Bagle - de chiki a moe

Résolu/Fermé

Utilisateur anonyme - 21 janv. 2009 à 22:13
Utilisateur anonyme - 8 nov. 2009 à 22:46

Salut moe ,

/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..

/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici

::

ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,

je sais pertinament qu il y a des points a voir , genre kill 04

choses qui a été démarré.. et ensuite a travailler ..

néanmoins je voulais parler avec toi d un point particulier

je pensais dans la prochaine maj faire apparaitre l id windows le sp ,

c est pas vraiment important , mais surtout l av , le firewall et voir l as

et dire si actif ou pas .. (ceci m importe)

bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,

combo , etc (vbs)

en outre j ai aucune notion en vbs , donc si on peut partager c cool

breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill

durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a

peut etre quelque choses a faire

ensuite je sais aussi que ceci n est pas tache evidente

j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi

c est a dire rendre les protections actives apres kill

au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend

je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..

courage pour le taff et encore merci pour les conseils etc

A voir également:

Bagle - de chiki a moe
Extreme down moe - Accueil - Services en ligne
Zone téléchargement moe - Accueil - Outils
Comment faire une photo de moins de 2 mo ✓ - Forum Photo numérique
Zone telechargement moe - Accueil - Services en ligne
100 mo internet combien de temps - Forum Mobile

717 réponses

Réponse 401 / 717

Utilisateur anonyme
16 avril 2009 à 01:12

Salut Olivier ,

Ok pour les tests , je vais demander a Denis dès que le chope sur ccm ou msn .

Pour les video , il les faudrait en wmv mouarff ,mais bon, ton avi je peux l heberger et bidouiiler .

Si ça te dis de faire des video (wmv) pour fyk tu peux , car moi actuellement je suis assez pris .

En fait je voulais en faire 2 pour fyk .

1 qui montre l utilisation de fyk ( de l instal au clean ) et une autre qui montre comment se faire infecter .

Du genre tu tapes "crack serial" dans google et hop ...

ça sera sur une page a part , j y ai collé deja les ico B que nous avons pour informer l user (la page est pas dispo) . Enfin voila

Pour la seconde Julie fera un zik adéquate ;) .

dailleurs tu utilise quoi toi pour faire tes video ? moi j ai camstasia ...

++

Réponse 402 / 717

DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
16 avril 2009 à 02:11

salut moe, chiqui,

Voici le dernier test sous Vista64, tout semble correct, bon boulot.

############################## [ FindyKill V4.724 ]

# User : Admin (Utilisateurs) # GUILLAUMEIX
# Update on 15/04/09 by Chiquitine29
# Start at: 19:37:55 | 2009-04-15
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# AMD Turion(tm) 64 X2 Mobile Technology TL-60
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# AV : Kaspersky Anti-Virus 8.0.0.506 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 183,01 Go (129,43 Go free) [Vista] # NTFS
# D:\ # Disque fixe local # 12,95 Go (2,71 Go free) [HP_RECOVERY] # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque fixe local # 44,91 Go (30,28 Go free) [Windows 7] # NTFS

############################## [ Active Processes ]

C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
C:\Program Files (x86)\CyberLink\Shared Files\RichVideo.exe
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPSched.exe
C:\Windows\SysWOW64\runonce.exe

################## [ C:\Windows # C:\Windows\Prefetch ]

################## [ C:\Windows\System32... ]

################## [ C:\Users\...\AppData\Roaming ]

Deleted ! "C:\Users\Admin\AppData\Roaming\m\flec006.exe"
Deleted ! "C:\Users\Admin\AppData\Roaming\m\list.oct"
Deleted ! "C:\Users\Admin\AppData\Roaming\m\data.oct"
Deleted ! "C:\Users\Admin\AppData\Roaming\m\srvlist.oct"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\srosa2.sys"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\winupgro.exe"
Deleted ! "C:\Users\Admin\AppData\Roaming\m\shared"
Deleted ! "C:\Users\Admin\AppData\Roaming\m"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers\downld"
Deleted ! "C:\Users\Admin\AppData\Roaming\drivers"

