Desktop\2.5.zip
Contain install_crack.exe [864256] with Bagle CRC32 : B6638D0B
Deleted ! : C:\Users\Chiki\Desktop\3.0\install_crack.exe
# Taille : 864256 # MD5 : 3B0299D2ED3587A62BD15341DE6396EF
Deleted ! : C:\Users\Chiki\Desktop\3.0.zip
Contain install_crack.exe [864256] with Bagle CRC32 : B6638D0B
Suspect ! : C:\Users\Chiki\Desktop\Samples\0\Fairwinds Credit Union Mortgage Rates 1.0.exe
# Taille : 704512 # MD5 : 45C9114E9FE0F7D9DEDBEB87B4F143A3
File was renamed : Fairwinds Credit Union Mortgage Rates 1.0.exe.REN
Suspect ! : C:\Users\Chiki\Desktop\Samples\xstat\serial.exe
# Taille : 851976 # MD5 : 3A0E0D0F4A94179E414B2BF6E5B1C1E8
File was renamed : serial.exe.REN
Deleted ! : C:\Users\Chiki\Desktop\Web Site Publisher 1.6.2 [With Crack]\install_crack.exe
# Taille : 864256 # MD5 : 3B0299D2ED3587A62BD15341DE6396EF
Deleted ! : C:\Users\Chiki\Desktop\Yahoo Mail Checker 1\install_crack.exe
# Taille : 864256 # MD5 : 3B0299D2ED3587A62BD15341DE6396EF
Deleted ! : C:\Users\Cédric\AppData\Local\Temp\Rar$EX00.056\install.exe
# Taille : 868352 # MD5 : A0EE969DA1BC816195BDDF74F58D4008
Deleted ! : C:\Users\Cédric\AppData\Local\Temp\Rar$EX00.182\install.exe
# Taille : 868352 # MD5 : A0EE969DA1BC816195BDDF74F58D4008
Deleted ! : C:\Users\Cédric\AppData\Local\Temp\Rar$EX00.387\install.exe
# Taille : 868352 # MD5 : A0EE969DA1BC816195BDDF74F58D4008
Deleted ! : C:\Users\Cédric\AppData\Local\Temp\Rar$EX00.477\install.exe
# Taille : 868352 # MD5 : A0EE969DA1BC816195BDDF74F58D4008
Deleted ! : C:\Users\Cédric\AppData\Local\Temp\Rar$EX00.866\install.exe
# Taille : 868352 # MD5 : A0EE969DA1BC816195BDDF74F58D4008
################## [ Corrupted files # Re-Installation required ]
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avadmin.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avconfig.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\guardgui.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\licmgr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\preupd.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\update.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\wsctool.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6000.16420_none_55c0ce805b18c568\MSASCui.exe
C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6001.18000_none_57bcb0ca582f18c5\MSASCui.exe
################## [ ! End of Report # FindyKill V4.722 ! ]
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
8 avril 2009 à 00:43
8 avril 2009 à 00:43
ho moe tu fait la gueule ou quoi
deux fois que je te met un post et meme pas une reponse
je comprend pas
ou alors il vas falloir que je te passe mes lentilles fait pas bon viellir lol
a++
deux fois que je te met un post et meme pas une reponse
je comprend pas
ou alors il vas falloir que je te passe mes lentilles fait pas bon viellir lol
a++
Salut Balltrap,
J'ai simplement très très peu de temps libre en ce moment et je n'ai tout bêtement pas vu ton post...
Lorsque je passe sur la discution elle a souvent beaucoup évolué et donc il arrive que je ne remonte pas systématiquement jusqu'où j'en étais resté la fois d'avant.
Ceci dit, content de t'avoir recroisé, c'est vrai que ça faisait un bail et j'espère que tout va bien pour toi depuis et que les affaires marchent comme tu le souhaite !
@++
J'ai simplement très très peu de temps libre en ce moment et je n'ai tout bêtement pas vu ton post...
Lorsque je passe sur la discution elle a souvent beaucoup évolué et donc il arrive que je ne remonte pas systématiquement jusqu'où j'en étais resté la fois d'avant.
Ceci dit, content de t'avoir recroisé, c'est vrai que ça faisait un bail et j'espère que tout va bien pour toi depuis et que les affaires marchent comme tu le souhaite !
