Sujet Précédent Sujet Suivant

Bagle - de chiki a moe

Résolu/Fermé
Utilisateur anonyme - 21 janv. 2009 à 22:13
 Utilisateur anonyme - 8 nov. 2009 à 22:46
Salut moe ,

/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..

/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici

::

ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,

je sais pertinament qu il y a des points a voir , genre kill 04

choses qui a été démarré.. et ensuite a travailler ..

néanmoins je voulais parler avec toi d un point particulier

je pensais dans la prochaine maj faire apparaitre l id windows le sp ,

c est pas vraiment important , mais surtout l av , le firewall et voir l as


et dire si actif ou pas .. (ceci m importe)

bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,

combo , etc (vbs)

en outre j ai aucune notion en vbs , donc si on peut partager c cool

breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill

durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a

peut etre quelque choses a faire

ensuite je sais aussi que ceci n est pas tache evidente

j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi

c est a dire rendre les protections actives apres kill

au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend

je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..


courage pour le taff et encore merci pour les conseils etc
A voir également:

717 réponses

Précédent
Réponse 421 / 717
Utilisateur anonyme
23 avril 2009 à 10:15
Salut Gen ,

Une question , t as pas de dossier autorun.inf (de flash usbfix ou vaccin usb) sur C E G H ?
0
Réponse 422 / 717
Utilisateur anonyme
23 avril 2009 à 10:28
salut @ tous

non je n ai pas fait l option 2 c'est que l option 1

tu veux que je mette 2/3 fichiers dans chaque disque et que je passe l option 2 ?
0
Réponse 423 / 717
Utilisateur anonyme
23 avril 2009 à 10:30
Re , non ;)

Je voulais savoir si t avais vacciné tes disques avec flash ou autre , car fyk n a rien vu .
0
Réponse 424 / 717
Utilisateur anonyme
23 avril 2009 à 10:42
ok :) par curiosité j'ai quand meme fait ceci si ca peut t'aider :

23/04/2009 ---- 9:39:13,90

----------------------------------
§§§§§§ [Autorun] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


[HKEY_LOCAL_MACHINE\COMPONENTS\DerivedData\Components\x86_microsoft-windows-s..ccessagent-binaries_31bf3856ad364e35_6.1.7000.0_none_4e9a4504b0585ee7]
"f!autorun.inf"=hex:61,00,75,00,74,00,6f,00,72,00,75,00,6e,00,2e,00,69,00,6e,\

[HKEY_LOCAL_MACHINE\Schema\wcm://Microsoft-Windows-CommandPrompt?version=6.1.7000.0&language=neutral&processorArchitecture=x86&publicKeyToken=31bf3856ad364e35&versionScope=nonSxS&scope=allUsers\metadata\elements\HKCUAutorun]

[HKEY_LOCAL_MACHINE\Schema\wcm://Microsoft-Windows-CommandPrompt?version=6.1.7000.0&language=neutral&processorArchitecture=x86&publicKeyToken=31bf3856ad364e35&versionScope=nonSxS&scope=allUsers\metadata\elements\HKLMAutorun]

[HKEY_LOCAL_MACHINE\Schema\wcm://Microsoft-Windows-CommandPrompt?version=6.1.7000.0&language=neutral&processorArchitecture=x86&publicKeyToken=31bf3856ad364e35&versionScope=nonSxS&scope=allUsers\metadata\elements\HKUAutorun]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\EventHandlers\AutorunINFLegacyArrival]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\MSAutoRun]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\MSAutoRun]
"Provider"="<AutoRun>"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\MSAutoRun]
"InvokeVerb"="Autorun"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6FF025F0B00C0D14C8B06893C9E4B008]
"693B959F35E6D2B488FAB556AF9F4F5D"="C?\\Program Files\\BitDefender\\BitDefender 2009\\autoruns.gvm"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\AutoScan\AutoRunPatch]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\AutoScan\AutoRunPatch\{ced6b8f5-1107-43af-b172-4908e7439edc}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\AutoScan\AutoRunPatch\{ffcf421c-c5d5-411e-8eca-1e63f20e0191}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
"C:\\Program Files\\BitDefender\\BitDefender 2009\\autoruns.gvm"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cdrom]
"AutoRun"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cdrom]
"AutoRunAlwaysDisable"=hex(7):4e,45,43,20,20,20,20,20,4d,42,52,2d,37,20,20,20,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Disk]
"AutoRunAlwaysDisable"=hex(7):42,72,6f,74,68,65,72,20,52,65,6d,6f,76,61,62,6c,\

