Bagle - de chiki a moe
Résolu/Fermé
A voir également:
- Bagle - de chiki a moe
- Extreme down moe - Accueil - Services en ligne
- Zone téléchargement moe - Accueil - Outils
- Comment faire une photo de moins de 2 mo ✓ - Forum Photo numérique
- Zone telechargement moe - Accueil - Services en ligne
- 100 mo internet combien de temps - Forum Mobile
717 réponses
Utilisateur anonyme
9 avril 2009 à 17:44
9 avril 2009 à 17:44
Salut Denis ..
Tes propos me rassure , je pense qu'il en sera de meme pour Olivier ...
Serais tu disposé à réitérer l'exprérience en ma compagnie sur msn ?
Si oui pas ce soir , car dodo tot , mais ce week ok ;)
Olivier , une tite question , Hier j ai fais des tests sur cette clé :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=1
Avec swreg ...(delete) , et avec un sample vl@dock.vbs (si tu le veux..)
J ai eu un bon résultat , néanmoins sur le fofo , il apparait que cette clé n est pas toujours "killée"
Crois tu que avec un vbs j obtiendrais de meilleur résultat ?
Sinon y a nircmd , mais je l ai viré , car il pose soucis avec les AV ...
Tes propos me rassure , je pense qu'il en sera de meme pour Olivier ...
Serais tu disposé à réitérer l'exprérience en ma compagnie sur msn ?
Si oui pas ce soir , car dodo tot , mais ce week ok ;)
Olivier , une tite question , Hier j ai fais des tests sur cette clé :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=1
Avec swreg ...(delete) , et avec un sample vl@dock.vbs (si tu le veux..)
J ai eu un bon résultat , néanmoins sur le fofo , il apparait que cette clé n est pas toujours "killée"
Crois tu que avec un vbs j obtiendrais de meilleur résultat ?
Sinon y a nircmd , mais je l ai viré , car il pose soucis avec les AV ...
Utilisateur anonyme
9 avril 2009 à 19:08
9 avril 2009 à 19:08
salut a tous , Tchiki, MOe , K1
je ne sais pas si cela vient du fait de mes essais avec le dernier fyk mais je souligne :
wfsintwq.sys
est bien le fichier qui m'a fait un blue screen irreversible de quelque manière que ce soit
je ne sais pas si cela vient du fait de mes essais avec le dernier fyk mais je souligne :
wfsintwq.sys
est bien le fichier qui m'a fait un blue screen irreversible de quelque manière que ce soit
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
10 avril 2009 à 04:44
10 avril 2009 à 04:44
salut,
Ok pour ce week end, faudrait presque je désinstalle KAV ;-)
On verra bien.
2 gros jours pour finir la semaine chu mort.
Bye bye
A+
Ok pour ce week end, faudrait presque je désinstalle KAV ;-)
On verra bien.
2 gros jours pour finir la semaine chu mort.
Bye bye
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
crapoulou
Messages postés
28161
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 mai 2024
7 998
10 avril 2009 à 18:56
10 avril 2009 à 18:56
lol KAV est trop puissant !
On peut même pas s'infecter comme il faut !
On peut même pas s'infecter comme il faut !
kevin05
Messages postés
3636
Date d'inscription
samedi 29 novembre 2008
Statut
Contributeur sécurité
Dernière intervention
13 mai 2010
147
10 avril 2009 à 19:13
10 avril 2009 à 19:13
Bah si tu veux t'infecter comme y faut t'as juste à prendre la version d'évaluation de norton :DDDD
Utilisateur anonyme
10 avril 2009 à 22:07
10 avril 2009 à 22:07
Bonsoir tout le monde ,
Denis , demain soir ça te vas ??
Olivier , t as reçu le sample ?
J ai fais une maj UsFix ce soir , pour le changelog et j ai apporté ce "bout de code" :
FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do Dir /a "%%A:\*.*">nul 2>&1 && (
for %%B in (
autorun.inf
adober.exe
copy.exe
comment.htt
host.exe
info.exe
msvcr71.dll
ravmon.exe
ravmon.log
sqlserv.exe
start.exe
temp.exe
temp1.exe
temp2.exe
winfile.exe
zPharaoh.exe
ntdelect.com
) do (
if exist "\\?\%%A:\%%B\con.Repertoire vaccin" (
echo # %%A:\%%B -^> Folder created by VaccinUsb >> %Rapport% )
if exist "\\?\%%A:\%%B\lpt3.This folder was created by Flash_Disinfector" (
echo # %%A:\%%B -^> Folder created by Flash_Disinfector >> %Rapport% )))
Je l ajouterai a fyk dans la prochaine maj & y ajouterai la vaccination de usbfix quand elle sera dispo
Je voulais savoir , au niveau de RPEHM & script .. c est envisageable pour le week end prochain ?
Denis , demain soir ça te vas ??
Olivier , t as reçu le sample ?
J ai fais une maj UsFix ce soir , pour le changelog et j ai apporté ce "bout de code" :
FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do Dir /a "%%A:\*.*">nul 2>&1 && (
for %%B in (
autorun.inf
adober.exe
copy.exe
comment.htt
host.exe
info.exe
msvcr71.dll
ravmon.exe
ravmon.log
sqlserv.exe
start.exe
temp.exe
temp1.exe
temp2.exe
winfile.exe
zPharaoh.exe
ntdelect.com
) do (
if exist "\\?\%%A:\%%B\con.Repertoire vaccin" (
echo # %%A:\%%B -^> Folder created by VaccinUsb >> %Rapport% )
if exist "\\?\%%A:\%%B\lpt3.This folder was created by Flash_Disinfector" (
echo # %%A:\%%B -^> Folder created by Flash_Disinfector >> %Rapport% )))
Je l ajouterai a fyk dans la prochaine maj & y ajouterai la vaccination de usbfix quand elle sera dispo
Je voulais savoir , au niveau de RPEHM & script .. c est envisageable pour le week end prochain ?