@++
isim1987
Messages postés
1
Date d'inscription
mardi 31 mars 2009
Statut
Membre
Dernière intervention
8 avril 2009
8 avril 2009 à 14:57
8 avril 2009 à 14:57
bnjr a vous kelkun mavé renseigné de ce blog http://red-touriste.blogspot.com/ come solution
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
8 avril 2009 à 15:13
8 avril 2009 à 15:13
salut moe, chiqui, K1 et tous les autres
moe je t'ai répondu ici : http://www.commentcamarche.net/forum/affich 10626127 bagle de chiki a moe?page=19#509
bonne journée
K2
moe je t'ai répondu ici : http://www.commentcamarche.net/forum/affich 10626127 bagle de chiki a moe?page=19#509
bonne journée
K2
Salut à tous,
Au vu des résultats de l'outil, bah...nan, je ne suis pas satisfait. :-)
Y a t'il eu des interférences avec des alertes de KAV spécifiquement pour winupgro.exe ou les zip ?
Si oui je vois d'ou peut venir l'impossibilité ensuite d'avoir accès à ces fichiers que se soit pour le calcul md5 ou la suppression, mais par contre dans le cas contraire ça laisse entrevoir pas mal de choses à retravailler pour le traitement de l'infection sur cet OS.
Et enfin, winupgro.exe a t'il été supprimé par KAV pendant le passage de FYK ou bien pendant le scan que tu as fait après passage du fix ?
Concernant les zip, idem, tout dépend si KAV a émit une alerte dessus pendant le scan ou pas.
Par contre, pour l'affichage des fichiers zip marqués dans le rapport comme ayant été supprimé, c'est entièrement de ma faute car je viens de m'apercevoir que j'avais oublié d'inclure la routine de vérification de présence des archives après la tentative de suppression, donc au temps pour moi, ce sera rectifié dans la prochaine maj du scanner.
Sinon, il y a aussi le fait que la détection s'est faite en double pour ces archives, ce qui me laisse assez dubitatif vu que le soucis ne s'était pas présenté lors de ton précédent test à ce niveau...
Bref ton test était très instructif, même si l'activité de KAV soulève des interrogations et doutes :-), mais ça déjà le mérite de mettre en évidence le fait que la partie détection de l'outil semble se défendre et qu'il y a surement encore quelques réglages à faire pour la suppression.
Merci pour ta réponse et le temps passé à jouer les Kamikazes !
@++
Au vu des résultats de l'outil, bah...nan, je ne suis pas satisfait. :-)
Y a t'il eu des interférences avec des alertes de KAV spécifiquement pour winupgro.exe ou les zip ?
Si oui je vois d'ou peut venir l'impossibilité ensuite d'avoir accès à ces fichiers que se soit pour le calcul md5 ou la suppression, mais par contre dans le cas contraire ça laisse entrevoir pas mal de choses à retravailler pour le traitement de l'infection sur cet OS.
Et enfin, winupgro.exe a t'il été supprimé par KAV pendant le passage de FYK ou bien pendant le scan que tu as fait après passage du fix ?
Concernant les zip, idem, tout dépend si KAV a émit une alerte dessus pendant le scan ou pas.
Par contre, pour l'affichage des fichiers zip marqués dans le rapport comme ayant été supprimé, c'est entièrement de ma faute car je viens de m'apercevoir que j'avais oublié d'inclure la routine de vérification de présence des archives après la tentative de suppression, donc au temps pour moi, ce sera rectifié dans la prochaine maj du scanner.
Sinon, il y a aussi le fait que la détection s'est faite en double pour ces archives, ce qui me laisse assez dubitatif vu que le soucis ne s'était pas présenté lors de ton précédent test à ce niveau...
Bref ton test était très instructif, même si l'activité de KAV soulève des interrogations et doutes :-), mais ça déjà le mérite de mettre en évidence le fait que la partie détection de l'outil semble se défendre et qu'il y a surement encore quelques réglages à faire pour la suppression.
Merci pour ta réponse et le temps passé à jouer les Kamikazes !
@++
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
9 avril 2009 à 04:04
9 avril 2009 à 04:04
salut moe,
Effectivement concernant en particulier winupgro.exe, Kaspersky est intervenu lorsque que fyk y a accédé.
