Sujet Précédent Sujet Suivant

Bagle - de chiki a moe

Résolu/Fermé
Utilisateur anonyme - 21 janv. 2009 à 22:13
 Utilisateur anonyme - 8 nov. 2009 à 22:46
Salut moe ,

/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..

/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici

::

ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,

je sais pertinament qu il y a des points a voir , genre kill 04

choses qui a été démarré.. et ensuite a travailler ..

néanmoins je voulais parler avec toi d un point particulier

je pensais dans la prochaine maj faire apparaitre l id windows le sp ,

c est pas vraiment important , mais surtout l av , le firewall et voir l as


et dire si actif ou pas .. (ceci m importe)

bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,

combo , etc (vbs)

en outre j ai aucune notion en vbs , donc si on peut partager c cool

breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill

durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a

peut etre quelque choses a faire

ensuite je sais aussi que ceci n est pas tache evidente

j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi

c est a dire rendre les protections actives apres kill

au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend

je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..


courage pour le taff et encore merci pour les conseils etc
A voir également:

717 réponses

Précédent
Réponse 561 / 717
Utilisateur anonyme
6 juin 2009 à 18:26
Salut Olivier , je suis en train d effectuer les modifs sur fyk

Pour la recherche des 04 & co dans l option 1, j hesite un peut car chez moi la vitesse d execution n est pas vraiment bonne ...

néanmoin avec les modifs , la detection est tres correct ;)



############################## | FindyKill V5.001 |

# User : Cedric (Administrateurs) # PC-DE-CEDRIC
# Update on 04/06/09 by Chiquitine29
# Start at: 18:12:36 | 06/06/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# AMD Turion(tm) 64 X2 Mobile Technology TL-52
# Microsoft® Windows Vista™ Édition Intégrale (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16830
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# C:\ # Disque fixe local # 232,88 Go (179,09 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 953,73 Mo (897,48 Mo free) [FINDYKILL] # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\svchost.exe
C:\Program Files\filehippo.com\UpdateChecker.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\eMule\emule.exe
C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\conime.exe
C:\Users\Cedric\AppData\Roaming\m\flec006.exe
C:\Windows\system32\wintems.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchFilterHost.exe

############################## | Processus infectieux stoppés |

"C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe" (2436)
"C:\Users\Cedric\AppData\Roaming\m\flec006.exe" (4036)
"C:\Windows\system32\wintems.exe" (1488)

################## | C: |


################## | C:\Windows |

Présent ! C:\Windows\Prefetch\549919.EXE-D3ACB982.pf
Présent ! C:\Windows\Prefetch\FLEC006.EXE-348C38F3.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-1DD71F4D.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-416579F5.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-50E77395.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-69568E06.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-9ED86039.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-A4957157.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-DB2B4DAB.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-DCCE7987.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-F039A35F.pf
Présent ! C:\Windows\Prefetch\WINTEMS.EXE-9889BB0E.pf

################## | C:\Windows\system32 |

Présent ! C:\Windows\system32\ban_list.txt
Présent ! C:\Windows\system32\mdelk.exe
Présent ! C:\Windows\system32\wintems.exe

################## | C:\Windows\system32\drivers |


################## | C:\Users\Cedric\AppData\Roaming |

Présent ! C:\Users\Cedric\AppData\Roaming\drivers
Présent ! C:\Users\Cedric\AppData\Roaming\drivers\111wfs1intwq.sys
Présent ! C:\Users\Cedric\AppData\Roaming\drivers\11s11ro1s1a2.sys
Présent ! C:\Users\Cedric\AppData\Roaming\drivers\downld
Présent ! C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe
Présent ! C:\Users\Cedric\AppData\Roaming\m
Présent ! C:\Users\Cedric\AppData\Roaming\m\data.oct
Présent ! C:\Users\Cedric\AppData\Roaming\m\flec006.exe
Présent ! C:\Users\Cedric\AppData\Roaming\m\list.oct
Présent ! C:\Users\Cedric\AppData\Roaming\m\srvlist.oct
Présent ! C:\Users\Cedric\AppData\Roaming\m\shared

