Bagle - de chiki a moe
Résolu/Fermé
A voir également:
- Bagle - de chiki a moe
- Extreme down moe - Accueil - Services en ligne
- Zone téléchargement moe - Accueil - Outils
- Comment faire une photo de moins de 2 mo ✓ - Forum Photo numérique
- Zone telechargement moe - Accueil - Services en ligne
- 100 mo internet combien de temps - Forum Mobile
717 réponses
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
30 janv. 2009 à 23:53
30 janv. 2009 à 23:53
(suite)
Par rapport au précédent lien rapporté de thibo62 .
Ici, un cas ComboFix avec cette mention inédite "- Mode FONCTIONNALITES REDUITES -"
http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=5#148
Lyonnais92 émet un avis ici http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=5#150 ;
il annonce: « En mode réduit, le CFScript ne fonctionne pas.
Supprime Combofix.exe sur ton Bureau et fais ceci : télécharge combofix (par sUBs) ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe ; etc. »
Est-cela qui expliquerait l'inefficacité (l'efficacité incomplète) de ComboFix dans le cas rapporté de thibo62 ?
C'est quoi cette mention "- Mode FONCTIONNALITES REDUITES -" ?
Réponse en MP ? (si trop "confidentiel") ;)
Al.
Par rapport au précédent lien rapporté de thibo62 .
Ici, un cas ComboFix avec cette mention inédite "- Mode FONCTIONNALITES REDUITES -"
http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=5#148
Lyonnais92 émet un avis ici http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=5#150 ;
il annonce: « En mode réduit, le CFScript ne fonctionne pas.
Supprime Combofix.exe sur ton Bureau et fais ceci : télécharge combofix (par sUBs) ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe ; etc. »
Est-cela qui expliquerait l'inefficacité (l'efficacité incomplète) de ComboFix dans le cas rapporté de thibo62 ?
C'est quoi cette mention "- Mode FONCTIONNALITES REDUITES -" ?
Réponse en MP ? (si trop "confidentiel") ;)
Al.
Utilisateur anonyme
31 janv. 2009 à 00:06
31 janv. 2009 à 00:06
re,
oui et vu , mais ce n est pas cela ..
Y a d autres cas existants
apres expliquer ce mode , perso je connais pas assez le fix , surement que moe en dira plus .
Ceci dis , l utilisation d un autre fix, dans ce cas ( combo ) qui est aussi la majorité des cas .
Nous connaissons bien evidemment tous les repercutions de l utilisation de ce fix ,
perso je veux pas dire conbo = plantage , loin de là mais , quitte a l eviter dans ce style d infection , tant meiux .
voila .
@+
oui et vu , mais ce n est pas cela ..
Y a d autres cas existants
apres expliquer ce mode , perso je connais pas assez le fix , surement que moe en dira plus .
Ceci dis , l utilisation d un autre fix, dans ce cas ( combo ) qui est aussi la majorité des cas .
Nous connaissons bien evidemment tous les repercutions de l utilisation de ce fix ,
perso je veux pas dire conbo = plantage , loin de là mais , quitte a l eviter dans ce style d infection , tant meiux .
voila .
@+
Salut Al, Chiquitine
C'est quoi cette mention "- Mode FONCTIONNALITES REDUITES -" ?
Sous réserve que l'auteur ait inclus d'autres paramètres pour la déclencher, le plus souvent c'est du soit à un problème de date ou à l'utilisation d'une version obsolète de l'outil.
Dans les deux cas, l'outil renvois ce message à l'utilisateur, qui peut accepter ou refuser une utilisation en mode fonctionnalitées réduites.
http://cjoint.com/data/ccjMDAeKb8_Combo_Modred.jpeg
D'ou ensuite la mention dans le rapport et les restrictions d'utilisation.
@+ tard !
C'est quoi cette mention "- Mode FONCTIONNALITES REDUITES -" ?
Sous réserve que l'auteur ait inclus d'autres paramètres pour la déclencher, le plus souvent c'est du soit à un problème de date ou à l'utilisation d'une version obsolète de l'outil.
Dans les deux cas, l'outil renvois ce message à l'utilisateur, qui peut accepter ou refuser une utilisation en mode fonctionnalitées réduites.
http://cjoint.com/data/ccjMDAeKb8_Combo_Modred.jpeg
D'ou ensuite la mention dans le rapport et les restrictions d'utilisation.
@+ tard !