################## [ Cleaning .. Temp Files... ]

Deleted ! C:\Users\Admin\AppData\Local\Temp\Rar$EX02.116\crac.exe
Deleted ! C:\Users\Admin\AppData\Local\Temp\Rar$EX04.869\crac.exe
Deleted ! C:\Users\Admin\AppData\Local\Temp\Rar$EX07.926\crac.exe
Deleted ! C:\Users\Admin\AppData\Local\Temp\Rar$EX12.681\crac.exe
Deleted ! C:\Users\Admin\AppData\Local\Temp\Rar$EX14.744\crac.exe
Deleted ! C:\Users\Admin\Local Settings\Temporary Internet Files\Content.IE5\YTPULHMH\b64[1].jpg

################## [ Registry / Infected keys ]

Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-125373397-2249765560-3990788570-1001\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

################## [ Cleaning Removable drives ]

# Deleting Files :

################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

File ... : C:\Users\Admin\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : 65a95934
MD5 .... : 445079ca482e15689ee11780aac68951

Deleted ! : C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
# Taille : 847872 # MD5 : 445079CA482E15689EE11780AAC68951

Deleted ! : C:\Users\Admin\Downloads\150409.zip
Contain crac.exe [847872] with Bagle CRC32 : 65A95934

################## [ ! End of Report # FindyKill V4.724 ! ]

Je reviens, pour faire un test sous Seven64.

A+

GMT-5h: Québec, CA **Naviguez avec l'outil Web O Trust**

Réponse 403 / 717

DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
16 avril 2009 à 04:15

Et voilà la suite comme convenu, le résultat sous windows7x64

Antivir et UAC désactivé, sous Admin.
Comme vous pourrez le constater, je rappelles un détail dans le rapport, l'AV n'apparait pas.

############################## [ FindyKill V4.724 ]

# User : Denis (Administrators) # DENIS-PC
# Update on 15/04/09 by Chiquitine29
# Start at: 21:51:57 | 2009-04-15
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# AMD Turion(tm) 64 X2 Mobile Technology TL-60
# Microsoft Windows 7 Ultimate (6.1.7057 32-bit) #
# Internet Explorer 8.0.7057.0
# Windows Firewall Status : Disabled

# C:\ # Local Fixed Disk # 44,91 Go (30,25 Go free) [Windows 7] # NTFS
# D:\ # Local Fixed Disk # 183,01 Go (129,97 Go free) [Vista] # NTFS
# E:\ # Local Fixed Disk # 12,95 Go (2,71 Go free) [HP_RECOVERY] # NTFS
# F:\ # CD-ROM Disc

############################## [ Active Processes ]

C:\Windows\SysWOW64\runonce.exe

################## [ C:\Windows # C:\Windows\Prefetch ]

################## [ C:\Windows\System32... ]

################## [ C:\Users\...\AppData\Roaming ]

Deleted ! "C:\Users\Denis\AppData\Roaming\m\flec006.exe"
Deleted ! "C:\Users\Denis\AppData\Roaming\drivers\srosa2.sys"
Deleted ! "C:\Users\Denis\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! "C:\Users\Denis\AppData\Roaming\drivers\winupgro.exe"
Deleted ! "C:\Users\Denis\AppData\Roaming\m"
Deleted ! "C:\Users\Denis\AppData\Roaming\drivers\downld"
Deleted ! "C:\Users\Denis\AppData\Roaming\drivers"

################## [ Cleaning .. Temp Files... ]

Deleted ! C:\Users\Denis\AppData\Local\Temp\Temp1_150409.zip\crac.exe
Deleted ! C:\Users\Denis\Local Settings\Temporary Internet Files\Content.IE5\MDMKLM1F\b64[1].jpg