################## | Autres ... |

# Références de comparaison Bagle MD5 :

File : C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe
-> Crc32 : 79aabc53 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\AppData\Local\Temp\Rar$EX00.120\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\AppData\Local\Temp\Rar$EX00.387\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\AppData\Local\Temp\Rar$EX00.747\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\Desktop\Xilisoft MP4 Converter 5.1.23.0515\"keygen.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\derB\NOD32 Antivirus System v2.51.8 + manuals and Crack\"serial.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\derB\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Advanced Call Center 6.0.1.701 Crack\"install_crack.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Advanced_CSV_To_PDF_Table_Converter_1.1_(With_Crack)\"install_crack.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Aom_iPod_Video_Converter_1.20_(Crack)\"install.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\AptiStock_1.06_(Crack)\"install.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Bay_Reflections_Screen_Saver_1.0_With_Crack\"crac.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Citisoft_Outlook_Express_Backup_2_[Crack]\"install_patch.exe""
-> Size : 864256 | Md5 : 9a542cbb28329de541edbbc6888d272c

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\COMM-DRV++_1.0_[With_Crack]\"patch.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\DV_Mixer_Pro_1.1_[Crack]\"install_crack.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\EZ UnZIP 2.0.2 [Crack]\"crac.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\FlexCell_Grid_Control_for_.NET_2.0_2.4.0_[Crack]\"setup.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Fontastic_2.40_[With_Crack]\"install.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Go-Go_Quotations_1.203_(With_Crack)\"install_crack.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\IISxpress_2.0_(With_Crack)\"patch.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\KeyDB_1.50.03_(With_Crack)\"install.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\La Boss Key 2.3 With Crack\"install_patch.exe""
-> Size : 864256 | Md5 : 9a542cbb28329de541edbbc6888d272c

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\MailBee WebMail Lite ASP 4.0 [Crack]\"install.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\N'keybDrum_1.2.6_Crack\"key_generator.exe""
-> Size : 864256 | Md5 : 9a542cbb28329de541edbbc6888d272c

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Network_Malware_Cleaner_1.9_[Crack]\"install.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\New_York_Times_Reader_1.0.1.0_(With_Crack)\"run.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\NOD32.Anti-Virus.System.Personal.v.2.51.26.Spanish.+.Crack.NOD.Fix.v.2.1\"serial.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\NoD32_All.language_for.XP_3.22.Vers+.CrAcK.by.LupUs\"crac.exe""
-> Size : 864256 | Md5 : 9a542cbb28329de541edbbc6888d272c

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\PDF_Image_Extract_Software_7.0_[With_Crack]\"key_generator.exe""
-> Size : 864256 | Md5 : d3dd0655727e061ad8746edeae7a5d8a

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\PhotoUtil_1.1_(Crack)\"serial.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\PortelloBasic Online SiteEditor 1.10.0003 (Crack)\"install_crack.exe""
-> Size : 864256 | Md5 : 9a542cbb28329de541edbbc6888d272c

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\RamActive_2.5_(Crack)\"patch.exe""
-> Size : 864256 | Md5 : 9a542cbb28329de541edbbc6888d272c

Bagle ! "C:\Program Files\Windows Live\Messenger\"msnmsgr.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\Desktop\derB.zip"
-> Contain keygen.exe [851968] | with Bagle Crc32 : 79aabc53

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\bG_Monitor_XM_2.0.105_(Crack).zip"
-> Contain key_gen.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Flash Retriever 1.01 [With Crack].zip"
-> Contain install.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Network Console 7.10.156 With Crack.zip"
-> Contain key_gen.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\PostShield 2.0.0.9 Crack.zip"
-> Contain key_gen.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Roleplaying_Assistant_7.13_(Crack).zip"
-> Contain patch.exe [864256] | with Bagle Crc32 : ae0e5dcf

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\SpotFTP Password Recover 1.2 (With Crack).zip"
-> Contain setup.exe [864256] | with Bagle Crc32 : 08f4e291

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\VDAFS_TO_DXF_Converter_&_Viewer_1.4_[Crack].zip"
-> Contain crac.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\VideoCharge_3.9.1.06_[Crack].zip"
-> Contain run.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Visual_Job_Manager_1.0.0.1_(Crack).zip"
-> Contain run.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Wallpaper Recycler 3.5.0 ES Crack.zip"
-> Contain run.exe [868352] | with Bagle Crc32 : 1aeb07b8