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
31 janv. 2009 à 00:13
31 janv. 2009 à 00:13
Bonsoir chiki -;)
Je viens de voir le post ,merci pour cette nouvelle option (4) !
et surtout merci de l'avoir remis en service en sachant le temps que cela doit te prendre ......
@+ Bon courage pour la suite .
Je viens de voir le post ,merci pour cette nouvelle option (4) !
et surtout merci de l'avoir remis en service en sachant le temps que cela doit te prendre ......
@+ Bon courage pour la suite .
Utilisateur anonyme
31 janv. 2009 à 00:27
31 janv. 2009 à 00:27
Bonsoir JFK,
Il est certains que ça prend du temps , c est aussi un investissement .
Comme t as pu le constater FyK est parti de rien , il a parcouru son bonhomme de chemin ,
via le net bien entendu , il a su traverser les frontieres etc
ok j avoue , il avait un faux passeport -;)
Il est vrai que le temps manque , dans l élaboration du fix , des maj , des recherches etc
il y a aussi , une confiance a maintenir ,, entre l user , l aidant et le createur ..
ceci n est pas simple , puisque tu dois etre a jours etc
Le forum CCM fait du bien dans ce sens puisque tout le monde peut suivre l evolution du fix , les discussions , les projets , et peut meme prendre part .
Pour cela je remercie comment ça marche pour ça largesse d esprit .
@+
Il est certains que ça prend du temps , c est aussi un investissement .
Comme t as pu le constater FyK est parti de rien , il a parcouru son bonhomme de chemin ,
via le net bien entendu , il a su traverser les frontieres etc
ok j avoue , il avait un faux passeport -;)
Il est vrai que le temps manque , dans l élaboration du fix , des maj , des recherches etc
il y a aussi , une confiance a maintenir ,, entre l user , l aidant et le createur ..
ceci n est pas simple , puisque tu dois etre a jours etc
Le forum CCM fait du bien dans ce sens puisque tout le monde peut suivre l evolution du fix , les discussions , les projets , et peut meme prendre part .
Pour cela je remercie comment ça marche pour ça largesse d esprit .
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
31 janv. 2009 à 13:04
31 janv. 2009 à 13:04
Bonjour à chacun,
Effectivement Chiquitine, la philosophie ouverte de Jeff nous autorise au partage, au sens large du terme.
Nous l'avons toujours remercié pour cet état d'esprit.
Tu peux soigner ton poussin de FindyKill avec une grande fièreté.
C'est vrai que nous ne pouvons y participer qu'à notre mesure; mais ce sera toujours avec enthousiasme et bon cœur.
Un grand respect à mOe pour sa contribution spécialisée.
mOe, à ce propos: « le plus souvent "- Mode FONCTIONNALITES REDUITES -"
c'est dû soit à un problème de date, soit à l'utilisation d'une version obsolète de l'outil. »; effectivement, lors de l'application, un message CF indique que l'horloge est mise temporairement hors service.
Merci pour l'explication.
Bon week-end à tous.
Albert
Effectivement Chiquitine, la philosophie ouverte de Jeff nous autorise au partage, au sens large du terme.
Nous l'avons toujours remercié pour cet état d'esprit.
Tu peux soigner ton poussin de FindyKill avec une grande fièreté.
C'est vrai que nous ne pouvons y participer qu'à notre mesure; mais ce sera toujours avec enthousiasme et bon cœur.
Un grand respect à mOe pour sa contribution spécialisée.
mOe, à ce propos: « le plus souvent "- Mode FONCTIONNALITES REDUITES -"
c'est dû soit à un problème de date, soit à l'utilisation d'une version obsolète de l'outil. »; effectivement, lors de l'application, un message CF indique que l'horloge est mise temporairement hors service.
Merci pour l'explication.
Bon week-end à tous.
Albert
Utilisateur anonyme
3 févr. 2009 à 19:52
3 févr. 2009 à 19:52
Bonsoir la gente ,
Olivier, j ai commencé a retaffer sur fyk hier , j ai revu un peux le code , l alléger etc
J y ai ajouté ton vbs , légèrement corrigé , c est a dire par rapport au rapport ...