"DisplayName"="[Ht9kA][H?gh-Câ?àci?? ?l?þþÿ Ðìs? Ðr??e !!! !!! ]"
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cdrom]
"AutoRun"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cdrom]
"AutoRunAlwaysDisable"=hex(7):4e,45,43,20,20,20,20,20,4d,42,52,2d,37,20,20,20,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Disk]
"AutoRunAlwaysDisable"=hex(7):42,72,6f,74,68,65,72,20,52,65,6d,6f,76,61,62,6c,\

"DisplayName"="[Ht9kA][H?gh-Câ?àci?? ?l?þþÿ Ðìs? Ðr??e !!! !!! ]"
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdrom]
"AutoRun"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdrom]
"AutoRunAlwaysDisable"=hex(7):4e,45,43,20,20,20,20,20,4d,42,52,2d,37,20,20,20,\

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk]
"AutoRunAlwaysDisable"=hex(7):42,72,6f,74,68,65,72,20,52,65,6d,6f,76,61,62,6c,\

"DisplayName"="[Ht9kA][H?gh-Câ?àci?? ?l?þþÿ Ðìs? Ðr??e !!! !!! ]"
"AutoRun"=dword:00000000

[HKEY_USERS\S-1-5-21-338700507-701727514-4197509306-1001\Software\Microsoft\MediaPlayer\UIPlugins\{0776F107-F5A6-404B-9A78-7027FA6EAADD}]
"AttemptedAutoRun"=dword:00000001

[HKEY_USERS\S-1-5-21-338700507-701727514-4197509306-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{70f72132-f078-11dd-80d7-806e6f6e6963}\_Autorun]

[HKEY_USERS\S-1-5-21-338700507-701727514-4197509306-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{70f72132-f078-11dd-80d7-806e6f6e6963}\_Autorun\DefaultIcon]

*******************
[Fichier]
*******************

c:\IntelPRO\Autorun.exe
c:\IntelPRO\Autorun.inf
c:\IntelPRO\Autorun.ini
c:\Windows\BitLockerDiscoveryVolumeContents\autorun.inf
c:\Windows\winsxs\x86_microsoft-windows-s..ccessagent-binaries_31bf3856ad364e35_6.1.7000.0_none_4e9a4504b0585ee7\autorun.inf


*********************
[Même date]
*********************

[12/12/2008 ] ---> C:\Windows\system32\C_037.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10000.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10001.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10002.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10003.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10004.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10005.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10006.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10007.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10008.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10010.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10017.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10021.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10029.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10079.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10081.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_10082.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1026.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1047.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1140.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1141.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1142.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1143.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1144.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1145.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1146.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1147.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1148.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1149.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1251.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1252.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1253.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1254.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1255.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1256.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1257.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1258.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_1361.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20000.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20001.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20002.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20003.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20004.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20005.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20105.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20106.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20107.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20108.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20127.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20261.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20269.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20273.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20277.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20278.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20280.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20284.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20285.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20290.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20297.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20420.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20423.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20424.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20833.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20838.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20866.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20871.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20880.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20905.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20924.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20932.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20936.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_20949.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_21025.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_21027.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_21866.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_28591.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_28592.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_28593.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_28594.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_28595.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_28596.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_28597.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_28598.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_28599.NLS
[12/12/2008 ] ---> C:\Windows\system32\c_28603.nls
[12/12/2008 ] ---> C:\Windows\system32\C_28605.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_437.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_500.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_708.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_720.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_737.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_775.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_850.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_852.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_855.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_857.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_858.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_860.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_861.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_862.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_863.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_864.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_865.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_866.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_869.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_870.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_874.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_875.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_932.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_936.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_949.NLS
[12/12/2008 ] ---> C:\Windows\system32\C_950.NLS
[12/12/2008 ] ---> C:\Windows\system32\ctl3dv2.dll
[12/12/2008 ] ---> C:\Windows\system32\drivers\spldr.sys
[12/12/2008 ] ---> C:\Windows\system32\ega.cpi
[12/12/2008 ] ---> C:\Windows\system32\lanman.drv
[12/12/2008 ] ---> C:\Windows\system32\lzexpand.dll
[12/12/2008 ] ---> C:\Windows\system32\manage-bde.wsf
[12/12/2008 ] ---> C:\Windows\system32\netapi.dll
[12/12/2008 ] ---> C:\Windows\system32\olecli.dll
[12/12/2008 ] ---> C:\Windows\system32\onlinesetup.cmd
[12/12/2008 ] ---> C:\Windows\system32\pmspl.dll
[12/12/2008 ] ---> C:\Windows\system32\sysedit.exe
[12/12/2008 ] ---> C:\Windows\system32\ver.dll
[12/12/2008 ] ---> C:\Windows\system32\win87em.dll
[12/12/2008 ] ---> C:\Windows\winhelp.exe



Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 425 / 717
Utilisateur anonyme
23 avril 2009 à 10:45
Re , ok merci Gen , c est cool ;)

Bonne journée .
0
Réponse 426 / 717
Utilisateur anonyme
23 avril 2009 à 10:50
ok @+

pour l horloge le pc n est pas a l'heure (1h de -) c est normal
0
Réponse 427 / 717
Utilisateur anonyme
23 avril 2009 à 16:17
Salut Olivier ,

Instructive la video thanks ;) .

Ce soir je vais commencer a revoir l installeur de FyK pour faire plus joli . Pour le fun ;)

Et ce dimanche je verrais un peut le site , voir a y ajouter un second link de doload pour fyk. Le soucis c est le dossier de mes pages ... Je me galere un peut . En meme temps j ai pas regardé ça de près .

0
Réponse 428 / 717
Utilisateur anonyme
23 avril 2009 à 20:28
Re Olivier ,

Un nouveau Loop by Julie à l'acceuil .

Bon app à tous .
0
Réponse 429 / 717
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
23 avril 2009 à 20:29
Ce n'est plus Halloween ;)
0
Utilisateur anonyme
24 avril 2009 à 02:00
C'est l'horreur,
même.
Ca donne pas envie de rester connecter au site :\
Sinon pour le reste :)
0
Réponse 430 / 717
moe
23 avril 2009 à 21:47
Re,
Julie, si jamais un de ces 4 tu devais faire un morceau pour illustrer une vidéo concernant Bagle et que tu cherches un p'tit brin de provoc ou d'humour noir musical par rapport au thème de la vidéo, je te conseille de faire un p'tit tour ici :
http://www.keygenmusic.net/?lang=fr
Perso j'adore :-)
Au passage ce site devrait raviver quelques bons souvenirs aux oreilles de ceux qui ont eu entre les mains des machines genres Atari, commodore, Amstrad etc.. dans les années 80 :-)

@++
0
Réponse 431 / 717
Utilisateur anonyme
24 avril 2009 à 07:23
Bonjour tout le monde ,

J ai changé le loop de l'acceuil ...

Olivier , je passerai le mot a julie ce soir . Hier soir j ai fais une petite rectif de fyk pour le clean pour down downld etc (un oubli pas méchant) . Tu verras j ai commencé a modifier le setup , idem pour usbfix .

Bonne journée à tous .
0
moe
24 avril 2009 à 20:47
Salut Cédric,

Une petite remontée pour la 726, ligne 1471, tu as un "call Suivi" qui génère une p'tite erreur d'affichage (Call :Suivi).
Je viens aussi de voir tes modifs du setup de FYK, il est mieux comme çà effectivement, par contre l'image qu'il contient est assez lourde en taille (+-700 ko)...
L'installeur ne prend que du bitmap comme format d'image ?
En parlant de taille, le dossier tools commence à être assez chargé en fichiers qui ne servent plus !
Un p'tit coup d'balai te permettrait d'alléger considérablement le setup :-)
Sinon concernant l'infection, pour ma part flec006 et les zips ont encore du mal à arriver, c'est toujours le cas pour toi ou tu as réussi à avoir quelques samples depuis ?