################## [ Registry / Infected keys ]

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

################## [ Cleaning Removable drives ]

# Deleting Files :

################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

File ... : C:\Users\Denis\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : 65a95934
MD5 .... : 445079ca482e15689ee11780aac68951

Deleted ! : C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
# Taille : 847872 # MD5 : 445079CA482E15689EE11780AAC68951

Deleted ! : C:\Users\Denis\Desktop\crac.exe
# Taille : 847872 # MD5 : 445079CA482E15689EE11780AAC68951

################## [ ! End of Report # FindyKill V4.724 ! ]

A+

Réponse 404 / 717

Utilisateur anonyme
16 avril 2009 à 09:02

salut a tous : et il indique :

Microsoft Windows 7 Ultimate (6.1.7057 32-bit) #

DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
16 avril 2009 à 21:13

K1 merci, j'avais vu aussi :-)
On en a parlé avec Chiqui.
Il y a aussi un tit bug lors du redémarrage de explorer sur vista et seven x64.
C'est pas grave pour le moment.

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 405 / 717

Utilisateur anonyme
16 avril 2009 à 11:41

Salut Denis Olivier ,

Merci Denis encore pour les tests ;)

Olivier , pas de peh corrupted ... durant les tests .

J en profite pour te passer ce link.

C est la page que je suis en train de construire pour notre amis ;)

J ai revu ta video bagle vs reg .

Par contre il me manque 2 ico ( 1 2 que j ai en bmp mais pas en ico .

Bref je vais voir pour les convertir mais si t as les dropper je veux bien. ..

Enfin l idée est de donner un max d info . Il faut que je revois ma copie pour l edition des video car je ne maitrise pas encore les outils que j utilise.

Sinon j ai regardé le header.vbs et je ne pige pas pourquoi il met 64 en 32 ...

Bon app ;)

moe
16 avril 2009 à 19:09

Salut à tous et merci pour les tests Denis.

Cédric, je te fais passer les deux samples qui te manquent pour les icônes, ainsi qu'une version du script du Header à tester sur x64.
Des que je peux, je te ferais passer aussi un VBS qui regroupe tous ceux existant, ce sera surement plus pratique je suppose :-)

Pour les vidéos, en fait tout dépend de ce que je veux faire, en général j'utilise l'outil de capture vidéo intégré à VMWare puis je réencode ensuite le fichier *.avi obtenu en Xvid ou h.264 pour 'dégraisser' en taille.
Sinon je me sert aussi comme toi de Camtasia qui permet d'avoir de nombreux choix et paramétrages pour les formats de sortie de la capture (flash, avi, mov etc...) et à l'occasion de NetPlay InstantDémo/Wink pour une sortie en flash avec lequel il est plus facile d'apporter des annotations, commentaires ou mettre un peu d'interactivité.
En fait tout dépend de ce que tu veux faire...

Sincèrement, j'aime bien ton idée de vouloir consacrer une page avec des illustrations vidéos d'étapes de l'infection ou de l'utilisation de FYK car souvent les images sont bien plus parlantes que de longs discours :-)
Écoutes, je ne te promets rien car le temps me manque, mais dès que ce sera possible, j'essayerais de t'envoyer quelques vidéos, à toi ensuite de faire le tri par rapport à ce qui t'intéressera ou pas.
Si tu as une préférence pour que je les fasse sur un OS particulier, dis le moi.

Bon app et bonne soirée !

