Bagle - de chiki a moe
Résolu
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
Salut moe ,
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
A voir également:
- Bagle - de chiki a moe
- Extreme-down moe - Accueil - Services en ligne
- Combien de mo dans 1 go ✓ - Forum Mail
- Combien de ko pour 1 mo ✓ - Forum Matériel & Système
- Combien il y a t-il de ko dans 1 GO (Internet) - Forum Mobile
- 1go combien de mo ✓ - Forum Matériel & Système
717 réponses
(suite)
Par rapport au précédent lien rapporté de thibo62 .
Ici, un cas ComboFix avec cette mention inédite "- Mode FONCTIONNALITES REDUITES -"
http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=5#148
Lyonnais92 émet un avis ici http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=5#150 ;
il annonce: « En mode réduit, le CFScript ne fonctionne pas.
Supprime Combofix.exe sur ton Bureau et fais ceci : télécharge combofix (par sUBs) ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe ; etc. »
Est-cela qui expliquerait l'inefficacité (l'efficacité incomplète) de ComboFix dans le cas rapporté de thibo62 ?
C'est quoi cette mention "- Mode FONCTIONNALITES REDUITES -" ?
Réponse en MP ? (si trop "confidentiel") ;)
Al.
Par rapport au précédent lien rapporté de thibo62 .
Ici, un cas ComboFix avec cette mention inédite "- Mode FONCTIONNALITES REDUITES -"
http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=5#148
Lyonnais92 émet un avis ici http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=5#150 ;
il annonce: « En mode réduit, le CFScript ne fonctionne pas.
Supprime Combofix.exe sur ton Bureau et fais ceci : télécharge combofix (par sUBs) ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe ; etc. »
Est-cela qui expliquerait l'inefficacité (l'efficacité incomplète) de ComboFix dans le cas rapporté de thibo62 ?
C'est quoi cette mention "- Mode FONCTIONNALITES REDUITES -" ?
Réponse en MP ? (si trop "confidentiel") ;)
Al.
re,
oui et vu , mais ce n est pas cela ..
Y a d autres cas existants
apres expliquer ce mode , perso je connais pas assez le fix , surement que moe en dira plus .
Ceci dis , l utilisation d un autre fix, dans ce cas ( combo ) qui est aussi la majorité des cas .
Nous connaissons bien evidemment tous les repercutions de l utilisation de ce fix ,
perso je veux pas dire conbo = plantage , loin de là mais , quitte a l eviter dans ce style d infection , tant meiux .
voila .
@+
oui et vu , mais ce n est pas cela ..
Y a d autres cas existants
apres expliquer ce mode , perso je connais pas assez le fix , surement que moe en dira plus .
Ceci dis , l utilisation d un autre fix, dans ce cas ( combo ) qui est aussi la majorité des cas .
Nous connaissons bien evidemment tous les repercutions de l utilisation de ce fix ,
perso je veux pas dire conbo = plantage , loin de là mais , quitte a l eviter dans ce style d infection , tant meiux .
voila .
@+
Salut Al, Chiquitine
C'est quoi cette mention "- Mode FONCTIONNALITES REDUITES -" ?
Sous réserve que l'auteur ait inclus d'autres paramètres pour la déclencher, le plus souvent c'est du soit à un problème de date ou à l'utilisation d'une version obsolète de l'outil.
Dans les deux cas, l'outil renvois ce message à l'utilisateur, qui peut accepter ou refuser une utilisation en mode fonctionnalitées réduites.
http://cjoint.com/data/ccjMDAeKb8_Combo_Modred.jpeg
D'ou ensuite la mention dans le rapport et les restrictions d'utilisation.
@+ tard !
C'est quoi cette mention "- Mode FONCTIONNALITES REDUITES -" ?
Sous réserve que l'auteur ait inclus d'autres paramètres pour la déclencher, le plus souvent c'est du soit à un problème de date ou à l'utilisation d'une version obsolète de l'outil.