Après redémarrage automatique à cause de bagle, mais je n'avais pas pu arrêter KAV assez vite :
-- 2009-04-07 21:49:11 Lancement de la tâche Kaspersky Anti-Virus Antivirus Fichiers
-- 2009-04-07 21:49:38 Détectés: Trojan-Downloader.Win32.Bagle.aqf Windows Explorer C:\Program Files (x86)\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE
-- 2009-04-07 21:49:41 Réparés: Trojan-Downloader.Win32.Bagle.aqf Windows Explorer HKEY_USERS\S-1-5-21-125373397-2249765560-3990788570-1001\Software\Microsoft\Windows\CurrentVersion\Run\SUPERAntiSpyware
-- 2009-04-07 21:49:55 Supprimés: Trojan-Downloader.Win32.Bagle.aqf Windows Explorer C:\Program Files (x86)\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE
-- 2009-04-07 21:51:20 Détectés: Trojan-Downloader.Win32.Bagle.aqf Host Process for Windows Services C:\USERS\DENISCOOL\APPDATA\LOCAL\TEMP\Rar$EX05.963\KEY_GENERATOR.EXE
-- 2009-04-07 21:51:20 Supprimés: Trojan-Downloader.Win32.Bagle.aqf Host Process for Windows Services C:\USERS\DENISCOOL\APPDATA\LOCAL\TEMP\Rar$EX05.963\KEY_GENERATOR.EXE
-- 2009-04-07 21:51:32 Détectés: Trojan-Downloader.Win32.Bagle.aqf WinRAR archiver C:\USERS\ADMIN\APPDATA\LOCAL\TEMP\Rar$EX00.813\key_generator.exe
-- 2009-04-07 21:51:32 Supprimés: Trojan-Downloader.Win32.Bagle.aqf WinRAR archiver C:\USERS\ADMIN\APPDATA\LOCAL\TEMP\Rar$EX00.813\key_generator.exe
Je n'ai rien aucune vu des suppressions, à part la première (SuperAnti...)
Je penses avoir arrêté Kaspersky dans la foulé, rien n'a figé tout semblait tourner normalement.
-- 2009-04-07 21:58:12 Lancement de la tâche Kaspersky Anti-Virus Antivirus Fichiers
FYK
-- # Start at: 21:58:40 | 2009-04-07
KAV
-- 2009-04-07 21:58:43 Détectés: Trojan-Downloader.Win32.Bagle.aqf FSUM.EXE C:\USERS\ADMIN\APPDATA\ROAMING\drivers\winupgro.exe
-- 2009-04-07 21:58:43 Sera supprimé lors du redémarrage de l'ordinateur: Trojan-Downloader.Win32.Bagle.aqf FSUM.EXE C:\USERS\ADMIN\APPDATA\ROAMING\drivers\winupgro.exe
-- 2009-04-07 21:58:45 Réparés: Trojan-Downloader.Win32.Bagle.aqf FSUM.EXE HKEY_USERS\S-1-5-21-125373397-2249765560-3990788570-1001\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit
-- 2009-04-07 22:03:49 Détectés: Trojan-Downloader.Win32.Bagle.aqf Host Process for Windows Services C:\USERS\ADMIN\DESKTOP\KEY_GENERATOR.EXE
-- 2009-04-07 22:03:49 Supprimés: Trojan-Downloader.Win32.Bagle.aqf Host Process for Windows Services C:\USERS\ADMIN\DESKTOP\KEY_GENERATOR.EXE
Ensuite en faisant un scan complet avec le KAV :-)
-- 2009-04-07 23:31:20 Sera supprimé lors du redémarrage de l'ordinateur: Trojan-Downloader.Win32.Bagle.apr Kaspersky Anti-Virus c:\users\admin\appdata\local\mozilla\firefox\profiles\afx6rbfs.default\cache\1d37bb88d01
-- 2009-04-07 23:35:33 Supprimés: Trojan-Downloader.Win32.Bagle.aqf Kaspersky Anti-Virus c:\users\deniscool\appdata\local\temp\zannotate125-2.zip/key_generator.exe
-- 2009-04-07 23:35:43 Supprimés: Trojan-Downloader.Win32.Bagle.aqf Kaspersky Anti-Virus c:\users\deniscool\appdata\local\temp\zannotate125.zip/key_generator.exe
A+
K2
Effectivement concernant en particulier winupgro.exe, Kaspersky est intervenu lorsque que fyk y a accédé.