Salut à tous,
Cédric, oui, j'ai pu récupérer une source du VBS sur le net.
Tu m'excuses mais les zones privées c'est pas pour moi...
Bref, je ne sais pas si tu as modifié la procédure pour ces clés depuis avant-hier, mais tu devrais d'abord t'assurer que le soucis n'est pas lié à une infection encore active/pas entièrement traité, car pour ma part je n'ai constaté aucun soucis avec swreg, du moment que l'infection était supprimée en totalité en amont par le tool, ce qui ne semble pas être le cas sur le post en question et qui plus est, avec une infection différente du sample.
Sinon concernant un reg, en fait je pensais à une fusion faite par swreg et pas par regedit, puisque touché par les restrictions :-)
Regarde du côté de l'aide du tool et à SWREG IMPORT /? en particulier.
Pour FYK la maj du scanner a été faite suite aux remontées de Denis, tu la trouveras ici :
http://perso.orange.fr/aeternum/Miscs/FYKS.zip.ren
Quant à RPEHM, pour l'instant j'attends d'avoir plus d'infos sur les tests x64 et les corruptions PEH de fichiers natifs, donc je ne pense pas que le tool sera prêt d'ici là.
Bons tests et bon WE, @++
Cédric, oui, j'ai pu récupérer une source du VBS sur le net.
Tu m'excuses mais les zones privées c'est pas pour moi...
Bref, je ne sais pas si tu as modifié la procédure pour ces clés depuis avant-hier, mais tu devrais d'abord t'assurer que le soucis n'est pas lié à une infection encore active/pas entièrement traité, car pour ma part je n'ai constaté aucun soucis avec swreg, du moment que l'infection était supprimée en totalité en amont par le tool, ce qui ne semble pas être le cas sur le post en question et qui plus est, avec une infection différente du sample.
Sinon concernant un reg, en fait je pensais à une fusion faite par swreg et pas par regedit, puisque touché par les restrictions :-)
Regarde du côté de l'aide du tool et à SWREG IMPORT /? en particulier.
Pour FYK la maj du scanner a été faite suite aux remontées de Denis, tu la trouveras ici :
http://perso.orange.fr/aeternum/Miscs/FYKS.zip.ren
Quant à RPEHM, pour l'instant j'attends d'avoir plus d'infos sur les tests x64 et les corruptions PEH de fichiers natifs, donc je ne pense pas que le tool sera prêt d'ici là.
Bons tests et bon WE, @++
Utilisateur anonyme
10 avril 2009 à 23:16
10 avril 2009 à 23:16
@ Gen , évite de poster unitilement , ça m arrangerai pour retrouver les réponses ...
Merci d'avance , unitil de repondre a ce message , ou alors en mp merci.
Bonne soirée.
Merci d'avance , unitil de repondre a ce message , ou alors en mp merci.
Bonne soirée.
Utilisateur anonyme
11 avril 2009 à 20:16
11 avril 2009 à 20:16
Bonsoir tout le monde,
Olivier sorry pour le link .. la prochaine fois il sera direct ..
Pour l histoire avec swreg et la clé , chez moi aussi c est ok sur ce sample .
J aimerais tester avec antinul.vbe . Car avant l arret du fix , j avais ce soucis avec cette infection.
Donc si t as , je veux bien ;) . De plus ça me permettra de taffer sur la F2 ...
Pour Fyk , Denis est ok pour ce soir .
Je lui ferais utiliser ta maj de fyks , et on fera des test avec rephm .
Comme il y a un decalage horaire , je pense que tu liras les réponses\rapports que demain .
Si il y a des choses precise que tu souhaites que l on fasse durant le test ..
Bonne soirée à toutes & tous.
Olivier sorry pour le link .. la prochaine fois il sera direct ..
Pour l histoire avec swreg et la clé , chez moi aussi c est ok sur ce sample .
J aimerais tester avec antinul.vbe . Car avant l arret du fix , j avais ce soucis avec cette infection.
Donc si t as , je veux bien ;) . De plus ça me permettra de taffer sur la F2 ...
Pour Fyk , Denis est ok pour ce soir .
Je lui ferais utiliser ta maj de fyks , et on fera des test avec rephm .
Comme il y a un decalage horaire , je pense que tu liras les réponses\rapports que demain .
Si il y a des choses precise que tu souhaites que l on fasse durant le test ..
Bonne soirée à toutes & tous.
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
12 avril 2009 à 00:16
12 avril 2009 à 00:16
salut moe,
Après avoir pris soin de désactiver le kav au démarrage, et après redémarrage voici le rapport.
Bon boulot messieurs.
Pas de bug et winupgro bien éradiqué.
Cette fois ci msn n'a pas été attaqué.