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\derB\NOD32 Antivirus System v2.51.8 + manuals and Crack\NOD32 Antivirus System v2.51.8 + manuals and Crack.zip"
-> Contain serial.exe [851968] | with Bagle Crc32 : 79aabc53

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Aom_iPod_Video_Converter_1.20_(Crack)\Aom_iPod_Video_Converter_1.20_(Crack).zip"
-> Contain install.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\AptiStock_1.06_(Crack)\AptiStock_1.06_(Crack).zip"
-> Contain install.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Bay_Reflections_Screen_Saver_1.0_With_Crack\Bay_Reflections_Screen_Saver_1.0_With_Crack.zip"
-> Contain crac.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\COMM-DRV++_1.0_[With_Crack]\COMM-DRV++_1.0_[With_Crack].zip"
-> Contain patch.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\EZ UnZIP 2.0.2 [Crack]\EZ UnZIP 2.0.2 [Crack].zip"
-> Contain crac.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\FlexCell_Grid_Control_for_.NET_2.0_2.4.0_[Crack]\FlexCell_Grid_Control_for_.NET_2.0_2.4.0_[Crack].zip"
-> Contain setup.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Fontastic_2.40_[With_Crack]\Fontastic_2.40_[With_Crack].zip"
-> Contain install.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\IISxpress_2.0_(With_Crack)\IISxpress_2.0_(With_Crack).zip"
-> Contain patch.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Intervention_Assistant_1.0_(With_Crack)\Intervention_Assistant_1.0_(With_Crack).zip"
-> Contain key_gen.exe [868352] | with Bagle Crc32 : 1aeb07b8

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\KeyDB_1.50.03_(With_Crack)\KeyDB_1.50.03_(With_Crack).zip"
-> Contain install.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\MailBee WebMail Lite ASP 4.0 [Crack]\MailBee WebMail Lite ASP 4.0 [Crack].zip"
-> Contain install.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Network_Malware_Cleaner_1.9_[Crack]\Network_Malware_Cleaner_1.9_[Crack].zip"
-> Contain install.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\New_York_Times_Reader_1.0.1.0_(With_Crack)\New_York_Times_Reader_1.0.1.0_(With_Crack).zip"
-> Contain run.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\NOD32.Anti-Virus.System.Personal.v.2.51.26.Spanish.+.Crack.NOD.Fix.v.2.1\NOD32.Anti-Virus.System.Personal.v.2.51.26.Spanish.+.Crack.NOD.Fix.v.2.1.zip"
-> Contain serial.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\NoD32_All.language_for.XP_3.22.Vers+.CrAcK.by.LupUs\NoD32_All.language_for.XP_3.22.Vers+.CrAcK.by.LupUs.zip"
-> Contain crac.exe [864256] | with Bagle Crc32 : ae0e5dcf

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\PhotoUtil_1.1_(Crack)\PhotoUtil_1.1_(Crack).zip"
-> Contain serial.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\RamActive_2.5_(Crack)\RamActive_2.5_(Crack).zip"
-> Contain patch.exe [864256] | with Bagle Crc32 : ae0e5dcf


################## | C:\Users\Cedric\Temporary Internet Files |

Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JAWYDMGD\b64_1[1].jpg
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JAWYDMGD\b64_1[2].jpg
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JAWYDMGD\b64_3[1].jpg
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JAWYDMGD\file[1].txt
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\N8ASFM9G\b64[1].jpg
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\N8ASFM9G\b64_3[1].jpg
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\OA4WH8M4\b64_3[1].jpg
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\PYC90E6B\b64_3[1].jpg
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\PYC90E6B\b64_6[1].jpg

################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\DateTime4]
Présent ! [HKCU\Software\MuleAppData]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\bisoft]
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\DateTime4]
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\FFC]
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\MuleAppData]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\key_generator]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\Local AppWizard-Generated Applications\key_generator]
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# (!) Uac = 0x0

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) windefend -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

# Présent ! E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## | ! Fin du rapport # FindyKill V5.001 ! |

0
Réponse 562 / 717
Utilisateur anonyme
6 juin 2009 à 18:30
Salut Olivier ,

J ai attaqué les modifs . J hesite à a jouter la recherche de 04 & co dans l option 1 car la vitesse d execution , chez moi , n est pas vraiment bonne .