Dans les deux cas, l'outil renvois ce message à l'utilisateur, qui peut accepter ou refuser une utilisation en mode fonctionnalitées réduites.
http://cjoint.com/data/ccjMDAeKb8_Combo_Modred.jpeg
D'ou ensuite la mention dans le rapport et les restrictions d'utilisation.
@+ tard !
Bonsoir chiki -;)
Je viens de voir le post ,merci pour cette nouvelle option (4) !
et surtout merci de l'avoir remis en service en sachant le temps que cela doit te prendre ......
@+ Bon courage pour la suite .
Je viens de voir le post ,merci pour cette nouvelle option (4) !
et surtout merci de l'avoir remis en service en sachant le temps que cela doit te prendre ......
@+ Bon courage pour la suite .
Bonsoir JFK,
Il est certains que ça prend du temps , c est aussi un investissement .
Comme t as pu le constater FyK est parti de rien , il a parcouru son bonhomme de chemin ,
via le net bien entendu , il a su traverser les frontieres etc
ok j avoue , il avait un faux passeport -;)
Il est vrai que le temps manque , dans l élaboration du fix , des maj , des recherches etc
il y a aussi , une confiance a maintenir ,, entre l user , l aidant et le createur ..
ceci n est pas simple , puisque tu dois etre a jours etc
Le forum CCM fait du bien dans ce sens puisque tout le monde peut suivre l evolution du fix , les discussions , les projets , et peut meme prendre part .
Pour cela je remercie comment ça marche pour ça largesse d esprit .
@+
Il est certains que ça prend du temps , c est aussi un investissement .
Comme t as pu le constater FyK est parti de rien , il a parcouru son bonhomme de chemin ,
via le net bien entendu , il a su traverser les frontieres etc
ok j avoue , il avait un faux passeport -;)
Il est vrai que le temps manque , dans l élaboration du fix , des maj , des recherches etc
il y a aussi , une confiance a maintenir ,, entre l user , l aidant et le createur ..
ceci n est pas simple , puisque tu dois etre a jours etc
Le forum CCM fait du bien dans ce sens puisque tout le monde peut suivre l evolution du fix , les discussions , les projets , et peut meme prendre part .
Pour cela je remercie comment ça marche pour ça largesse d esprit .
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour à chacun,
Effectivement Chiquitine, la philosophie ouverte de Jeff nous autorise au partage, au sens large du terme.
Nous l'avons toujours remercié pour cet état d'esprit.
Tu peux soigner ton poussin de FindyKill avec une grande fièreté.
C'est vrai que nous ne pouvons y participer qu'à notre mesure; mais ce sera toujours avec enthousiasme et bon cœur.
Un grand respect à mOe pour sa contribution spécialisée.
mOe, à ce propos: « le plus souvent "- Mode FONCTIONNALITES REDUITES -"
c'est dû soit à un problème de date, soit à l'utilisation d'une version obsolète de l'outil. »; effectivement, lors de l'application, un message CF indique que l'horloge est mise temporairement hors service.
Merci pour l'explication.
Bon week-end à tous.
Albert
Effectivement Chiquitine, la philosophie ouverte de Jeff nous autorise au partage, au sens large du terme.
Nous l'avons toujours remercié pour cet état d'esprit.
Tu peux soigner ton poussin de FindyKill avec une grande fièreté.
C'est vrai que nous ne pouvons y participer qu'à notre mesure; mais ce sera toujours avec enthousiasme et bon cœur.
Un grand respect à mOe pour sa contribution spécialisée.
mOe, à ce propos: « le plus souvent "- Mode FONCTIONNALITES REDUITES -"
c'est dû soit à un problème de date, soit à l'utilisation d'une version obsolète de l'outil. »; effectivement, lors de l'application, un message CF indique que l'horloge est mise temporairement hors service.
Merci pour l'explication.
Bon week-end à tous.
Albert
Bonsoir la gente ,
Olivier, j ai commencé a retaffer sur fyk hier , j ai revu un peux le code , l alléger etc
J y ai ajouté ton vbs , légèrement corrigé , c est a dire par rapport au rapport ...