Après redémarrage automatique à cause de bagle, mais je n'avais pas pu arrêter KAV assez vite :
-- 2009-04-07 21:49:11 Lancement de la tâche Kaspersky Anti-Virus Antivirus Fichiers
-- 2009-04-07 21:49:38 Détectés: Trojan-Downloader.Win32.Bagle.aqf Windows Explorer C:\Program Files (x86)\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE
-- 2009-04-07 21:49:41 Réparés: Trojan-Downloader.Win32.Bagle.aqf Windows Explorer HKEY_USERS\S-1-5-21-125373397-2249765560-3990788570-1001\Software\Microsoft\Windows\CurrentVersion\Run\SUPERAntiSpyware
-- 2009-04-07 21:49:55 Supprimés: Trojan-Downloader.Win32.Bagle.aqf Windows Explorer C:\Program Files (x86)\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE
-- 2009-04-07 21:51:20 Détectés: Trojan-Downloader.Win32.Bagle.aqf Host Process for Windows Services C:\USERS\DENISCOOL\APPDATA\LOCAL\TEMP\Rar$EX05.963\KEY_GENERATOR.EXE
-- 2009-04-07 21:51:20 Supprimés: Trojan-Downloader.Win32.Bagle.aqf Host Process for Windows Services C:\USERS\DENISCOOL\APPDATA\LOCAL\TEMP\Rar$EX05.963\KEY_GENERATOR.EXE
-- 2009-04-07 21:51:32 Détectés: Trojan-Downloader.Win32.Bagle.aqf WinRAR archiver C:\USERS\ADMIN\APPDATA\LOCAL\TEMP\Rar$EX00.813\key_generator.exe
-- 2009-04-07 21:51:32 Supprimés: Trojan-Downloader.Win32.Bagle.aqf WinRAR archiver C:\USERS\ADMIN\APPDATA\LOCAL\TEMP\Rar$EX00.813\key_generator.exe
Je n'ai rien aucune vu des suppressions, à part la première (SuperAnti...)
Je penses avoir arrêté Kaspersky dans la foulé, rien n'a figé tout semblait tourner normalement.
-- 2009-04-07 21:58:12 Lancement de la tâche Kaspersky Anti-Virus Antivirus Fichiers
FYK
-- # Start at: 21:58:40 | 2009-04-07
KAV
-- 2009-04-07 21:58:43 Détectés: Trojan-Downloader.Win32.Bagle.aqf FSUM.EXE C:\USERS\ADMIN\APPDATA\ROAMING\drivers\winupgro.exe
-- 2009-04-07 21:58:43 Sera supprimé lors du redémarrage de l'ordinateur: Trojan-Downloader.Win32.Bagle.aqf FSUM.EXE C:\USERS\ADMIN\APPDATA\ROAMING\drivers\winupgro.exe
-- 2009-04-07 21:58:45 Réparés: Trojan-Downloader.Win32.Bagle.aqf FSUM.EXE HKEY_USERS\S-1-5-21-125373397-2249765560-3990788570-1001\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit
-- 2009-04-07 22:03:49 Détectés: Trojan-Downloader.Win32.Bagle.aqf Host Process for Windows Services C:\USERS\ADMIN\DESKTOP\KEY_GENERATOR.EXE
-- 2009-04-07 22:03:49 Supprimés: Trojan-Downloader.Win32.Bagle.aqf Host Process for Windows Services C:\USERS\ADMIN\DESKTOP\KEY_GENERATOR.EXE
Ensuite en faisant un scan complet avec le KAV :-)
-- 2009-04-07 23:31:20 Sera supprimé lors du redémarrage de l'ordinateur: Trojan-Downloader.Win32.Bagle.apr Kaspersky Anti-Virus c:\users\admin\appdata\local\mozilla\firefox\profiles\afx6rbfs.default\cache\1d37bb88d01
-- 2009-04-07 23:35:33 Supprimés: Trojan-Downloader.Win32.Bagle.aqf Kaspersky Anti-Virus c:\users\deniscool\appdata\local\temp\zannotate125-2.zip/key_generator.exe
-- 2009-04-07 23:35:43 Supprimés: Trojan-Downloader.Win32.Bagle.aqf Kaspersky Anti-Virus c:\users\deniscool\appdata\local\temp\zannotate125.zip/key_generator.exe
A+
K2
Utilisateur anonyme
9 avril 2009 à 11:32
9 avril 2009 à 11:32
salut a tous :
Avis :
je vais essayer de me trouver une tour pourrie pour continuer les tests :)))))
cette aventure me plait
K1
Avis :
je vais essayer de me trouver une tour pourrie pour continuer les tests :)))))
cette aventure me plait
K1