############################## [ FindyKill V4.722 ]
# User : Admin (Utilisateurs) # GUILLAUMEIX
# Update on 04/04/09 by Chiquitine29
# Start at: 17:12:25 | 2009-04-11
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
# AMD Turion(tm) 64 X2 Mobile Technology TL-60
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# AV : Kaspersky Anti-Virus 8.0.0.506 [ (!) Disabled | Updated ]
# C:\ # Disque fixe local # 183,01 Go (114,37 Go free) [Vista] # NTFS
# D:\ # Disque fixe local # 12,95 Go (2,71 Go free) [HP_RECOVERY] # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque fixe local # 44,91 Go (28,88 Go free) [Windows 7] # NTFS
############################## [ Active Processes ]
C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
C:\Program Files (x86)\CyberLink\Shared Files\RichVideo.exe
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPSched.exe
C:\Windows\SysWOW64\runonce.exe
################## [ C:\Windows # C:\Windows\Prefetch ]
################## [ C:\Windows\System32... ]
################## [ C:\Users\...\AppData\Roaming ]
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\srosa2.sys"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\winupgro.exe"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\downld"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers"
################## [ Cleaning .. Temp Files... ]
################## [ Registry / Infected keys ]
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\install_patch
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-125373397-2249765560-3990788570-1001\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
################## [ Cleaning Removable drives ]
# Deleting Files :
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
File ... : C:\Users\Admin\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : 163cae2b
MD5 .... : 0e15bb4571fdd3ee1665587f44313a0f
Deleted ! : C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
# Taille : 847872 # MD5 : 0E15BB4571FDD3EE1665587F44313A0F
Deleted ! : C:\Users\Admin\Desktop\11.04.09\install_patch.exe
# Taille : 847872 # MD5 : 0E15BB4571FDD3EE1665587F44313A0F
Deleted ! : C:\Users\Admin\Downloads\110409.zip
Contain 11.04.09\install_patch.exe [847872] with Bagle CRC32 : 163CAE2B
################## [ ! End of Report # FindyKill V4.722 ! ]
A+
Après avoir pris soin de désactiver le kav au démarrage, et après redémarrage voici le rapport.
Bon boulot messieurs.
Pas de bug et winupgro bien éradiqué.
Cette fois ci msn n'a pas été attaqué.
############################## [ FindyKill V4.722 ]
# User : Admin (Utilisateurs) # GUILLAUMEIX
# Update on 04/04/09 by Chiquitine29
# Start at: 17:12:25 | 2009-04-11
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
# AMD Turion(tm) 64 X2 Mobile Technology TL-60
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# AV : Kaspersky Anti-Virus 8.0.0.506 [ (!) Disabled | Updated ]
# C:\ # Disque fixe local # 183,01 Go (114,37 Go free) [Vista] # NTFS
# D:\ # Disque fixe local # 12,95 Go (2,71 Go free) [HP_RECOVERY] # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque fixe local # 44,91 Go (28,88 Go free) [Windows 7] # NTFS
############################## [ Active Processes ]
C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
C:\Program Files (x86)\CyberLink\Shared Files\RichVideo.exe
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPSched.exe
C:\Windows\SysWOW64\runonce.exe
################## [ C:\Windows # C:\Windows\Prefetch ]
################## [ C:\Windows\System32... ]
################## [ C:\Users\...\AppData\Roaming ]
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\srosa2.sys"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\winupgro.exe"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\downld"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers"
################## [ Cleaning .. Temp Files... ]
################## [ Registry / Infected keys ]
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\install_patch
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-125373397-2249765560-3990788570-1001\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
################## [ Cleaning Removable drives ]
# Deleting Files :
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
File ... : C:\Users\Admin\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : 163cae2b
MD5 .... : 0e15bb4571fdd3ee1665587f44313a0f
Deleted ! : C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
# Taille : 847872 # MD5 : 0E15BB4571FDD3EE1665587F44313A0F
Deleted ! : C:\Users\Admin\Desktop\11.04.09\install_patch.exe
# Taille : 847872 # MD5 : 0E15BB4571FDD3EE1665587F44313A0F
Deleted ! : C:\Users\Admin\Downloads\110409.zip
Contain 11.04.09\install_patch.exe [847872] with Bagle CRC32 : 163CAE2B
################## [ ! End of Report # FindyKill V4.722 ! ]
A+
Salut à tous,
Cédric, je n'ai pas antinul.vbe mais si tu as besoin de quelques samples en VBS, j'ai uploadé quelques scripts qui pourront surement t'interesser ici.
Certains ne sont pas tout jeune, mais le principe reste sensiblement le même par rapport à ce qu'on trouve actuellement.
Concernant FYK, le test fait avec Denis semble démontrer que le rootkit ne parvient pas à s'installer sur Windows 7 x64, ce qui est une bonne chose et facilite d'autant plus la désinfection et semble éviter aussi une corruption peh.
Test concluant et très instructif pour ma part ;-), merci pour la remontée.
Bonne journée et @++
Cédric, je n'ai pas antinul.vbe mais si tu as besoin de quelques samples en VBS, j'ai uploadé quelques scripts qui pourront surement t'interesser ici.
Certains ne sont pas tout jeune, mais le principe reste sensiblement le même par rapport à ce qu'on trouve actuellement.
Concernant FYK, le test fait avec Denis semble démontrer que le rootkit ne parvient pas à s'installer sur Windows 7 x64, ce qui est une bonne chose et facilite d'autant plus la désinfection et semble éviter aussi une corruption peh.
Test concluant et très instructif pour ma part ;-), merci pour la remontée.
Bonne journée et @++
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
12 avril 2009 à 18:50
12 avril 2009 à 18:50
salut moe,
Tu voulais dire Vista x64 ou éventuellement pour windows 7 aussi ?
Car pour le moment fyk ne tourne pas sous windows 7.
Je n'ai pas fait de test d'infection sous win 7.