Néanmoins , avec les modifs la detection est tres correct ;)

Rapport
0
Réponse 563 / 717
Utilisateur anonyme
6 juin 2009 à 20:04
bonjour à tous

une question me tarabuste l'esprit :

tu as cliqué 9 fois sur le K_G ou il s'est surmultiplié dans le prefetch Cédric ?
0
Réponse 564 / 717
Utilisateur anonyme
7 juin 2009 à 11:03
Bonjour tout le monde ,

@ Pascal , oui c est le cas .

Olivier , j ai refais des tests hier soir :


############################## | FindyKill V5.001 |

# User : Cedric (Administrateurs) # PC-DE-CEDRIC
# Update on 04/06/09 by Chiquitine29
# Start at: 20:50:20 | 06/06/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# AMD Turion(tm) 64 X2 Mobile Technology TL-52
# Microsoft® Windows Vista™ Édition Intégrale (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16830
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# C:\ # Disque fixe local # 232,88 Go (178,2 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 953,73 Mo (897,48 Mo free) [FINDYKILL] # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\PresentationSettings.exe

################## | C: |


################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\144940.EXE-5CAD1FF7.pf
Supprimé ! C:\Windows\Prefetch\82196.EXE-B3895CB3.pf
Supprimé ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-3499FC44.pf
Supprimé ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-4B3C7055.pf
Supprimé ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-55227434.pf
Supprimé ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-60292666.pf
Supprimé ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-BE0A22D8.pf
Supprimé ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-D478E968.pf
Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-FEC4B87E.pf

################## | C:\Windows\system32 |

Supprimé ! C:\Windows\system32\mdelk.exe
Supprimé ! C:\Windows\system32\wintems.exe

################## | C:\Windows\system32\drivers |


################## | C:\Users\Cedric\AppData\Roaming |

Supprimé ! C:\Users\Cedric\AppData\Roaming\drivers\111wfs1intwq.sys
Supprimé ! C:\Users\Cedric\AppData\Roaming\drivers\11s11ro1s1a2.sys
Supprimé ! C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe
Supprimé ! C:\Users\Cedric\AppData\Roaming\m\data.oct
Supprimé ! C:\Users\Cedric\AppData\Roaming\m\flec006.exe
Supprimé ! C:\Users\Cedric\AppData\Roaming\m\list.oct
Supprimé ! C:\Users\Cedric\AppData\Roaming\m\srvlist.oct
Supprimé ! C:\Users\Cedric\AppData\Roaming\drivers\downld
Supprimé ! C:\Users\Cedric\AppData\Roaming\drivers
Supprimé ! C:\Users\Cedric\AppData\Roaming\m\shared
Supprimé ! C:\Users\Cedric\AppData\Roaming\m

################## | Autres ... |

# Références de comparaison Bagle MD5 :

File : C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe
-> Crc32 : 79aabc53 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Supprimé ! "C:\Users\Cedric\AppData\Local\Temp\Rar$EX00.243\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Supprimé ! "C:\Users\Cedric\AppData\Local\Temp\Rar$EX00.713\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Supprimé ! "C:\Users\Cedric\AppData\Local\Temp\Rar$EX00.903\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Supprimé ! "C:\Users\Cedric\AppData\Local\Temp\Rar$EX01.132\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Supprimé ! "C:\Program Files\Windows Live\Messenger\"msnmsgr.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Supprimé ! "C:\Users\Cedric\Downloads\eMule\Incoming\Kernel_Exchange_OST_Recovery_Software_7.05.01_[With_Crack].zip"
-> Contain run.exe [868352] | with Bagle Crc32 : 48cae4e4

Supprimé ! "C:\Users\Cedric\Downloads\eMule\Incoming\Tweak O Matic 1.4.0.0 (With Crack).zip"
-> Contain setup.exe [868352] | with Bagle Crc32 : 48cae4e4


################## | Temporary Internet Files |

Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JAWYDMGD\b64_3[1].jpg
Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JAWYDMGD\b64_6[1].jpg
Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JAWYDMGD\file[1].txt
Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\N8ASFM9G\b64_1[1].jpg
Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\N8ASFM9G\b64_3[1].jpg
Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\OA4WH8M4\b64[1].jpg
Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\OA4WH8M4\b64_3[1].jpg
Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\PYC90E6B\b64_1[1].jpg

################## | Registre / Clés infectieuses |

Supprimé ! [HKCU\Software\bisoft]
Supprimé ! [HKCU\Software\DateTime4]
Supprimé ! [HKCU\Software\MuleAppData]
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Supprimé ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\FFC]
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\key_generator]
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

# Présent ! E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## | Test SniffC |

Corrupted : C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
[Offset = 00000104 - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
[Offset = 0000010C - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\avguard.exe
[Offset = 00000104 - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\licmgr.exe
[Offset = 00000104 - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\sched.exe
[Offset = 0000010C - Value = 0x0001]

Aucun fichier corrompu détecté.