Réponse 406 / 717

Qc001 Messages postés 256 Date d'inscription samedi 11 février 2006 Statut Membre Dernière intervention 9 juillet 2009 17
16 avril 2009 à 20:12

Bonsoir les mordus ;)

Une icône qui semble manquer à la collection, de Janvier 2008 :
http://i538.photobucket.com/albums/ff348/Images-Secu/hldrrr.jpg

J'ai un échantillon ici :
http://senduit.com/d89c22
(je te refile le mdp par MP)

Beau travail vous deux :)

@+

Réponse 407 / 717

Utilisateur anonyme
17 avril 2009 à 06:33

Bonjours tout le monde ,

Qc001 , thanks pour le sample & ok pour le mdp ;)

Olivier , pour les videos , j ai commencé a faire mes armes avec camtasia hier , je te passe un premier aperçu :

http://pagesperso-orange.fr/FindyKill.Ad.Remover/video.html

elle est en flash car pour le site , c est ce qui va bien ;)

Je vais donc m occuper de faire celle de fyk (utilisation etc ) apres toi si t as des idées etc .... pour la page dediée a notre amis , pas de soucis . Ce qui serait bien serait de montrer l activité de bagle sur le pc ...

Apres une preference d os .... sur vista si ça te derange pas ;)

Aujourd hui je referais la video de ad pour en faire une version finale , apres si j ai le temps j attaquerai celle de fyk

Edit : Denis vient de tester l header et c est ok . Reunir tout les vbs c est une bonne idée aussi , dailleurs c est un peut pour ça que j avais fais Fyk_C

j ai aussi modifié bagle vs reg : http://pagesperso-orange.fr/FindyKill.Ad.Remover/informations.html

Bonne journée & have fun .

Réponse 408 / 717

Utilisateur anonyme
19 avril 2009 à 08:59

Bonjour tout le monde ,

Olivier , j ai mis 725 en ligne , j ai finalement décidé d afficher tout ce que kill FyK .
J ai aussi revu la partie autorun .. pour la mettre dans l esprit de usbfix.

Concernant celui ci , j ai aussi fait une maj (310) pour rectif UsbFix.reg et UsbReg.vbs.

J ai revu le site un petit peut , page d'acceuil etc .... je vais me mettre sur la video FyK dans la journée .

Bon dimanche à tous .

@+

Réponse 409 / 717

Utilisateur anonyme
19 avril 2009 à 10:01

Re Olivier ,

Une ancienne variante & 725 ici

moe
19 avril 2009 à 11:13

Salut à tous,

Cédric, de mon côté je n'ai eu le temps que de taffer sur le VBS, ce matin pour faire le regroupement.
Tu le trouveras ici.

Pour son utilisation :

-=-=-= HEADER

CSCRIPT.exe //NOLOGO Tools\FYK.vbs /Act:Header

-=-=-= USB

CSCRIPT.exe //NOLOGO Tools\FYK.vbs /Usb:F
CSCRIPT.exe //NOLOGO Tools\FYK.vbs /Usb:E

-=-=-= Avert

CSCRIPT.exe //NOLOGO Tools\FYK.vbs /Avert:F
CSCRIPT.exe //NOLOGO Tools\FYK.vbs /Avert:E
CSCRIPT.exe //NOLOGO Tools\FYK.vbs /Avert:C

Je n'ai pas inclu Usb_C qui est la copie conforme de Usb_E, donc pour l'instant la partie Usb n'est qu'en deux langues.
Tu pourras facilement le rajouter une fois la traduction faite.
J'en ai profité aussi pour corriger un bug dans la partie sensée détecter l'état du Firewall Windows sous Vista.

Le design du site prend belle tournure effectivement, manquerait juste un peu de zique pour accompagner les vidéos :-)
Chapeau bas en tout cas !

Bon dimanche et bonne continuation Cédric.

PS:
Merci pour le sample mais je me suis débrouillé pour le récupérer en bypassant le mdp :-P

Réponse 410 / 717

Utilisateur anonyme
19 avril 2009 à 12:10

Re Olivier ,

lol , Je me doutais bien pour le sample , mais bon ...

Ce vbs je le mettrai dans 726 , car je compte me remettre sur fyk after ....