Tres interessant ce vbs , meme si j y ai pas vraiment taffé etc
comme tu verras j en suis a CleanB
tu verras , y a des corrections a faire (rapport , space etc)
une fois fait , je vais me pencher plus sur zipB ..fsum etc
la beta a été testé sur vista ... C est aussi sa premiere ebauche.
breff , création de down + 1 exe ( le meme si je dis pas de bétise) , c est ce que j ai vu des dernieres variantes.. ensuite j ai pas été plus loin
voila a peux pres pour les nouvelles
Bonne semaine
Chiki
@+
Olivier, j ai commencé a retaffer sur fyk hier , j ai revu un peux le code , l alléger etc
J y ai ajouté ton vbs , légèrement corrigé , c est a dire par rapport au rapport ...
Tres interessant ce vbs , meme si j y ai pas vraiment taffé etc
comme tu verras j en suis a CleanB
tu verras , y a des corrections a faire (rapport , space etc)
une fois fait , je vais me pencher plus sur zipB ..fsum etc
la beta a été testé sur vista ... C est aussi sa premiere ebauche.
breff , création de down + 1 exe ( le meme si je dis pas de bétise) , c est ce que j ai vu des dernieres variantes.. ensuite j ai pas été plus loin
voila a peux pres pour les nouvelles
Bonne semaine
Chiki
@+
Salut à tous,
Cédric, c'est vraiment de mieux en mieux à chaque maj... :)
Merci pour la version beta, je ne la testerais que ce week-end sous XP car je ne peux pas avant, désolé.
J'ai pu faire quelques tests sous XP avec fyk et killb le we dernier et effectivement avec fyk j'ai eu des BSOD assez régulièrement sous XP.
Vu qu'on utilise sensiblement la même méthode, j'ai essayé de voir ou pouvait se situer le soucis dans les différences entre les deux tools puisque avec killb je n'arrivais pas à reproduire le même problème.
A première vue, il ne s'agissait pas du kill des procos, ni de la modif du *.sys qui sont communes.
Par contre j'ai vu qu'avant le premier reboot, tu fais une tentative d'arrêt/delete des services srosa & co et comme c'est la seule différence visible entre les deux outils j'ai modifié fyk en supprimant cette partie.
Résultat, plus de BSOD les tests suivants, donc j'en déduis que le problème se situe plutôt à ce niveau.
Je pense en plus que tu peux te passer de cette partie du code car un sc stop ou delete arrive vraiment trop tôt à cette étape du nettoyage pour être efficace et donc réellement utile...
Donc si tu décide de modifier en conséquence, ce serait interessant de voir si tu as autant de retour ou pas pour les BSOD afin de vérifier si ça confirme ou pas mes tests.
Concernant le VBS, il est basé essentiellement sur des requètes WMI, qui sont bien pratiques et très riches en infos utiles.
D'ailleurs si tu souhaites te familiariser avec Windows Management Instrumentation (WMI) , ces deux tools devraient t'y aider :
http://download.microsoft.com/...
http://www.microsoft.com/downloads/details.aspx?DisplayLang=en&FamilyID=09dfc342-648b-4119-b7eb-783b0f7d1178
Ce sont des générateurs de scripts, capable de produire des VBS à la volée en fonction des classes choisies, et de pouvoir visualiser en plus du code, le résultat du script en retour console.
Par contre je n'ai pas pu tester ce VBS (prévu pour ce we) sous les versions d'XP en dessous d'un pack 2, et notamment la partie concernant Windows FW, mais bon, déjà content de voir qu'il passe correctement sous Vista !
J'ai vu aussi qu'il fallait affiner la partie DD/CD donc ce sera l'occasion de le revoir entièrement en fonction de tes changements .
pour en revenr au cracks\merdouille , j avais ouvert un topic au bureau au titre , findykill kill de crack ou pas ,je suppose que tu l as vu , perso j ai aimé ce topic par rapport aux remarques ..