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.001 ! |

Je te passe FyK avec les rectifs .

Pour sniffC , perso moi ça me vas ainsi , sauf qu il faudrait que l exe affiche les infos en anglais ..

Pour le scan des O4 & co dans l option1 , j ai exclu winupgro et flec et %windir% ....

Enfin voila .

Bonne fete aux mamans & Bonne journée .

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 565 / 717
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
7 juin 2009 à 12:48
Chiquitine29 bonjour, rien à voir avec les remontées mais il me semble avoir lu que tu étais cuisinier alors chapeau car si tu cuisines aussi bien que tu nous mijotes des outils donnes nous l'adresse de ton restaurant !!!
0
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
7 juin 2009 à 13:47
Olà ;-)

Alors là Jacques, je te met uña estrella ;-)))

ps) Hello Moe, hello tout le monde ;-)

La traduc' est partie :-)

Je vais vais faire tester FK dans mon entourage ( Lusophone ), s'il y a des améliorations a faire, pas de soucis ...
J'apporterais les corrections ;-)
0
Réponse 566 / 717
moe
7 juin 2009 à 13:01
Salut Cédric

J'espère que tu as profité au max de ta journée à la plage avec ton amie :-)

La détection à l'air plutôt pas mal en effet et même si izarce complique la tâche quelques fois pour les zips ce n'est pas capital.

SniffC à l'air d'avoir bien fonctionné chez toi, mis à part le "Aucun fichier corrompu détecté" dans le rapport. :-)
Je viens donc d'apporter quelques corrections à cette version de démo pour que tu puisses l'intégrer plus facilement.
Le fichier $PEC sera le fichier rapport qui sera crée dans le même dossier que sniffC en cas de détection positive et j'ai retiré son ouverture avec notepad en fin de scan car c'était juste pour faciliter les tests.
Ensuite j'ai bridé volontairement les réparations aux exe corrompus situés dans C:\windows et ses sous-dossiers afin d'éviter la réparation de ceux liés aux progs de sécurité qu'il vaut mieux faire réinstaller.
Disons que c'est le meilleur compromis que j'ai pu trouver après reflexion.
Je ne sais pas si tu as pu tester la réparation et si elle s'est bien passé, mais si tu as du mal à avoir un exe corrompu dans %windir%, avant de lancer l'infection place une copie d'un exe d'antivir dans un sous-dossier de c:\windows histoire d'avoir un aperçu.

Concernant la trad, je peux détecter la langue qui est utilisée sur le pc et adapter les termes en fonction, mais pour celà il me faudrait leur traduction dans les langues que tu souhaites...
Voilà les termes qui peuvent être rencontrés :

Tentative de réparation...
Sauvegarde
Valeur
Nouvelle valeur
Erreur lors de la tentative de réparation....
Fichier réparé avec succès.
Le fichier n'a pas pu être réparé.

T'es pas obligé de les garder tel quel Cédric et tu peux adapter en fonction de la facilité de traduction.
L'affichage dans le rapport d'une réparation donne ceci pour l'instant: 
Corrompu : C:\WINDOWS\system32\dllcache\sysinfo.exe
[Offset = 000000E4 - Valeur = 0x0001]

Tentative de réparation...
Sauvegarde : C:\WINDOWS\system32\dllcache\sysinfo.exe.REN
[Offset = 000000E4 - Nouvelle Valeur = 0x4C01]
Fichier réparé avec succès.

Si cet affichage te va, fais moi passer les traducs dans les différentes langues des termes ci-dessus, sinon dis-moi comment toi tu le vois et avec quels termes.
Ensuite j'adapterais et te ferais passer la version de sniffC finale.