Pour Usb_C en fait , j attendais la trad catalane de Criss, et faire d une pierre 2 coup mais je n ai pas de news de la personne concerné . D'ailleurs ça m'inquite ...

Breff , ça à pas mal avancé au niveau du site comme tu l a vu , mettre en zik c est prevu via julie et mon frere qui touche bien en gratte . Moi un peut mais c est pas encore ça ;)

Je pense que ensuite je prendrais un domaine , car c est pas vraiment cher et ça permettra de mettre en place un upload .....

Les pages persos elles , seront revue car je vais y coller usbfix . Donc il y aura une page acceuil et des redirections vers les 3 tools .

Voilou dans les grandes lignes ;)

pour les videos , y a pas le feu .

Have fun ;)

Réponse 411 / 717

Utilisateur anonyme
19 avril 2009 à 14:43

re ,

un test ici : http://pagesperso-orange.fr/FindyKill.Ad.Remover/index.html
;)

moe
20 avril 2009 à 21:05

Salut à tous,

Cédric, je viens juste de passer sur le site et une chose est sure, la musique crée une atmosphère toute particulière et perso je trouve que çà le fait !
Qu'on aime ou pas le côté 'Silent Hill' :-), faut reconnaitre que ça change énormément de ce qu'on a l'habitude de voir pour ce genre d'outils.
Du coup, ça m'a inspiré une sorte de "Keygen" assez particulier, mais je ne t'en dis pas plus, tu verras par toi-même :-), avec un p'tit clin d'oeil au passage à Julie côté zic.
Blague à part, j'espère que lorsque tu auras ton nom de domaine, tu conserveras ce type d'originalité pour tes pages !

Bonne semaine et bonne continuation.
++

Réponse 412 / 717

jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
19 avril 2009 à 15:20

bonjour, agréable la petite musique de la page d'acceuil !! lol !!

Utilisateur anonyme
19 avril 2009 à 15:43

c'est vrai, très agréable la musique

Réponse 413 / 717

Utilisateur anonyme
20 avril 2009 à 21:22

salut a tous terrible findyHill ;)

Réponse 414 / 717

Utilisateur anonyme
20 avril 2009 à 21:37

Bonsoir tout le monde ,

Olivier , joli keygen mdr . ça va me motiver pour me tester avec autoit pour l histoire de mettre fyk en zik aussi .

Au sujet des pages persos , j ai fais une premiere video de FyK mais je la referais cette semaine car je suis en train de faire 726 .

J ai installé seven aussi mais je n ai pas la bonne version , j en installerai une autre demain :

############################## [ FindyKill V4.725 ]

# User : Cedric (Administrators) # Cedric-pc
# Update on 19/04/09 by Chiquitine29
# Start at: 6:19:49 AM | 4/20/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# AMD Turion(tm) 64 X2 Mobile Technology TL-52
# Microsoft Windows 7 Ultimate (6.1.6801 32-bit) #
# Internet Explorer 8.0.6801.0
# Windows Firewall Status : Disabled

# C:\ # Local Fixed Disk # 50.43 Go (39.13 Go free) # NTFS
# D:\ # CD-ROM Disc
# E:\ # Removable Disk # 1.92 Go (1.88 Go free) [USBFIX] # FAT

Bonne soirée @ tous .

Réponse 415 / 717

jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
21 avril 2009 à 12:37

Salut Tchiki ;)

Sympa la video !

Réponse 416 / 717

Utilisateur anonyme
22 avril 2009 à 09:10

Bonjour tout le monde ,

Jfk , thanks ;)

Olivier , je te passe 726 Beta

Je n ai pas encore fait de test avec sous xp mais ça devrait bien se passer , j en ferais ce soir en rentrant .

Mais te gene pas pour en faire etc ;)

Bonne journée à tous .

moe
22 avril 2009 à 19:00

Salut Cédric

Le lien est désactivé... :-)

@++

Réponse 417 / 717

Utilisateur anonyme
22 avril 2009 à 19:24

Salut Olivier ,

Sorry pour le link mais le forum était en travaux ce matin , j ai meme pas fais attention que mon message était passé.