N'étant pas inscrit, je n'ai pas pu lire ce topic, désolé.
Perso je suis pour la suppression des zip sources de l'infection, mais pas pour une automatisation de la suppression des crack en général.
Enfin si c'est bien ce que suggère le titre "findykill kill de crack ou pas"...
Le risque de FP étant trop élevé d'une part, puis aussi parce qu'avec une option de suppression auto il n'y aurait pas forcément de possibilité ou de moyen de suprimer/discerner ce qui est réellement infecté de ce qui ne l'est pas...
Et là, sans faire cette distinction on rentrerait à mon avis, dans un cadre qui dépasse/outrepasse celui de la désinfection...
Néanmoins, mentionner les cracks présents sur la machine est une bonne chose et qui peut très bien déboucher sur un débat à caractère préventif entre l'aidant et l'internaute, voire sur une suppression d'un commun accord...
perso je pense proposer une methode pour les eviter , c est a dire via un script celui ci , bien sur pourra prendre en compte les "04" vérolé
En fait je vois pas très bien ce que tu veux dire, enfin surtout le rapport entre FP et 04, tu peux préciser ?
Bonne fin de journée ! @++
Cédric, c'est vraiment de mieux en mieux à chaque maj... :)
Merci pour la version beta, je ne la testerais que ce week-end sous XP car je ne peux pas avant, désolé.
J'ai pu faire quelques tests sous XP avec fyk et killb le we dernier et effectivement avec fyk j'ai eu des BSOD assez régulièrement sous XP.
Vu qu'on utilise sensiblement la même méthode, j'ai essayé de voir ou pouvait se situer le soucis dans les différences entre les deux tools puisque avec killb je n'arrivais pas à reproduire le même problème.
A première vue, il ne s'agissait pas du kill des procos, ni de la modif du *.sys qui sont communes.
Par contre j'ai vu qu'avant le premier reboot, tu fais une tentative d'arrêt/delete des services srosa & co et comme c'est la seule différence visible entre les deux outils j'ai modifié fyk en supprimant cette partie.
Résultat, plus de BSOD les tests suivants, donc j'en déduis que le problème se situe plutôt à ce niveau.
Je pense en plus que tu peux te passer de cette partie du code car un sc stop ou delete arrive vraiment trop tôt à cette étape du nettoyage pour être efficace et donc réellement utile...
Donc si tu décide de modifier en conséquence, ce serait interessant de voir si tu as autant de retour ou pas pour les BSOD afin de vérifier si ça confirme ou pas mes tests.
Concernant le VBS, il est basé essentiellement sur des requètes WMI, qui sont bien pratiques et très riches en infos utiles.
D'ailleurs si tu souhaites te familiariser avec Windows Management Instrumentation (WMI) , ces deux tools devraient t'y aider :
http://download.microsoft.com/...
http://www.microsoft.com/downloads/details.aspx?DisplayLang=en&FamilyID=09dfc342-648b-4119-b7eb-783b0f7d1178
Ce sont des générateurs de scripts, capable de produire des VBS à la volée en fonction des classes choisies, et de pouvoir visualiser en plus du code, le résultat du script en retour console.
Par contre je n'ai pas pu tester ce VBS (prévu pour ce we) sous les versions d'XP en dessous d'un pack 2, et notamment la partie concernant Windows FW, mais bon, déjà content de voir qu'il passe correctement sous Vista !
J'ai vu aussi qu'il fallait affiner la partie DD/CD donc ce sera l'occasion de le revoir entièrement en fonction de tes changements .
pour en revenr au cracks\merdouille , j avais ouvert un topic au bureau au titre , findykill kill de crack ou pas ,je suppose que tu l as vu , perso j ai aimé ce topic par rapport aux remarques ..
N'étant pas inscrit, je n'ai pas pu lire ce topic, désolé.
Perso je suis pour la suppression des zip sources de l'infection, mais pas pour une automatisation de la suppression des crack en général.
Enfin si c'est bien ce que suggère le titre "findykill kill de crack ou pas"...