A+
Tu voulais dire Vista x64 ou éventuellement pour windows 7 aussi ?
Car pour le moment fyk ne tourne pas sous windows 7.
Je n'ai pas fait de test d'infection sous win 7.
A+
Utilisateur anonyme
12 avril 2009 à 18:59
12 avril 2009 à 18:59
je confirme
Salut à tous
Denicool, tu me disais que FYK ne tourne pas sous Win7, mais pour ma part j'ai un avis différent, du moins pour la version 32 bit de l'OS.
Le test a été fait UAC désactivé (niveau le plus bas dans les réglages) et après reboot du pc, sur un compte admin.
Résultats, après avoir modifié le cmd pour qu'il ne filtre pas l'OS :
A noter que l'infection s'est développée en totalité et sans aucune entraves :-/
Concernant FYK, le nettoyage s'est fait sans problèmes, idem pour le scanner.
Les deux parties de l'outil ont fait le job sans erreurs ni oublis.
Donc voilà, Cédric c'est assez encourageant pour toi :-)
Bonne journée à tous, @++
Denicool, tu me disais que FYK ne tourne pas sous Win7, mais pour ma part j'ai un avis différent, du moins pour la version 32 bit de l'OS.
Le test a été fait UAC désactivé (niveau le plus bas dans les réglages) et après reboot du pc, sur un compte admin.
Résultats, après avoir modifié le cmd pour qu'il ne filtre pas l'OS :
############################## [ FindyKill V4.722 ] # User : mOe (Users) # WIN-850CV18K8P9 # Update on 04/04/09 by Chiquitine29 # Start at: 03:11:03 | 13/04/2009 # Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/ # Intel(R) Core(TM)2 Quad CPU Q8300 @ 2.50GHz # Microsoft Windows 7 Home Premium (6.1.7057 32-bit) # # Internet Explorer 8.0.7057.0 # Windows Firewall Status : Disabled # A:\ # 3 1/2 Inch Floppy Drive # C:\ # Local Fixed Disk # 16 Go (9,02 Go free) # NTFS # D:\ # CD-ROM Disc ############################## [ Active Processes ] C:\Windows\System32\smss.exe C:\Windows\system32\csrss.exe C:\Windows\system32\wininit.exe C:\Windows\system32\csrss.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\LogonUI.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\userinit.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\runonce.exe C:\Windows\System32\spoolsv.exe C:\Windows\system32\svchost.exe C:\Windows\system32\taskhost.exe C:\Windows\system32\conhost.exe C:\Program Files\VMware\VMware Tools\VMwareService.exe C:\Windows\system32\dllhost.exe C:\Windows\system32\dllhost.exe C:\Windows\System32\msdtc.exe C:\Windows\system32\vssvc.exe C:\Windows\system32\wbem\wmiprvse.exe ################## [ C:\Windows # C:\Windows\Prefetch ] Deleted ! C:\Windows\Prefetch\104875.EXE-33D18C19.pf Deleted ! C:\Windows\Prefetch\177843.EXE-449E38E2.pf Deleted ! C:\Windows\Prefetch\231953.EXE-B794F7CF.pf Deleted ! C:\Windows\Prefetch\238187.EXE-0BC87CED.pf Deleted ! C:\Windows\Prefetch\245281.EXE-6C407EA2.pf Deleted ! C:\Windows\Prefetch\247187.EXE-F9369547.pf Deleted ! C:\Windows\Prefetch\FLEC006.EXE-144E5EAE.pf Deleted ! C:\Windows\Prefetch\INSTALL_PATCH.EXE-26F2C13B.pf Deleted ! C:\Windows\Prefetch\MDELK.EXE-74B0283C.pf Deleted ! C:\Windows\Prefetch\WINTEMS.EXE-9889BB0E.pf Deleted ! C:\Windows\Prefetch\WINUPGRO.EXE-CCC1740C.pf ################## [ C:\Windows\System32... ] Deleted ! C:\Windows\system32\mdelk.exe Deleted ! C:\Windows\system32\wintems.exe Deleted ! C:\Windows\system32\ban_list.txt Deleted ! C:\Windows\system32\drivers\down ################## [ C:\Users\...\AppData\Roaming ] Deleted ! "C:\Users\mOe\AppData\Roaming\m\flec006.exe" Deleted ! "C:\Users\mOe\AppData\Roaming\m\list.oct" Deleted ! "C:\Users\mOe\AppData\Roaming\m\data.oct" Deleted ! "C:\Users\mOe\AppData\Roaming\m\srvlist.oct" Deleted ! "C:\Users\mOe\AppData\Roaming\drivers\srosa2.sys" Deleted ! "C:\Users\mOe\AppData\Roaming\drivers\wfsintwq.sys" Deleted ! "C:\Users\mOe\AppData\Roaming\drivers\winupgro.exe" Deleted ! "C:\Users\mOe\AppData\Roaming\m\shared" Deleted ! "C:\Users\mOe\AppData\Roaming\m" Deleted ! "C:\Users\mOe\AppData\Roaming\drivers\downld" Deleted ! "C:\Users\mOe\AppData\Roaming\drivers" ################## [ Cleaning .. Temp Files... ] Deleted ! C:\Users\mOe\AppData\Local\Temp\0000130f\setup.exe Deleted ! C:\Users\mOe\Local Settings\Temporary Internet Files\Content.IE5\36LC3XY3\b64_6[1].jpg Deleted ! C:\Users\mOe\Local Settings\Temporary Internet Files\Content.IE5\36LC3XY3\ieps[1].jpg Deleted ! C:\Users\mOe\Local Settings\Temporary Internet Files\Content.IE5\36LC3XY3\mxd[1].jpg Deleted ! C:\Users\mOe\Local Settings\Temporary Internet Files\Content.IE5\H82Y1TDK\b64[1].jpg Deleted ! C:\Users\mOe\Local