Bonne soirée, @++
0
Réponse 432 / 717
Utilisateur anonyme
24 avril 2009 à 21:40
Salut Olivier ,

Ouep , je viens de mettre en ligne une maj de usbfix et je voulais passer un bout de soirée sur fyk .

Pour le bmp , je suis obligé , c est le seul format accepté . Il est vrai que 700 ko ça commence a faire ...

Le setup lui pese 1.7 mo , Bref je vais voir ça dans la soirée .

Pour flec , j ai le BB qui marine depuis hier soir , mais sans resultat . Je pense que je vais allumer la mule pour y faire un petit tour d horizon .

Bonne soirée également .
0
Réponse 433 / 717
Utilisateur anonyme
25 avril 2009 à 07:32
Bonjour tout le monde ,

Olivier , la mule à travaillé pour moi cette nuit .

@+
0
moe
25 avril 2009 à 10:03
Salut Cédric,

Merci !
Apparemment çà a rebougé au niveau l'icône par rapport a celle de ton sample, avec pour ma part toujours le DL des zips qui ne se fait pas...
Wait and see ! lol

Bon week-end et @++
0
Réponse 434 / 717
Utilisateur anonyme
25 avril 2009 à 10:17
Re , Olivier & thanks.

Idem pour mon sample , il est en place depuis 8H ce matin et nothing ...

Bon week end egalement .
0
Réponse 435 / 717
Utilisateur anonyme
25 avril 2009 à 20:09
Bonsoir Olivier ,

Je te passe Beta façon allégée .
Au sujet du bmp je peux construire le setup sans mettre le bmp dans tool ... ;)

Je me demandais si ne pas enlever process aussi , mais j ai pas testé .

J étais asbsent toute l apres midi , y a du nouveau chez toi ?
0
Réponse 436 / 717
Utilisateur anonyme
25 avril 2009 à 20:58
& re after test ,

tu feras attention dans la beta que je t ai passé l option 2 va direct a cleanB et en fin de kill y a un echo désactivé mais je sais pourquoi .

Sinon sans process ça se passe bien donc je pense que je vais l oter :

############################## [ FindyKill V4.727 ]

# User : Cédric (Administrateurs) # PC-DE-CÉDRIC
# Update on 23/04/09 by Chiquitine29
# Start at: 20:42:16 | 25/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# AMD Turion(tm) 64 X2 Mobile Technology TL-52
# Microsoft® Windows Vista™ Édition Intégrale (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16830
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | (!) Outdated ]

# C:\ # Disque fixe local # 155,29 Go (63,12 Go free) [Vista Intégrale] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 50,43 Go (50,34 Go free) [Seven] # NTFS
# F:\ # Disque fixe local # 27,16 Go (27,08 Go free) [Bordel Organisé] # NTFS

############################## [ Active Processes ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\PresentationSettings.exe

################## [ Infected Files \ Folders ]

Deleted ! C:\Windows\Prefetch\WINUPGRO.EXE-451D6010.pf
Deleted ! C:\Windows\Prefetch\WINUPGRO.EXE-A94EF572.pf
Deleted ! "C:\Users\C‚dric\AppData\Roaming\drivers\srosa2.sys"
Deleted ! "C:\Users\C‚dric\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! "C:\Users\C‚dric\AppData\Roaming\drivers\winupgro.exe"
Deleted ! "C:\Users\C‚dric\AppData\Roaming\drivers\downld"
Deleted ! "C:\Users\C‚dric\AppData\Roaming\drivers"

################## [ Infected Temp Files ]


################## [ Registry / Infected keys ]

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"

################## [ Cleaning Removable drives ]


################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]


# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

File ... : C:\Users\C‚dric\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : 7b58045e
MD5 .... : 0323ededbf4c93bdebdb9f9c6630659c

Deleted ! : C:\Program Files\Windows Live\Messenger\msnmsgr.exe
# Taille : 843776 # MD5 : 0323EDEDBF4C93BDEBDB9F9C6630659C

Deleted ! : C:\Users\Cédric\Desktop\25.04.2009.rar
Contain setup.exe [843776] with Bagle CRC32 : 7B58045E