Tres interessant ce vbs , meme si j y ai pas vraiment taffé etc
comme tu verras j en suis a CleanB
tu verras , y a des corrections a faire (rapport , space etc)
une fois fait , je vais me pencher plus sur zipB ..fsum etc
la beta a été testé sur vista ... C est aussi sa premiere ebauche.
breff , création de down + 1 exe ( le meme si je dis pas de bétise) , c est ce que j ai vu des dernieres variantes.. ensuite j ai pas été plus loin
voila a peux pres pour les nouvelles
Bonne semaine
Chiki
@+
Olivier, j ai commencé a retaffer sur fyk hier , j ai revu un peux le code , l alléger etc
J y ai ajouté ton vbs , légèrement corrigé , c est a dire par rapport au rapport ...
Tres interessant ce vbs , meme si j y ai pas vraiment taffé etc
comme tu verras j en suis a CleanB
tu verras , y a des corrections a faire (rapport , space etc)
une fois fait , je vais me pencher plus sur zipB ..fsum etc
la beta a été testé sur vista ... C est aussi sa premiere ebauche.
breff , création de down + 1 exe ( le meme si je dis pas de bétise) , c est ce que j ai vu des dernieres variantes.. ensuite j ai pas été plus loin
voila a peux pres pour les nouvelles
Bonne semaine
Chiki
@+
Salut à tous,
Cédric, c'est vraiment de mieux en mieux à chaque maj... :)
Merci pour la version beta, je ne la testerais que ce week-end sous XP car je ne peux pas avant, désolé.
J'ai pu faire quelques tests sous XP avec fyk et killb le we dernier et effectivement avec fyk j'ai eu des BSOD assez régulièrement sous XP.
Vu qu'on utilise sensiblement la même méthode, j'ai essayé de voir ou pouvait se situer le soucis dans les différences entre les deux tools puisque avec killb je n'arrivais pas à reproduire le même problème.
A première vue, il ne s'agissait pas du kill des procos, ni de la modif du *.sys qui sont communes.
Par contre j'ai vu qu'avant le premier reboot, tu fais une tentative d'arrêt/delete des services srosa & co et comme c'est la seule différence visible entre les deux outils j'ai modifié fyk en supprimant cette partie.
Résultat, plus de BSOD les tests suivants, donc j'en déduis que le problème se situe plutôt à ce niveau.
Je pense en plus que tu peux te passer de cette partie du code car un sc stop ou delete arrive vraiment trop tôt à cette étape du nettoyage pour être efficace et donc réellement utile...
Donc si tu décide de modifier en conséquence, ce serait interessant de voir si tu as autant de retour ou pas pour les BSOD afin de vérifier si ça confirme ou pas mes tests.
Concernant le VBS, il est basé essentiellement sur des requètes WMI, qui sont bien pratiques et très riches en infos utiles.
D'ailleurs si tu souhaites te familiariser avec Windows Management Instrumentation (WMI) , ces deux tools devraient t'y aider :
http://download.microsoft.com/...
http://www.microsoft.com/downloads/details.aspx?DisplayLang=en&FamilyID=09dfc342-648b-4119-b7eb-783b0f7d1178
Ce sont des générateurs de scripts, capable de produire des VBS à la volée en fonction des classes choisies, et de pouvoir visualiser en plus du code, le résultat du script en retour console.
Par contre je n'ai pas pu tester ce VBS (prévu pour ce we) sous les versions d'XP en dessous d'un pack 2, et notamment la partie concernant Windows FW, mais bon, déjà content de voir qu'il passe correctement sous Vista !
J'ai vu aussi qu'il fallait affiner la partie DD/CD donc ce sera l'occasion de le revoir entièrement en fonction de tes changements .
pour en revenr au cracks\merdouille , j avais ouvert un topic au bureau au titre , findykill kill de crack ou pas ,je suppose que tu l as vu , perso j ai aimé ce topic par rapport aux remarques ..
N'étant pas inscrit, je n'ai pas pu lire ce topic, désolé.
Perso je suis pour la suppression des zip sources de l'infection, mais pas pour une automatisation de la suppression des crack en général.
Enfin si c'est bien ce que suggère le titre "findykill kill de crack ou pas"...
Le risque de FP étant trop élevé d'une part, puis aussi parce qu'avec une option de suppression auto il n'y aurait pas forcément de possibilité ou de moyen de suprimer/discerner ce qui est réellement infecté de ce qui ne l'est pas...
Et là, sans faire cette distinction on rentrerait à mon avis, dans un cadre qui dépasse/outrepasse celui de la désinfection...
Néanmoins, mentionner les cracks présents sur la machine est une bonne chose et qui peut très bien déboucher sur un débat à caractère préventif entre l'aidant et l'internaute, voire sur une suppression d'un commun accord...
perso je pense proposer une methode pour les eviter , c est a dire via un script celui ci , bien sur pourra prendre en compte les "04" vérolé
En fait je vois pas très bien ce que tu veux dire, enfin surtout le rapport entre FP et 04, tu peux préciser ?