Settings\Temporary Internet Files\Content.IE5\H82Y1TDK\servernames[1].htm Deleted ! C:\Users\mOe\Local Settings\Temporary Internet Files\Content.IE5\JFALDI3C\b64_1[1].jpg Deleted ! C:\Users\mOe\Local Settings\Temporary Internet Files\Content.IE5\JFALDI3C\b64_2[1].jpg Deleted ! C:\Users\mOe\Local Settings\Temporary Internet Files\Content.IE5\JFALDI3C\b64_3[1].jpg Deleted ! C:\Users\mOe\Local Settings\Temporary Internet Files\Content.IE5\ZIFYLAIM\file[1].txt ################## [ Registry / Infected keys ] Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA Deleted ! HKEY_CURRENT_USER\Software\bisoft Deleted ! HKEY_CURRENT_USER\Software\DateTime4 Deleted ! HKEY_CURRENT_USER\Software\MuleAppData Deleted ! HKEY_CURRENT_USER\Software\FFC Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\install_patch Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro Deleted ! HKEY_USERS\S-1-5-21-70386241-3868333361-789320265-1000\Software\FFC Deleted ! HKEY_USERS\S-1-5-21-70386241-3868333361-789320265-1000\Software\MuleAppData Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit" Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe" Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key" ################## [ Cleaning Removable drives ] # Deleting Files : ################## [ Registry / Mountpoint2 ] # -> Not found ! ################## [ States / Restarting of services ] <code> # Services : [ Auto=2 / Request=3 / Disable=4 ] # Ndisuio -> # Type of startup =3 # EapHost -> # Type of startup =2 # Wlansvc -> # Type of startup =2 # SharedAccess -> # Type of startup =2 # wuauserv -> # Type of startup =2 # wscsvc -> # Type of startup =2 # WinDefend -> # Type of startup =2 # -> UAC is Enable. ################## [ Searching Other Infections ] # Références de comparaison Bagle MD5 : File ... : C:\Users\mOe\AppData\Roaming\drivers\winupgro.exe CRC32 .. : 8d3544ca MD5 .... : 8686b1c4d8fea16a48df9d51b3cffe3c Deleted ! : C:\Program Files\VMware\VMware Tools\VMwareTray.exe # Taille : 856064 # MD5 : 8686B1C4D8FEA16A48DF9D51B3CFFE3C Deleted ! : C:\Users\mOe\Desktop\AlgoRhythmia 3.0\install_patch.exe # Taille : 856064 # MD5 : 8686B1C4D8FEA16A48DF9D51B3CFFE3C Deleted ! : C:\Users\mOe\Desktop\AlgoRhythmia 3.0.zip Contain install_patch.exe [856064] with Bagle CRC32 : 8D3544CA ################## [ ! End of Report # FindyKill V4.722 ! ]
A noter que l'infection s'est développée en totalité et sans aucune entraves :-/
Concernant FYK, le nettoyage s'est fait sans problèmes, idem pour le scanner.
Les deux parties de l'outil ont fait le job sans erreurs ni oublis.
Donc voilà, Cédric c'est assez encourageant pour toi :-)
Bonne journée à tous, @++
Utilisateur anonyme
13 avril 2009 à 14:23
13 avril 2009 à 14:23
hello une question c'est celui qui est en ligne qui est compatible W_7 32 ?
Salut Gen,
Oui tout à fait, j'ai utilisé la version de FYK qui est en ligne actuellement, mais après avoir fait une modif au niveau du code du script pour que l'OS ne soit pas filtré.
Sinon sans çà, l'outil renvois logiquement un message d'incompatibilité avec l'OS, ce qui est tout à fait normal.
Test rapide pour l'instant, mais concluant sur les principaux points fort de l'outil. :-)
A suivre...
@++
Oui tout à fait, j'ai utilisé la version de FYK qui est en ligne actuellement, mais après avoir fait une modif au niveau du code du script pour que l'OS ne soit pas filtré.
Sinon sans çà, l'outil renvois logiquement un message d'incompatibilité avec l'OS, ce qui est tout à fait normal.
Test rapide pour l'instant, mais concluant sur les principaux points fort de l'outil. :-)
A suivre...
@++
Utilisateur anonyme
13 avril 2009 à 19:22
13 avril 2009 à 19:22
ok je comprends mieux aussi :)
si vou s voulez faire des essais je suis partant ( je repete quitte a planter Windows_7 )
si vou s voulez faire des essais je suis partant ( je repete quitte a planter Windows_7 )
Utilisateur anonyme
14 avril 2009 à 12:48
14 avril 2009 à 12:48
Bonjour tout le monde ,
Olivier , je te remercie pour les samples ;) ça m a permis d y voir plus clair .
Je te passe le vbs que j ai fais pour usbfix , pour les clés .
Il est sans grande prétentions , mais c est un début . (si t as un avis ;))
Concernant Fyk , je mettrai 723 en ligne ce soir , avec ta maj de fyks et sans FyK_C car detecté par les AV ....
Pour seven , je l ai pas encore mais c est en cours . Donc quand je l aurai je l excluerai du filtre car a priori durant tes tests ça se passe bien ....