Deleted ! : C:\Users\Cédric\Desktop\Bagle\install_patch.exe
# Taille : 847872 # MD5 : CDECCCB247E7E7ABE2C7310E209A1BB8

Deleted ! : C:\Users\Cédric\Desktop\Bagle.rar
Contain Bagle\install_patch.exe [847872] with Bagle CRC32 : E2C447E5

Deleted ! : C:\Users\Cédric\Desktop\Bagle.zip
Contain install_patch.exe [847872] with Bagle CRC32 : E2C447E5

Deleted ! : C:\Users\Cédric\Desktop\Sample\Antivirus.Nod32.-Xp.Y.Win.98-.Con.Cracks.-Ok-(1)\key_gen.exe
# Taille : 856064 # MD5 : 7A8104E7384B100F8AD845EFFF80D37C

Deleted ! : C:\Users\Cédric\Desktop\Sample\Antivirus.Nod32.-Xp.Y.Win.98-.Con.Cracks.-Ok-(1).zip
Contain key_gen.exe [856064] with Bagle CRC32 : BAF4DC44

Deleted ! : C:\Users\Cédric\Desktop\setup.exe
# Taille : 843776 # MD5 : 0323EDEDBF4C93BDEBDB9F9C6630659C

Deleted ! : C:\Users\Cédric\Desktop\Zoot 4.0 (Key).zip
Contain crac.exe [880640] with Bagle CRC32 : E4ED0649

Deleted ! : C:\Users\Cédric\Downloads\eMule\Incoming\Activation Norton Systemworks Premier 2006 + Cracks & Super Infos 2006 fr.zip
Contain install.exe [843776] with Bagle CRC32 : 7B58045E

Deleted ! : C:\Users\Cédric\Downloads\eMule\Incoming\Activation.McAfee.Internet.Security.2006.+.Cracks.&.Super.Infos.2006.zip
Contain key_gen.exe [847872] with Bagle CRC32 : E2C447E5

Deleted ! : C:\Users\Cédric\Downloads\eMule\Incoming\Activation.McAfee.VirusScan.Home.Edition.avec.Cracks.&.Super.News.2007.zip
Contain patch.exe [843776] with Bagle CRC32 : 7B58045E

Deleted ! : C:\Users\Cédric\Downloads\eMule\Incoming\Antivirus.Nod32.-Xp.Y.Win.98-.Con.Cracks.-Ok-\key_gen.exe
# Taille : 847872 # MD5 : CDECCCB247E7E7ABE2C7310E209A1BB8

Deleted ! : C:\Users\Cédric\Downloads\eMule\Incoming\Antivirus.Nod32.-Xp.Y.Win.98-.Con.Cracks.-Ok-.zip
Contain key_gen.exe [847872] with Bagle CRC32 : E2C447E5

Deleted ! : C:\Users\Cédric\Downloads\eMule\Incoming\Kaspersky.Internetsecurity.6.0.1.411.incl.working.cracks by LiFELiVE\install_patch.exe
# Taille : 847872 # MD5 : CDECCCB247E7E7ABE2C7310E209A1BB8

Deleted ! : C:\Users\Cédric\Downloads\eMule\Incoming\Kaspersky.Internetsecurity.6.0.1.411.incl.working.cracks by LiFELiVE.zip
Contain Kaspersky.Internetsecurity.6.0.1.411.incl.working.cracks by LiFELiVE\install_patch.exe [847872] with Bagle CRC32 : E2C447E5

Deleted ! : C:\Users\Cédric\Downloads\eMule\Incoming\Nod32 Antivirus (Windows XP) + Cracks.zip
Contain keygen.exe [856064] with Bagle CRC32 : 8695D7E8


################## [ Corrupted files # Re-Installation required ]

C:\Program Files\Avira\AntiVir Desktop\avadmin.exe
C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\avnotify.exe
C:\Program Files\Avira\AntiVir Desktop\guardgui.exe
C:\Program Files\Avira\AntiVir Desktop\licmgr.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\update.exe
C:\Program Files\Avira\AntiVir Desktop\wsctool.exe
C:\Users\Cédric\Desktop\ComboFix.exe