Concernant la recherche de 04 & co dans l option 1, c'est vrai que ça impliquerait un double scan en cas d'infection et que effectivement ça peut-être très long à chaques fois.
La solution pourrait être alors de prévoir dans une future maj, la fusion du mode recherche et suppression, c'est à dire un seul passage avec reboot et nettoyage que si nécessaire...
Dans ce cas toutes les infos sans exceptions serait visibles dans le rapport et en un seul scan...
Merci pour la version corrigée en tout cas,je vais la regarder de plus près cet aprem.

Au fait est-ce que tu traite cette clé, car il ne me semble pas l'avoir vue mentionnée ?
HKEY_CURRENT_USER\Software\Microsoft\Windows\UI | KEY540534


Je te remercie pour m authoriser a exploiter fyks.exe , c est super sympa ;)
Arff...J'autorise rien du tout lol...En ce qui me concerne ça coule de source :-), il a été crée uniquement pour fyk et c'est tout à fait normal que le code et son exploitation te revienne.
J'en profite d'ailleurs pour remercier Crash Daemonicus pour les sources qu'il a diffusé publiquement et desquelles je me suis largement inspiré pour l'ossature de ce mini-scanner...Thanks for sharing :-)

Passe un bon dimanche.
@+ tard...
0
Réponse 567 / 717
Utilisateur anonyme
7 juin 2009 à 13:49
Salut Olivier ,

Tu as le Bonjour de Jorghino et cyril ;)

Je les remercie pour la trad :


##################"

1 Tentative de réparation...
2 Sauvegarde
3 Valeur
4 Nouvelle valeur
5 Erreur lors de la tentative de réparation....
6 Fichier réparé avec succès.
7 Le fichier n'a pas pu être réparé.

#################


1 Attempt of repair...

2 Backup

3 Value

4 New value

5 Error during attempt of repair....

6 File repaired successfully.

7 File cannot be repaired.

##############


1 Tentativa de reparação...

2 Backup

3 Valor

4 Novo Valor

5 Erro ao tentar reparar ....

6 Arquivo reparado com sucesso.


7 O arquivo não foi reparado.

#################


Pour SniffC ça me va parfaitement .

J avais pas fait attention a cette clé ;) honte a moi lol ;)

Merci , je vais l ajouter et attendrait sniffc pour publier la maj


C est vrai qu il serait possible de fusionner sniffB et cleanB , ça represente quelques changements .. mais pourquoi pas .

C est a refléchir ;)

@ Jacques ,

Salut Jacques , je ne vais pas donner le nom du restaurant dans lequel je vais bosser ....j espere que tu comprend pourquoi ;)


@ + tard .

0
Réponse 568 / 717
moe
7 juin 2009 à 15:00
Re ! et salut à Jorghino et cyril :-)

Merci pour les trads, elles ont été incluses.

Il me reste juste un doute pour le mot corrompu traduit en Portugais :
Lequel est le plus juste : Corrompido, Subornar ou Corrupto ?

Dès que j'ai la réponse, je compile et t'envoie sniffB version finale.

La trad en portugais sera faite automatiquement lorsque les types de langues suivantes seront détectées :

0416 Portuguese_Brazilian
0816 Portuguese_Standard

Et en français pour :

040c French_Standard
080c French_Belgian
0c0c French_Canadian
100c French_Swiss
140c French_Luxembourg
180c French_Monaco

Pour le reste, se sera in english :-)

@++
0
Réponse 569 / 717
Utilisateur anonyme
7 juin 2009 à 16:19
re Olivier ,

J ai mp Jo .....


SniffC fait son taff ;)


Corrupted : C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
[Offset = 00000104 - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
[Offset = 0000010C - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\avguard.exe
[Offset = 00000104 - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\licmgr.exe
[Offset = 00000104 - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\sched.exe
[Offset = 0000010C - Value = 0x0001]

Corrupted : C:\Windows\SoftwareDistribution\Download\a97df28e52d56c468f772bb7aab8028c\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6000.16420_none_55c0ce805b18c568\MSASCui.exe
[Offset = 000000E4 - Value = 0x0001]

Tentative de réparation...
Création sauvegarde : C:\Windows\SoftwareDistribution\Download\a97df28e52d56c468f772bb7aab8028c\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6000.16420_none_55c0ce805b18c568\MSASCui.exe.REN
[Offset = 000000E4 - New Value = 0x4C01]
Fichier réparé avec succès.