Bon app @tous
Olivier , je te remercie pour les samples ;) ça m a permis d y voir plus clair .
Je te passe le vbs que j ai fais pour usbfix , pour les clés .
Il est sans grande prétentions , mais c est un début . (si t as un avis ;))
Concernant Fyk , je mettrai 723 en ligne ce soir , avec ta maj de fyks et sans FyK_C car detecté par les AV ....
Pour seven , je l ai pas encore mais c est en cours . Donc quand je l aurai je l excluerai du filtre car a priori durant tes tests ça se passe bien ....
Bon app @tous
Salut Cédric,
De rien pour les samples :-), j'essayerais de t'en faire passer d'autres...
Je viens de regarder ton script pour USBFix...
Déjà il faut que tu saches qu'il peut y avoir des restrictions sur certains pc qui empècheront l'exécution des scripts VBS.
Par exemple certains outils d'optimisations axé un peu sécu, peuvent proposer cette restriction.
Le plus souvent tu peux la retrouver ici :
Si la valeur 'Enabled' n'existe pas, l'exécution des scripts est activée (autorisée)
Ensuite, il peut y avoir eu aussi par exemple une modif de l'exe associé au type de fichier VBSFile (notepad à la place de cscript/wscript), mais en ce qui te concerne ce n'est pas pénalisant du moment que le vbs est exécuté via un batch.
Donc ce sont pour ces raisons entre autre que je te disais l'autre jour qu'il y a aussi des inconvéniants à utiliser le VBS, mais bon à toi de juger à l'usage.
Ceci dit, c'est pas mal mais tu as juste un truc qu'il te faudra revoir, la rectif de l'icône de base des VBS :
En fait tel quel, tu lis la donnée de DefaultIcon susceptible d'avoir été modifié par un script vérolé et tu réinscris ensuite cette même donnée dans DefaultIcon :-)
Le mieux est que tu remettes directement la valeur par défaut, c'est à dire :
Sauf erreur, ce sont les valeurs par défaut de DefaultIcon, aussi bien sur XP que Vista.
Au fait, le VBS a résolu le soucis rencontré avec SWREG ?
Pour seven, je t'ai uploadé une petite vidéo ici, tu y verras se dérouler l'option 1 et 2 de FYK sous cet OS.
A prioris, pas de soucis majeurs ou de mauvaises surprises, lorsque tu l'auras installé et fait quelques tests, tu verras qu'il y juste peut-être un rajout à faire au niveau du reparamétrage de l'UAC, rien de bien méchant.
Si tu peux avoir une version plus récente que la mienne de l'OS, ce sera parfait pour vérifier si ma première impression positive, se confirme... ou pas de ton côté !
Bonne soirée et bon app !
@++
De rien pour les samples :-), j'essayerais de t'en faire passer d'autres...
Je viens de regarder ton script pour USBFix...
Déjà il faut que tu saches qu'il peut y avoir des restrictions sur certains pc qui empècheront l'exécution des scripts VBS.
Par exemple certains outils d'optimisations axé un peu sécu, peuvent proposer cette restriction.
Le plus souvent tu peux la retrouver ici :
[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings] "Enabled"=dword:00000000 dword:00000000 = l'exécution des scripts est désactivée dword:00000001 = l'exécution des scripts est activée
Si la valeur 'Enabled' n'existe pas, l'exécution des scripts est activée (autorisée)
Ensuite, il peut y avoir eu aussi par exemple une modif de l'exe associé au type de fichier VBSFile (notepad à la place de cscript/wscript), mais en ce qui te concerne ce n'est pas pénalisant du moment que le vbs est exécuté via un batch.
Donc ce sont pour ces raisons entre autre que je te disais l'autre jour qu'il y a aussi des inconvéniants à utiliser le VBS, mais bon à toi de juger à l'usage.
Ceci dit, c'est pas mal mais tu as juste un truc qu'il te faudra revoir, la rectif de l'icône de base des VBS :
resultat = WshShell.regread ("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon\")
wshshell.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon\",resultat
En fait tel quel, tu lis la donnée de DefaultIcon susceptible d'avoir été modifié par un script vérolé et tu réinscris ensuite cette même donnée dans DefaultIcon :-)
Le mieux est que tu remettes directement la valeur par défaut, c'est à dire :
wshshell.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon\","%SystemRoot%\System32\WScript.exe,2" et/ou wshshell.Regwrite "HKEY_CLASSES_ROOT\VBSFile\DefaultIcon\","%SystemRoot%\System32\WScript.exe,2"
Sauf erreur, ce sont les valeurs par défaut de DefaultIcon, aussi bien sur XP que Vista.
Au fait, le VBS a résolu le soucis rencontré avec SWREG ?
Pour seven, je t'ai uploadé une petite vidéo ici, tu y verras se dérouler l'option 1 et 2 de FYK sous cet OS.
A prioris, pas de soucis majeurs ou de mauvaises surprises, lorsque tu l'auras installé et fait quelques tests, tu verras qu'il y juste peut-être un rajout à faire au niveau du reparamétrage de l'UAC, rien de bien méchant.
Si tu peux avoir une version plus récente que la mienne de l'OS, ce sera parfait pour vérifier si ma première impression positive, se confirme... ou pas de ton côté !
Bonne soirée et bon app !
@++
Utilisateur anonyme
14 avril 2009 à 21:47
14 avril 2009 à 21:47
Salut Olivier ,
Quand t as posté j'allais justement le faire pour te dire que j avais mis 723 en ligne .