Le risque de FP étant trop élevé d'une part, puis aussi parce qu'avec une option de suppression auto il n'y aurait pas forcément de possibilité ou de moyen de suprimer/discerner ce qui est réellement infecté de ce qui ne l'est pas...
Et là, sans faire cette distinction on rentrerait à mon avis, dans un cadre qui dépasse/outrepasse celui de la désinfection...
Néanmoins, mentionner les cracks présents sur la machine est une bonne chose et qui peut très bien déboucher sur un débat à caractère préventif entre l'aidant et l'internaute, voire sur une suppression d'un commun accord...
perso je pense proposer une methode pour les eviter , c est a dire via un script celui ci , bien sur pourra prendre en compte les "04" vérolé
En fait je vois pas très bien ce que tu veux dire, enfin surtout le rapport entre FP et 04, tu peux préciser ?
Bonne fin de journée ! @++
Salut a tous c'est vrai qu'une protection anti bagle serais pas mal... ;-)
Frenchement chiquitine même si j'te connais pas tu fais du super boulot...
A+
Frenchement chiquitine même si j'te connais pas tu fais du super boulot...
A+
Salut ,
on est plus obligé de la desactyiver avec FDK ?
>> l infection le fait pour pour toi .......
donc si l infection est en place il est inutile de donner la procédure "vista"
@+
on est plus obligé de la desactyiver avec FDK ?
>> l infection le fait pour pour toi .......
donc si l infection est en place il est inutile de donner la procédure "vista"
@+
re
ok donc meme si elle est enable elle ne sert a rien sous Bagle(remarque logique) merci
explique ...
@+
ok donc meme si elle est enable elle ne sert a rien sous Bagle(remarque logique) merci
explique ...
@+
oui a ce que j'ai Compris Bagle a tendance a faire sauter les protections donc meme si elle est Enable , la commande est contrée par Bagla(comme antivirus et internet)
Salut Chiquitine, mOe & gen-hackman,
Oui, c'est bien aussi pourquoi il faut réinstaller les protections (antivirale particulièrement, je ne sais pas si le firewall est atteint), et désactiver puis réactiver la restauration système.
Bonne nuit
Al.
Oui, c'est bien aussi pourquoi il faut réinstaller les protections (antivirale particulièrement, je ne sais pas si le firewall est atteint), et désactiver puis réactiver la restauration système.
Bonne nuit
Al.
sinon bonjour ,
je me demandais si je pouvais me premettre de piquer des lignes dans vos batchs et reg pour me faire un outil perso ?
(pour l'instant j'ai reussi a melanger un peu d'UsbFix(un peu !!!! :)),un peu d'AD-R , et un peu de findykill
quoi que j aimerais bien trouver la commande pour afficher l'heure en debut d'execution ( en batch)
et sur le net y'a pas très grande explixations en profondeur
merci
je me demandais si je pouvais me premettre de piquer des lignes dans vos batchs et reg pour me faire un outil perso ?
(pour l'instant j'ai reussi a melanger un peu d'UsbFix(un peu !!!! :)),un peu d'AD-R , et un peu de findykill
quoi que j aimerais bien trouver la commande pour afficher l'heure en debut d'execution ( en batch)
et sur le net y'a pas très grande explixations en profondeur
merci
Hello
Essaye :
ECHO %TIME% >>Ton rapport
++
quoi que j aimerais bien trouver la commande pour afficher l'heure en debut d'execution ( en batch)
Essaye :
ECHO %TIME% >>Ton rapport
++
ok merci je vais essayer(c est vrai que j avoir oublié de faire le rapport en txt sur c:\^^
edit : Marche pas :'
edit : Marche pas :'
salut bonjour a tous
il n'y aurait pas forcément de possibilité ou de moyen de suprimer/discerner ce qui est réellement infecté
le MD5 n'est pas discernable avant execussion ?
il n'y aurait pas forcément de possibilité ou de moyen de suprimer/discerner ce qui est réellement infecté
le MD5 n'est pas discernable avant execussion ?