Bonne fin de journée ! @++
Cédric, c'est vraiment de mieux en mieux à chaque maj... :)
Merci pour la version beta, je ne la testerais que ce week-end sous XP car je ne peux pas avant, désolé.
J'ai pu faire quelques tests sous XP avec fyk et killb le we dernier et effectivement avec fyk j'ai eu des BSOD assez régulièrement sous XP.
Vu qu'on utilise sensiblement la même méthode, j'ai essayé de voir ou pouvait se situer le soucis dans les différences entre les deux tools puisque avec killb je n'arrivais pas à reproduire le même problème.
A première vue, il ne s'agissait pas du kill des procos, ni de la modif du *.sys qui sont communes.
Par contre j'ai vu qu'avant le premier reboot, tu fais une tentative d'arrêt/delete des services srosa & co et comme c'est la seule différence visible entre les deux outils j'ai modifié fyk en supprimant cette partie.
Résultat, plus de BSOD les tests suivants, donc j'en déduis que le problème se situe plutôt à ce niveau.
Je pense en plus que tu peux te passer de cette partie du code car un sc stop ou delete arrive vraiment trop tôt à cette étape du nettoyage pour être efficace et donc réellement utile...
Donc si tu décide de modifier en conséquence, ce serait interessant de voir si tu as autant de retour ou pas pour les BSOD afin de vérifier si ça confirme ou pas mes tests.
Concernant le VBS, il est basé essentiellement sur des requètes WMI, qui sont bien pratiques et très riches en infos utiles.
D'ailleurs si tu souhaites te familiariser avec Windows Management Instrumentation (WMI) , ces deux tools devraient t'y aider :
http://download.microsoft.com/...
http://www.microsoft.com/downloads/details.aspx?DisplayLang=en&FamilyID=09dfc342-648b-4119-b7eb-783b0f7d1178
Ce sont des générateurs de scripts, capable de produire des VBS à la volée en fonction des classes choisies, et de pouvoir visualiser en plus du code, le résultat du script en retour console.
Par contre je n'ai pas pu tester ce VBS (prévu pour ce we) sous les versions d'XP en dessous d'un pack 2, et notamment la partie concernant Windows FW, mais bon, déjà content de voir qu'il passe correctement sous Vista !
J'ai vu aussi qu'il fallait affiner la partie DD/CD donc ce sera l'occasion de le revoir entièrement en fonction de tes changements .
pour en revenr au cracks\merdouille , j avais ouvert un topic au bureau au titre , findykill kill de crack ou pas ,je suppose que tu l as vu , perso j ai aimé ce topic par rapport aux remarques ..
N'étant pas inscrit, je n'ai pas pu lire ce topic, désolé.
Perso je suis pour la suppression des zip sources de l'infection, mais pas pour une automatisation de la suppression des crack en général.
Enfin si c'est bien ce que suggère le titre "findykill kill de crack ou pas"...
Le risque de FP étant trop élevé d'une part, puis aussi parce qu'avec une option de suppression auto il n'y aurait pas forcément de possibilité ou de moyen de suprimer/discerner ce qui est réellement infecté de ce qui ne l'est pas...
Et là, sans faire cette distinction on rentrerait à mon avis, dans un cadre qui dépasse/outrepasse celui de la désinfection...
Néanmoins, mentionner les cracks présents sur la machine est une bonne chose et qui peut très bien déboucher sur un débat à caractère préventif entre l'aidant et l'internaute, voire sur une suppression d'un commun accord...
perso je pense proposer une methode pour les eviter , c est a dire via un script celui ci , bien sur pourra prendre en compte les "04" vérolé
En fait je vois pas très bien ce que tu veux dire, enfin surtout le rapport entre FP et 04, tu peux préciser ?
Bonne fin de journée ! @++
kevin05
Messages postés
3636
Date d'inscription
samedi 29 novembre 2008
Statut
Contributeur sécurité
Dernière intervention
13 mai 2010
147
3 févr. 2009 à 20:00
3 févr. 2009 à 20:00
Salut a tous c'est vrai qu'une protection anti bagle serais pas mal... ;-)
Frenchement chiquitine même si j'te connais pas tu fais du super boulot...
A+
Frenchement chiquitine même si j'te connais pas tu fais du super boulot...