Corrupted : C:\Windows\SoftwareDistribution\Download\a97df28e52d56c468f772bb7aab8028c\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6000.20516_none_565b3cf37428e14b\MSASCui.exe
[Offset = 000000E4 - Value = 0x0001]

Tentative de réparation...
Création sauvegarde : C:\Windows\SoftwareDistribution\Download\a97df28e52d56c468f772bb7aab8028c\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6000.20516_none_565b3cf37428e14b\MSASCui.exe.REN
[Offset = 000000E4 - New Value = 0x4C01]
Fichier réparé avec succès.


Corrupted : E:\Virii\VIRUS COLLECTION\VIRUS VB [EXE]\Virus_Maker\Register.exe
[Offset = 000000BC - Value = 0x0001]

là je suis en train de refaire le tuto .

@ + tard
0
Réponse 570 / 717
Utilisateur anonyme
7 juin 2009 à 20:14
Re Olivier ,

Jo leve le doute ;) : Corrupto

++
0
Réponse 571 / 717
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
7 juin 2009 à 20:20
Hello

Du coup, un doute m' envahi...

En fait, corrompido irà mieux...

Corrupto est plutot a employer pour quelque chose/quelqu'un corrompu dès le début

En l'occurance, pour un fichier ( qui a été modifier sans autorisation ) corrompido sera plus approprié

;-)

0
Réponse 572 / 717
moe
7 juin 2009 à 20:55
Re,

Merci jorginho67 pour ces précisions.
De mon côté j'avais fait quelques recherches en attendant ta confirmation, et sur le forum de la linha par exemple c'est aussi le terme qui revenait à chaque fois pour désigner la corruption d'un fichier...
Parfait donc, la modif a été faite en ce sens et je vous fait passer la version finale de sniffC

Cédric, tu as encore quelques soucis avec la partie :md5 en option fix...
Je te laisse faire toi même la comparaison ligne par ligne avec le code que je t'ai passé hier :
http://www.commentcamarche.net/forum/affich 10626127 bagle de chiki a moe?page=28#731

Sinon le scan en option recherche à crashé et cette fois c'est :SniffMd5 qui est concerné, voilà la correction :

:SniffMd5

if "%~1"=="" goto :eof
if "%~2"=="" goto :eof

set tfa=%~1
set tfa=%tfa:~0,-1%

FOR /f "tokens=1" %%g in ('tools\fsum.exe -s -md5 -jnc -d"%tfa%" "%~2"') do find /i "%%g"<Tools\RefMD5.def>nul &&(
echo.Bagle ! "%tfa%\%~2" >> %Rapport%
echo -^> Size : %%~za ^| Md5 : %%g >> %Rapport%
echo.>> %Rapport%
)

set tfa=
goto :eof


Voilà, une fois ces derniers détails corrigés, ça me semble être une maj du tonnerre :-)

Passez tous une bonne fin de soirée.

@++
0
Réponse 573 / 717
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
7 juin 2009 à 21:08
Bonjours @ tous

une personne affirme avoir une infection bagle j'ai demandé fyk et il ne trouve rien

Le lien si besoin...

http://www.commentcamarche.net/forum/affich 12781061 infection bagle au secours?#5

Une idée ?
0
Réponse 574 / 717
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
7 juin 2009 à 21:22
Bonjour,

elle n'est pas infectée par Bagle.

Fais une analyse sérieuse de l'état du système (RSIT ou OTL).
0
Réponse 575 / 717
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
7 juin 2009 à 21:47
ok merci ;)
0
Réponse 576 / 717
Utilisateur anonyme
8 juin 2009 à 07:51
Salut Olivier ,

Un petit message avant de partir au taff . Hier soir j ai mis en ligne la maj avec les correctifs cités , ainsi que la nouvelle version de SniffC .

J en ai profité pour corriger sniffcrack ;)

Un topic ici

Bonne journée @ tous
0
Réponse 577 / 717
Utilisateur anonyme
8 juin 2009 à 08:24
bonjour à tous

le MD5 et CRC en plus...vraiment bon boulot ! :)
0
Réponse 578 / 717
moe
8 juin 2009 à 12:44
Salut à tous

Impec :-)
Faudra attendre de voir plusieurs utilisations encore avant de crier victoire, mais apparemment ça semble bien partis !
Concernant SniffC, est-ce que tu souhaite éventuellement pouvoir le faire tourner en option 1 ?
Si oui, il faudra juste que le modifie pour qu'il ne répare que lors de l'option 2 car sinon, si l'infection est active les fichiers réparés seront à nouveau corrompus dans la seconde suivante.