################################### [ Cracks / Keygens / Serials ]

C:\Users\C‚dric\Downloads\eMule\Incoming\[APP - ITA] ACCA,ufficius,primus,mantus,certus,edilus-CRACKS.rar

################## [ ! End of Report # FindyKill V4.727 ! ]

0
moe
25 avril 2009 à 22:23
Salut Cédric,

Merci pour la béta, je ferais un test de mon côté demain car là je dois bouger.
Toujours pas de nouveau depuis ce matin, non et je t'avoue que je commence à me poser des questions car depuis que je suis l'infection c'est la première fois que ça bloque à ce niveau.
En suivant les tentatives de connexion de winupgro, j'ai remarqué que la page recherchée sur des serveurs distants, à changée de nom par rapport aux dernières variantes :
Nom_du_site/ayz.php?crc=123
au lieu de l'habituel:
Nom_du_site/xyz.php?crc=123
Et je me demande s'il n'y a pas, soit un problème avec cette page ayz.php qui ne semble pas encore exister, soit une erreur de frappe lors du codage du sample ('a' à la place de 'x').
J'ai donc fait un petit test rapide en ce sens.
J'ai utilisé les URLS des tentatives de connexion de winupgro que j'ai modifié de cette façon, ce qui donne par exemple :
hxxp://edge-design.fr/ayz.php?crc=123
en :
hxxp://edge-design.fr/xyz.php?crc=123
Et là...Bingo ! Je tombe bien sur un B64.jpg piégé, qui est en fait l'ami flec006.exe :-)
J'ai donc pu faire poursuivre le cours de l'infection et constaté que le dossier shared se remplissait à nouveau.
Par contre les samples ainsi obtenus ont aussi le même problème...
Bizarre, bizarre et difficile de tirer une conclusion de ce petit test malgrès tout.

Bonne fin de soirée et @++
0
Réponse 437 / 717
Utilisateur anonyme
25 avril 2009 à 22:52
Re Olivier , comme dis Zaho : "c est chelou" ;)

Pour la maj je continuerai les test et fignolerai demain puis attendrai les tiens .

Passe une bonne soirée .
0
Réponse 438 / 717
moe
26 avril 2009 à 02:43
Re cédric,

Zahose pas y croire...
Nouveau sample obtenu par des moyens détournés et... mêmes problèmes ! :-)

@+tard...
0
Réponse 439 / 717
moe
26 avril 2009 à 11:37
Salut Cédric,

La 727 tourne correctement sous XP, pour moi c'est OK.
Effectivement process.exe n'est plus utile puisqu'il me semble que tu utilises pv.exe renommé et dans le lot tu peux aussi supprimer 7z.exe et izarce.exe qui ne servent plus.
Sinon toujours des soucis pour flec006 et les zips ?

De mon côté je me suis amusé à poursuivre le test d'hier soir, histoire de retrouver les sites qui hébergent les fichiers b64?.jpg (flec00? wintems & co).
J'en ai dénombré une 50aine qui hébergent chacun grosso modo une 20aine de fichiers.
Si ça t'intéresse je posterais les liens, pour certains l'index est directement accessible via le navigateur, pour les autre il suffira de copier/coller l'url du fichier que tu veux DL dans le navigateur.

Bon dimanche et @++
0
Réponse 440 / 717
Utilisateur anonyme
26 avril 2009 à 11:44
Re Olivier ,

Pour les links je veux bien , ça me faciltera la tache et non , j ai toujours pas m & co ... Je mettrai 727 en ligne cet aprem avec une maj usbfix tant qu a faire de faire lol .

Bon app & bon dimanche aussi ++
0

Discussions similaires

1Go en Mo ou 100 Mo en Go comment convertir
Utilisateur anonyme -
marie -

6 réponses
A quoi correspond 1GB de mémoire en MO ?
GameNine -
silvere112 -

3 réponses
Traduction MOE/MOA
charles -
Main Contractor -

20 réponses
1Go = 1024 Mo, pourquoi ?
Patalkok -
ddddddd -

6 réponses
1 go = ? Mo
NIF -
Med -

11 réponses