Je t ai mis la beta de ce matin , mais je pense que je vais laisser tomber car le defilement est trop rapide .

Donc j y ai mis aussi celle sur laquelle j ai commencé a taffer ce soir . Et un petit keygen qui fait pas de musique ou cas ou ;) .

Je m interroge sur notre amis car il ne download plus vraiment , par contre son champ d action au niveau du "patchage" a l air d avoir changé ... Un avis ?

Bon app .

moe
22 avril 2009 à 20:25

Salut Cédric,

Merci, c'est téléchargé.
Je regarderais la béta plus en détail demain car là je dois bouger.

Lol, à propos de mon keygen, essayes-le pendant une infection...
Lui au moins il n'infecte pas, mais détecte et en musique s'il vous plait ! :-P

Nan, plus sérieusement, j'ai vu effectivement que pendant quelques jours le download des zip était laborieux voire inexistant, mais pour ma part depuis hier c'est reparti comme d'hab ! Du moins sous XP.
Concernant la corruption de fichiers, sous Vista je n'ai fait qu'un test mais il m'a semblé qu'il y a une nouveauté au niveau des tentatives d'accès aux fichiers surveillés/corrompus, qui génère un autre message d'erreur.
Autre chose aussi au niveau de l'icône du fichier écrasé qui d'habitude prend celle de bagle, durant mon test le fichier après avoir été écrasé à conservé son icone d'origine, par contre en modifiant l'affichage du dossier en "détails" on pouvait voir l'icône du dropper bagle comme c'est le cas d'habitude...
Mais bon...Ce ne sont peut-être que des bugs car il faut dire aussi que juste avant de faire cet essai, j'avais testé une autre infection qui avait fait crasher la VM et après avoir désinfecté le snapshot j'ai embrayé direct sur bagle sans l'avoir réinitialisé, donc ceci explique peut-être les soucis qui ont suivi, lol.
Par contre sous XP et avec le même sample, l'infection semble se comporter comme d'habitude, y compris au niveau des corruptions PEH.
Mais toi, tu as rencontré quelles différences au niveau du "patchage" ?

Bonne soirée et @+ tard...

Réponse 418 / 717

Utilisateur anonyme
22 avril 2009 à 20:32

Re ,

Au niveau de la corruption j ai remarqué qu il s attaque a des exe different , sur ccm j ai vu ccleaner ko , et chez moi java (a jours) . En effet , ça fait 5 tests que je fais et pas de mdelk ni de dossier M etc .

Je termine de faire un peut le menage dans le cmd et je mettrais 726 en ligne .

Bonne soirée et rentre pas trop tard !! ;)

moe
23 avril 2009 à 12:59

Salut à tous,

Cédric, oublies ce que je te disais hier à propos du test sous Vista car c'était entièrement lié au crash qui avait précédé l'essai.
Depuis l'avant dernière variante il semble y avoir un certain temps "d'attente" avant qu'une partie de l'infection ne se télécharge, effectivement, pour ma part la dernière fois ça avait pris un/deux jours avant d'avoir le complet.
Au niveau de la 04, là par contre il n'y a pas vraiment de règles car Bagle ne s'attaque pas aux fichiers en fonction de leur nom, il scrute le registre et en particulier la clé HKCU et écrase ensuite un fichier selon ce qui se trouve dans la sous-clé clé run.
Donc vu que tous les utilisateurs n'ont pas forcément les même programmes installés, c'est normal que de temps à autre le fichier en question soit différent.
Par contre une chose est sure, plus le fichier se situera près de la racine du DD plus il aura une chance d'être shooté et ce, quelque soit son nom.
D'ailleurs pour mes tests lorsque je veux qu'un fichier en particulier soit shooté, je crée une entrée dans le registre dans les run et j'indique le chemin du fichier placé au préalable à la racine du disque.