A+
Utilisateur anonyme
3 févr. 2009 à 21:50
3 févr. 2009 à 21:50
salut :
UAC is Enable :(
on est plus obligé de la desactyiver avec FDK ?
UAC is Enable :(
on est plus obligé de la desactyiver avec FDK ?
Utilisateur anonyme
3 févr. 2009 à 22:04
3 févr. 2009 à 22:04
Salut ,
on est plus obligé de la desactyiver avec FDK ?
>> l infection le fait pour pour toi .......
donc si l infection est en place il est inutile de donner la procédure "vista"
@+
on est plus obligé de la desactyiver avec FDK ?
>> l infection le fait pour pour toi .......
donc si l infection est en place il est inutile de donner la procédure "vista"
@+
Utilisateur anonyme
3 févr. 2009 à 22:08
3 févr. 2009 à 22:08
ok donc meme si elle est enable elle ne sert a rien sous Bagle(remarque logique) merci
@+
@+
Utilisateur anonyme
3 févr. 2009 à 22:14
3 févr. 2009 à 22:14
re
ok donc meme si elle est enable elle ne sert a rien sous Bagle(remarque logique) merci
explique ...
@+
ok donc meme si elle est enable elle ne sert a rien sous Bagle(remarque logique) merci
explique ...
@+
Utilisateur anonyme
3 févr. 2009 à 22:20
3 févr. 2009 à 22:20
oui a ce que j'ai Compris Bagle a tendance a faire sauter les protections donc meme si elle est Enable , la commande est contrée par Bagla(comme antivirus et internet)
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
3 févr. 2009 à 22:24
3 févr. 2009 à 22:24
Salut Chiquitine, mOe & gen-hackman,
Oui, c'est bien aussi pourquoi il faut réinstaller les protections (antivirale particulièrement, je ne sais pas si le firewall est atteint), et désactiver puis réactiver la restauration système.
Bonne nuit
Al.
Oui, c'est bien aussi pourquoi il faut réinstaller les protections (antivirale particulièrement, je ne sais pas si le firewall est atteint), et désactiver puis réactiver la restauration système.
Bonne nuit
Al.
Utilisateur anonyme
3 févr. 2009 à 22:27
3 févr. 2009 à 22:27
HOLA Al ,
hay veces , hay que roderse ...
besos ...de mi y de mi nena
@++
hay veces , hay que roderse ...
besos ...de mi y de mi nena
@++
Utilisateur anonyme
4 févr. 2009 à 11:02
4 févr. 2009 à 11:02
sinon bonjour ,
je me demandais si je pouvais me premettre de piquer des lignes dans vos batchs et reg pour me faire un outil perso ?
(pour l'instant j'ai reussi a melanger un peu d'UsbFix(un peu !!!! :)),un peu d'AD-R , et un peu de findykill
quoi que j aimerais bien trouver la commande pour afficher l'heure en debut d'execution ( en batch)
et sur le net y'a pas très grande explixations en profondeur
merci
je me demandais si je pouvais me premettre de piquer des lignes dans vos batchs et reg pour me faire un outil perso ?
(pour l'instant j'ai reussi a melanger un peu d'UsbFix(un peu !!!! :)),un peu d'AD-R , et un peu de findykill
quoi que j aimerais bien trouver la commande pour afficher l'heure en debut d'execution ( en batch)
et sur le net y'a pas très grande explixations en profondeur
merci
Utilisateur anonyme
4 févr. 2009 à 12:12
4 févr. 2009 à 12:12
Hello
Essaye :
ECHO %TIME% >>Ton rapport
++
quoi que j aimerais bien trouver la commande pour afficher l'heure en debut d'execution ( en batch)
Essaye :
ECHO %TIME% >>Ton rapport
++
Utilisateur anonyme
4 févr. 2009 à 12:18
4 févr. 2009 à 12:18
ok merci je vais essayer(c est vrai que j avoir oublié de faire le rapport en txt sur c:\^^
edit : Marche pas :'
edit : Marche pas :'
Utilisateur anonyme
4 févr. 2009 à 16:27
4 févr. 2009 à 16:27
salut bonjour a tous
il n'y aurait pas forcément de possibilité ou de moyen de suprimer/discerner ce qui est réellement infecté
le MD5 n'est pas discernable avant execussion ?
il n'y aurait pas forcément de possibilité ou de moyen de suprimer/discerner ce qui est réellement infecté
le MD5 n'est pas discernable avant execussion ?