Du coup je l ai refaite pour y ajouter le filtre seven (pour Denis) ;) De mon coté je le recevrai ce soir .... Alors je ferais des tests demain .
Plutot rassurante la video .... En parlant de video , j ai commencé a faire une page dédié à notre amis , avec des screen , des expliquations et je compte y mettre aussi des videos . Je voulais savoir si tu m authorisais a y mettre "bagle vs reg " ?
Je compte revoir aussi l ambiance du "site" car trop sombre .
Pour le vbs je te remercie pour les infos . Chez moi ça fonctionnai durant mes tests , reste a voir la chose "à plus grande echelle" ;).
Je corrigerai pour l ico , en meme temps il y a encore des clé a ajouter . Chose que je ferais plus tard car je veux tester tes samples un a un . ...
Bref ça commence à sentir bon ;)
Quand t as posté j'allais justement le faire pour te dire que j avais mis 723 en ligne .
Du coup je l ai refaite pour y ajouter le filtre seven (pour Denis) ;) De mon coté je le recevrai ce soir .... Alors je ferais des tests demain .
Plutot rassurante la video .... En parlant de video , j ai commencé a faire une page dédié à notre amis , avec des screen , des expliquations et je compte y mettre aussi des videos . Je voulais savoir si tu m authorisais a y mettre "bagle vs reg " ?
Je compte revoir aussi l ambiance du "site" car trop sombre .
Pour le vbs je te remercie pour les infos . Chez moi ça fonctionnai durant mes tests , reste a voir la chose "à plus grande echelle" ;).
Je corrigerai pour l ico , en meme temps il y a encore des clé a ajouter . Chose que je ferais plus tard car je veux tester tes samples un a un . ...
Bref ça commence à sentir bon ;)
Utilisateur anonyme
15 avril 2009 à 08:01
15 avril 2009 à 08:01
Bonjours , tout le monde.
Olivier , hier j ai retiré 723 pour mettre 724 ;) ... J ai supprimé regB aussi .
Bonne journée @ tous.
Olivier , hier j ai retiré 723 pour mettre 724 ;) ... J ai supprimé regB aussi .
Bonne journée @ tous.
Salut Cédric,
Oki pour la 724, c'est noté :-)
Pour la vidéo il n'y a aucun soucis, d'ailleurs pas besoin de me demander mon autorisation Cédric, c'était fait pour être vu et pour illustrer une astuce à la base !
A propos de tests et de Denis, si jamais vous avez l'occasion d'en refaire un sur Vista 64, est-ce qu'il serait possible avant de lancer l'infection de télécharger l'exe d'hijackthis par exemple et faire aussi une copie sur le bureau d'un fichier natif comme regedit, renommé en update.exe.
Une fois l'infection lancée, j'aimerais savoir si une tentative d'exécution de ces deux fichiers revèle ou pas une corruption et le fameux message "...N'est pas une appli win32 valide".
A mon avis si srosa2.sys et wfsintwq.sys ne peuvent pas s'installer, ce ne sera pas le cas, mais pour en être sur, j'aurais besoin d'une remontée de test.
Merci d'avance en tout cas.
Bonne soirée et amuses-toi bien avec les samples :-)
Oki pour la 724, c'est noté :-)
Pour la vidéo il n'y a aucun soucis, d'ailleurs pas besoin de me demander mon autorisation Cédric, c'était fait pour être vu et pour illustrer une astuce à la base !
A propos de tests et de Denis, si jamais vous avez l'occasion d'en refaire un sur Vista 64, est-ce qu'il serait possible avant de lancer l'infection de télécharger l'exe d'hijackthis par exemple et faire aussi une copie sur le bureau d'un fichier natif comme regedit, renommé en update.exe.
Une fois l'infection lancée, j'aimerais savoir si une tentative d'exécution de ces deux fichiers revèle ou pas une corruption et le fameux message "...N'est pas une appli win32 valide".
A mon avis si srosa2.sys et wfsintwq.sys ne peuvent pas s'installer, ce ne sera pas le cas, mais pour en être sur, j'aurais besoin d'une remontée de test.
Merci d'avance en tout cas.
Bonne soirée et amuses-toi bien avec les samples :-)
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
16 avril 2009 à 01:02
16 avril 2009 à 01:02
salut Chiqui,
L'UAC était déjà désactivé, j'avais essayé les anciennes version, même la version 722 ne tournait pas.
C'était peut être une version 722 beta ;-)
Si je me rappelles bien vous étiez en train de débloquer le filtrage des OS sur la 722.
Mais la 724 s'est bien exécuté cette fois ci.
Un petit soucis, mais rien de méchant, à la fin une fenêtre windows explorer s'est ouvert (sur fond noir), j'ai du relancer explorer.exe pour faire apparaitre le bureau et la barre windows.
Sous vista 64 le redémarrage d'explorer a toujours des soucis, il faut juste cliquer sur annuler pour arrêter le redémarrage sans fin.
Et dans le rapport le type de version n'apparait toujours pas correctement 32 bits...
Kaspersky ne tourne pas encore sous Seven, j'ai donc installé Antivir.
Mais je viens de voir que Antivir n'apparait pas dans le rapport.
Dans le rapport que tu as affiché aucun AV présent aussi.
Petite remarque Antivir n'aime pas USBFix, il a déclenché 2-3 fois.