Passe une bonne journée et bon courage pour ton taf !

@++
0
Utilisateur anonyme
8 juin 2009 à 16:58
Salut Olivier ,

Première journée de taff effectuée o_O , ça c est bien passé , c cool :)

En effet il va falloir maintenant "scruté" google etc pour les remontées et voir comment le baby se comporte face au mechant garçon bagle :)

Ca va laisser du temps pour faire autre choses :)

De mon coté j ai passé les commandes du site a cyril , comme ça a deux ça ira plus vite et ça sera plus constructif :)

J ai parlé à Jo en mp , et il s est proposé de traduire le canned speech .... et voir aller poster sur les fofo qui vont bien ... ça aidera surement l outil a s exporter .

Pour SniffC , ouep ça me va , il faudrait une commande :


SniiffB : Tools\sniffc /S
CleanB : Tools\Sniffc /R

Je te laisse voir ça ;)

Encore merci à toi Olivier :)

Bonne soirée à toutes & tous .
0
Réponse 579 / 717
Utilisateur anonyme
8 juin 2009 à 13:12
est-ce normal que quand je double clic sur SniffC il ne se passe rien ?
0
Réponse 580 / 717
olivier
8 juin 2009 à 23:47
Bonsoir à tous,


Rulez ! :-)
Voilà qui est fait, je profite de l'occase pour expliquer certains aspects du fonctionnement de cette version de SniffC:

Tools\sniffc.exe = Recherche uniquement.
Tools\sniffc.exe /R = Recherche + réparation (uniquement si le fichier se trouve dans %windir% ou un de ses sous-dossier.)

Pendant son exécution et lors d'une réparation :

- Si une copie de sauvegarde du fichier ne peut être effectuée, la procédure de réparation sera annulée.
- Cette sauvegarde portera le nom du fichier+l'extention 'REN' et se situera dans le même dossier ou se trouve le fichier à réparer.
- Après la tentative de réparation, le PEHM de l'exe sera recontrôlé et ce n'est qu'après ce contrôle que le résultat sera mentionné dans le fichier rapport $PEH.

Voilà pour l'essentiel.
Si jamais des corrections devaient être faites suite à des remontées, bah n'hésites pas car je continuerais de passer ici durant quelques temps au moins une fois par semaine, pour voir s'il y a besoin d'un suivi.

Ouep, ça va laisser pas mal de temps pour autre chose comme tu dis et pour ma part il est temps je crois, non pas de prendre mon envol, mais plutôt d'atterrir lol...
Je tiens à te remercier sincèrement d'avoir crée ce post Cédric et d'y avoir pleinement joué le jeu durant ces quelques mois.
C'était à la fois un des topic les plus enrichissant, bon enfant et studieux, auquel j'ai pu participer depuis quelques années sur ce forum V/S !
J'espère que la majorité des personnes qui l'auront suivi de près ou de loin, auront pris (et prendront encore !) autant de plaisir à le parcourir que toi, moi et tous les intervenants auront eu, à taper le bout de gras sur l'infection et l'évolution de ton outil.


FOR %%A IN ( Findykill ) do (

echo.Muchas gracias per todos...^& Many, many, many thanks for sharing :-^)
echo.
echo.Bonne continuation à toi, cyril et Jorginho pour la suite...
echo.
echo.Mais surtout...Bons vents pour tes projets hors de la toile et le succès d'estime vers lequel se dirigent tes outils.
echo.
echo.@ 12C4 ^& Have Fun !
)

ping localhost -n 3 > nul & Exit :-)


@++


PS:
Gen, bah si tu as fait le test sur un pc clean, oui c'est normal qu'il ne se soit rien passé de particulier :-)
0

Discussions similaires

1Go en Mo ou 100 Mo en Go comment convertir
Utilisateur anonyme -
marie -

6 réponses
A quoi correspond 1GB de mémoire en MO ?
GameNine -
silvere112 -

3 réponses
Traduction MOE/MOA
charles -
Main Contractor -

20 réponses
1Go = 1024 Mo, pourquoi ?
Patalkok -
ddddddd -

6 réponses
1 go = ? Mo
NIF -
Med -

11 réponses