Par exemple :

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Test"="C:\test.exe"

A chaque tests, c'est systématiquement ce fichier qui est pris pour cible, donc j'en déduis que Bagle procède dans un certain ordre lorsqu'il a le choix et privilégie le chemin le plus près de la racine.
Ensuite que le chemin lu dans le registre pointe vers un fichier qui existe réellement ou pas sur le dur, peut importe car Bagle soit : "écrasera" le fichier existant, soit créera une copie de lui même sous le nom lu dans le registre.
J'avais avant-hier essayé de faire une petite vidéo que je vais surement refaire car un peu trop longuette lol, mais si ça peut illustrer ce que je veux dire, jettes un oeil ici.

Bonne journée à tous !
++

Réponse 419 / 717

Utilisateur anonyme
22 avril 2009 à 20:58

Re Olivier , mon messenger a bien l icone du dropper , je vais mettre la maj en ligne .

Bonne soirée.

############################## [ FindyKill V4.726 ]

# User : Cédric (Administrateurs) # PC-DE-CÉDRIC
# Update on 22/04/09 by Chiquitine29
# Start at: 20:44:09 | 22/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# AMD Turion(tm) 64 X2 Mobile Technology TL-52
# Microsoft® Windows Vista™ Édition Intégrale (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16830
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | (!) Outdated ]

# C:\ # Disque fixe local # 155,29 Go (70,3 Go free) [Vista Intégrale] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 50,43 Go (50,34 Go free) [Seven] # NTFS
# F:\ # Disque fixe local # 27,16 Go (27,08 Go free) [Bordel Organisé] # NTFS

############################## [ Active Processes ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\PresentationSettings.exe

################## [ Infected Files \ Folders ]

Deleted ! "C:\Users\C‚dric\AppData\Roaming\drivers\srosa2.sys"
Deleted ! "C:\Users\C‚dric\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! "C:\Users\C‚dric\AppData\Roaming\drivers\winupgro.exe"
Deleted ! "C:\Users\C‚dric\AppData\Roaming\drivers\downld"
Deleted ! "C:\Users\C‚dric\AppData\Roaming\drivers"

################## [ Infected Temp Files ]

Deleted ! C:\Users\CDRIC~1\AppData\Local\Temp\Rar$EX00.067\Drop\key_generator.exe
Deleted ! C:\Users\CDRIC~1\AppData\Local\Temp\Rar$EX00.167\Drop\key_generator.exe
Deleted ! C:\Users\CDRIC~1\AppData\Local\Temp\Rar$EX00.516\Drop\key_generator.exe
Deleted ! C:\Users\CDRIC~1\AppData\Local\Temp\Rar$EX00.609\Drop\key_generator.exe
Deleted ! C:\Users\CDRIC~1\AppData\Local\Temp\Rar$EX00.861\Drop\key_generator.exe
Deleted ! C:\Users\CDRIC~1\AppData\Local\Temp\Rar$EX00.987\Drop\key_generator.exe
Deleted ! C:\Users\CDRIC~1\AppData\Local\Temp\Rar$EX01.499\Drop\key_generator.exe
Deleted ! C:\Users\CDRIC~1\AppData\Local\Temp\Rar$EX01.529\Drop\key_generator.exe
Deleted ! C:\Users\CDRIC~1\AppData\Local\Temp\Rar$EX01.621\Drop\key_generator.exe
Deleted ! C:\Users\CDRIC~1\AppData\Local\Temp\RarSFX0\crack.exe

################## [ Registry / Infected keys ]

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\key_generator
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\MsnMsgr
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"

################## [ Cleaning Removable drives ]

# Deleting Files :

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

File ... : C:\Users\C‚dric\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : e4ed0649
MD5 .... : bdd6331141d561d22a00b832ce6f6327