############################## [ FindyKill V4.724 ]
# User : Denis (Administrators) # DENIS-PC
# Update on 15/04/09 by Chiquitine29
# Start at: 18:21:36 | 2009-04-15
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
# AMD Turion(tm) 64 X2 Mobile Technology TL-60
# Microsoft Windows 7 Ultimate (6.1.7057 32-bit) #
# Internet Explorer 8.0.7057.0
# Windows Firewall Status : Disabled
# C:\ # Local Fixed Disk # 44,91 Go (30,17 Go free) [Windows 7] # NTFS
# D:\ # Local Fixed Disk # 183,01 Go (129,9 Go free) [Vista] # NTFS
# E:\ # Local Fixed Disk # 12,95 Go (2,71 Go free) [HP_RECOVERY] # NTFS
# F:\ # CD-ROM Disc
############################## [ Active Processes ]
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Windows\SysWOW64\runonce.exe
################## [ C:\Windows # C:\Windows\Prefetch ]
################## [ C:\Windows\System32... ]
################## [ C:\Users\...\AppData\Roaming ]
################## [ Cleaning .. Temp Files... ]
################## [ Registry / Infected keys ]
################## [ Cleaning Removable drives ]
# Deleting Files :
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
K1, calme toi on sait tu aimes bousiller windows :-P
A+
Denis
L'UAC était déjà désactivé, j'avais essayé les anciennes version, même la version 722 ne tournait pas.
C'était peut être une version 722 beta ;-)
Si je me rappelles bien vous étiez en train de débloquer le filtrage des OS sur la 722.
Mais la 724 s'est bien exécuté cette fois ci.
Un petit soucis, mais rien de méchant, à la fin une fenêtre windows explorer s'est ouvert (sur fond noir), j'ai du relancer explorer.exe pour faire apparaitre le bureau et la barre windows.
Sous vista 64 le redémarrage d'explorer a toujours des soucis, il faut juste cliquer sur annuler pour arrêter le redémarrage sans fin.
Et dans le rapport le type de version n'apparait toujours pas correctement 32 bits...
Kaspersky ne tourne pas encore sous Seven, j'ai donc installé Antivir.
Mais je viens de voir que Antivir n'apparait pas dans le rapport.
Dans le rapport que tu as affiché aucun AV présent aussi.
Petite remarque Antivir n'aime pas USBFix, il a déclenché 2-3 fois.
############################## [ FindyKill V4.724 ]
# User : Denis (Administrators) # DENIS-PC
# Update on 15/04/09 by Chiquitine29
# Start at: 18:21:36 | 2009-04-15
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
# AMD Turion(tm) 64 X2 Mobile Technology TL-60
# Microsoft Windows 7 Ultimate (6.1.7057 32-bit) #
# Internet Explorer 8.0.7057.0
# Windows Firewall Status : Disabled
# C:\ # Local Fixed Disk # 44,91 Go (30,17 Go free) [Windows 7] # NTFS
# D:\ # Local Fixed Disk # 183,01 Go (129,9 Go free) [Vista] # NTFS
# E:\ # Local Fixed Disk # 12,95 Go (2,71 Go free) [HP_RECOVERY] # NTFS
# F:\ # CD-ROM Disc
############################## [ Active Processes ]
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Windows\SysWOW64\runonce.exe
################## [ C:\Windows # C:\Windows\Prefetch ]
################## [ C:\Windows\System32... ]
################## [ C:\Users\...\AppData\Roaming ]
################## [ Cleaning .. Temp Files... ]
################## [ Registry / Infected keys ]
################## [ Cleaning Removable drives ]
# Deleting Files :
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
K1, calme toi on sait tu aimes bousiller windows :-P
A+
Denis
9 avril 2009 à 18:39
Cédric,
Effectivement la confirmation de Denis est rassurante, déjà pour ton *.cmd et le traitement de la partie active de l'infection, concernant fyks, pour ma part il en faudra plus avant de l'être.
En fait il faudrait voir globalement ce que donne l'outil lorsque le drivers wfsintwq.sys & Co sont installés (si tant est qu'ils puissent l'être...), ce qui n'était pas le cas je crois puisque je n'ai vu aucun service associé dans le rapport, ensuite il y a aussi les modifs du PE Header que j'aimerais bien pouvoir observer dans la foulée, bref...Rassuré oui, mais... :-)
Pour la clé et la restriction de l'accès au registre, je veux bien un sample du VBS, oui, et regarder d'où ça peut provenir.
Est-ce que tu as des liens vers les posts ou la clé n'est pas supprimé ?
Peut-être que tu obtiendras de meilleurs résultat avec un VBS, mais si tu peux essayes d'éviter et de faire sans, car il y a aussi quelques inconvéniants.
Est-ce que tu as essayé avec un reg delete ?
Ca peut paraitre tout bête mais s'il n'y a que cette clé qui pose problème avec swreg, reg.exe devrait pouvoir s'en charger.
Ou éventuellement un *.reg qui ne s'occuperait que des restrictions ?
@+ tard.
9 avril 2009 à 19:23
Au sujet des tests de Denis , c est pour ça que je lui propose avec son accord , des tests en ma compagnie ce week end.... Donc j attend sa réponse et si favaorable on pourra faire un "plan d action .." .
Mais ceci dit je nous sent sur la bonne voie ;)
Pour fyk_C je vais le supprimer et revenir comme avant ...
Pour le lien du topic : Ici
Je m interroge avec ces clés car parfois ok et parfois pas .. J' ai essayé avec un reg mais pas de résultat (blabla par votre admin..) avec swreg via le sample c est ok mais sur le topic nada ..sniff .
Je pensais faire un exe qui s occuperais de ça , regroupant plusieures méthodes .
A voir , en meme temps je manque cruellement de samples pour tests ...
+