Deleted ! : C:\$Recycle.Bin\S-1-5-21-1273760358-1333101033-2432920335-1000\$RIPP4BV.exe
# Taille : 880640 # MD5 : BDD6331141D561D22A00B832CE6F6327

Deleted ! : C:\$Recycle.Bin\S-1-5-21-1273760358-1333101033-2432920335-1000\$RMRCVBK.exe
# Taille : 880640 # MD5 : BDD6331141D561D22A00B832CE6F6327

Deleted ! : C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
# Taille : 880640 # MD5 : BDD6331141D561D22A00B832CE6F6327

Deleted ! : C:\Users\Cédric\Desktop\Avast.Antivirus.4.6.Profesional.spanish-espaÃ±ol.+.keygen.por.TuNeM\key_generator.exe
# Taille : 851968 # MD5 : 1AEF463763B77AE46E5A00B6740556B5

Deleted ! : C:\Users\Cédric\Desktop\Avast.Antivirus.4.6.Profesional.spanish-espaÃ±ol.+.keygen.por.TuNeM.rar
Contain Avast.Antivirus.4.6.Profesional.spanish-espaÇñol.+.keygen.por.TuNeM\key_generator.exe [851968] with Bagle CRC32 : 1C692AEA

Deleted ! : C:\Users\Cédric\Desktop\Drop\Drop\key_generator.exe
# Taille : 880640 # MD5 : BDD6331141D561D22A00B832CE6F6327

Deleted ! : C:\Users\Cédric\Desktop\Drop\Drop.zip
Contain Drop\key_generator.exe [880640] with Bagle CRC32 : E4ED0649

Deleted ! : C:\Users\Cédric\Desktop\Drop.rar
Contain Drop\key_generator.exe [880640] with Bagle CRC32 : E4ED0649

Deleted ! : C:\Users\Cédric\Desktop\Epson Stylus Color 440 USB Driver 5.5AE.zip
Contain key_generator.exe [880640] with Bagle CRC32 : E4ED0649

################## [ Corrupted files # Re-Installation required ]

C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\licmgr.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe

################## [ ! End of Report # FindyKill V4.726 ! ]

Réponse 420 / 717

Utilisateur anonyme
22 avril 2009 à 23:51

salut Tchiki , mOe , K2 et les autres qui suivent :(si ca peut servir):

############################## [ FindyKill V4.726 ]

# User : g3n-h@ckm@n (Administrators) # DANY_ET_MIKE
# Update on 20/04/09 by Chiquitine29
# Start at: 10:47:09 PM | 4/22/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Intel(R) Pentium(R) 4 CPU 3.20GHz
# Microsoft Windows 7 Ultimate (6.1.7000 32-bit) #
# Internet Explorer 8.0.7000.0
# Windows Firewall Status : Disabled
# AV : Antivirus BitDefender 12.0 [ Enabled | Updated ]
# FW : Pare-feu BitDefender [ Enabled ]12.0

# A:\ # 3 1/2 Inch Floppy Drive
# C:\ # Local Fixed Disk # 13.98 Go (1.99 Go free) # NTFS
# D:\ # CD-ROM Disc
# E:\ # Removable Disk # 971.55 Mo (785.17 Mo free) # FAT32
# G:\ # Local Fixed Disk # 146.48 Go (110.09 Go free) [Musique] # NTFS
# H:\ # Local Fixed Disk # 188.85 Go (25.52 Go free) [Programmes] # NTFS

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## [ Infected File \ Folder ]

################## [ Infected Temp Files ]

################## [ Registre / Clés infectieuses ]

################## [ Recherche dans supports amovibles]

# Recherche fichiers connus :

################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.726 ! ]

Discussions similaires

1Go en Mo ou 100 Mo en Go comment convertir

A quoi correspond 1GB de mémoire en MO ?

Traduction MOE/MOA

1Go = 1024 Mo, pourquoi ?

1 go = ? Mo