Bagle - de chiki a moe
Résolu/Fermé
A voir également:
- Bagle - de chiki a moe
- Extreme down moe - Accueil - Services en ligne
- Zone téléchargement moe - Accueil - Outils
- Comment faire une photo de moins de 2 mo ✓ - Forum Photo numérique
- Zone telechargement moe - Accueil - Services en ligne
- 100 mo internet combien de temps - Forum Mobile
717 réponses
Utilisateur anonyme
9 juil. 2009 à 15:13
9 juil. 2009 à 15:13
Salut Olivier , et la communautée ...
Je te remercie pour la remontée ;)
Le soucis avec Ubisoft à été fixé dans la derniere maj avec "findstr /iv" mais ta methode me parait plus appropriée ... je la testerai dans la journée car je suis en train de faire le tour du baby histoire de faire le point .
C est clair que getpath me serait plus que util ..... donc je contacterai A.Rothstein , en epérant qu il me donne la permission d utiliser son exe .
Là j étais en train de revisiter la partie mountpoints2 pour arriver a un resultat de ce style :
################## | Registre # Mountpoints2 |
HKCU\.....\MountPoints2\{8dddc6fb-51ce-11de-96a5-001060d14950}\Shell\AutoRun\Command @=E:\zPharaoh.exe
HKCU\.....\MountPoints2\{8dddc6fb-51ce-11de-96a5-001060d14950}\Shell\explore\Command @=E:\zPharaoh.exe
HKCU\.....\MountPoints2\{8dddc6fb-51ce-11de-96a5-001060d14950}\Shell\open\Command @=E:\0tmhoc.cmd
HKCU\.....\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}\Shell\AutoRun\Command @=F:\zPharaoh.exe
HKCU\.....\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}\Shell\explore\Command @=F:\zPharaoh.exe
HKCU\.....\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}\Shell\open\Command @=F:\zPharaoh.exe
###
Par contre j aimerai arriver au meme resultat en utilisant swreg.exe a cause des possibles restrictions ;)
Dans la maj qui est en ligne j ai utilisé md5deep pour afficher la ref des fichiers recherchés si present , histoire de voir ... ça coute rien . Ce n est que temporaire mais je voulais le faire pour avoir une ideé .
Pour l instant moi et cyril n avons pas réellement commencé notre collaboration car il est en vacances, le chanceux . C est aussi pour cela que le site est resté ainsi .
Sinon j ai testé PM.bat , franchement c est fun et je pense que je l ajouterai a la prochaine maj .
Ca aura l avantage de renseigner l user de l avancement du scan et puis pour t avouer , je suis friand de ces petits details ;)
Pour l instant ma priorité pour FyK , c est la correction des "bugs" , une fois cela fait , le tool avancera plus vite .
J te remercie & @ + par là ;)
Je te remercie pour la remontée ;)
Le soucis avec Ubisoft à été fixé dans la derniere maj avec "findstr /iv" mais ta methode me parait plus appropriée ... je la testerai dans la journée car je suis en train de faire le tour du baby histoire de faire le point .
C est clair que getpath me serait plus que util ..... donc je contacterai A.Rothstein , en epérant qu il me donne la permission d utiliser son exe .
Là j étais en train de revisiter la partie mountpoints2 pour arriver a un resultat de ce style :
################## | Registre # Mountpoints2 |
HKCU\.....\MountPoints2\{8dddc6fb-51ce-11de-96a5-001060d14950}\Shell\AutoRun\Command @=E:\zPharaoh.exe
HKCU\.....\MountPoints2\{8dddc6fb-51ce-11de-96a5-001060d14950}\Shell\explore\Command @=E:\zPharaoh.exe
HKCU\.....\MountPoints2\{8dddc6fb-51ce-11de-96a5-001060d14950}\Shell\open\Command @=E:\0tmhoc.cmd
HKCU\.....\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}\Shell\AutoRun\Command @=F:\zPharaoh.exe
HKCU\.....\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}\Shell\explore\Command @=F:\zPharaoh.exe
HKCU\.....\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}\Shell\open\Command @=F:\zPharaoh.exe
###
Par contre j aimerai arriver au meme resultat en utilisant swreg.exe a cause des possibles restrictions ;)
Dans la maj qui est en ligne j ai utilisé md5deep pour afficher la ref des fichiers recherchés si present , histoire de voir ... ça coute rien . Ce n est que temporaire mais je voulais le faire pour avoir une ideé .
Pour l instant moi et cyril n avons pas réellement commencé notre collaboration car il est en vacances, le chanceux . C est aussi pour cela que le site est resté ainsi .
Sinon j ai testé PM.bat , franchement c est fun et je pense que je l ajouterai a la prochaine maj .
Ca aura l avantage de renseigner l user de l avancement du scan et puis pour t avouer , je suis friand de ces petits details ;)
Pour l instant ma priorité pour FyK , c est la correction des "bugs" , une fois cela fait , le tool avancera plus vite .
J te remercie & @ + par là ;)
Salut Cédric
De rien, d'autant plus que ça faisait un petit moment que j'avais pas fait chauffer la VM :-)
Je passe rapidement déposer ceci en espérant que ça puisse vous aider pour les clés MountPoints2.
Tu verras il y a deux scripts qui produisent chacun un rapport différent.
Le premier colle assez avec ce que tu souhaite arriver à faire :
HKCU\..\Explorer\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}\Shell\AutoRun\Command
@=F:\zPharaoh.exe
HKCU\..\Explorer\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}\Shell\explore\Command
@=F:\zPharaoh.exe
HKCU\..\Explorer\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}\Shell\open\Command
@=F:\zPharaoh.exe
Et pour le second, ça ressemble à quelque chose pres à un affichage "Combofix" :
HKCU\..\Explorer\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}
Shell\AutoRun\Command = F:\zPharaoh.exe
Shell\explore\Command = F:\zPharaoh.exe
Shell\open\Command = F:\zPharaoh.exe
HKCU\..\Explorer\MountPoints2\{8dddc6fb-51ce-11de-96a5-001060d14950}
Shell\AutoRun\Command = E:\0tmhoc.cmd
Shell\explore\Command = E:\0tmhoc.cmd
Shell\open\Command = E:\0tmhoc.cmd
A toi de voir ce qui t'inspire :-)
Pour les tests (faute de temps je n'ai pu tester que sur un XP SP3) tu n'auras qu'à placer les deux scripts dans le dossier findykill et comme convenu c'est avec swreg que toutes les recherches se feront.
Voilà, passe une bonne soirée et @12C4 :-)
@++
2.bat :
1.bat :
De rien, d'autant plus que ça faisait un petit moment que j'avais pas fait chauffer la VM :-)
Je passe rapidement déposer ceci en espérant que ça puisse vous aider pour les clés MountPoints2.
Tu verras il y a deux scripts qui produisent chacun un rapport différent.
Le premier colle assez avec ce que tu souhaite arriver à faire :
HKCU\..\Explorer\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}\Shell\AutoRun\Command
@=F:\zPharaoh.exe
HKCU\..\Explorer\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}\Shell\explore\Command
@=F:\zPharaoh.exe
HKCU\..\Explorer\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}\Shell\open\Command
@=F:\zPharaoh.exe
Et pour le second, ça ressemble à quelque chose pres à un affichage "Combofix" :
HKCU\..\Explorer\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}
Shell\AutoRun\Command = F:\zPharaoh.exe
Shell\explore\Command = F:\zPharaoh.exe
Shell\open\Command = F:\zPharaoh.exe
HKCU\..\Explorer\MountPoints2\{8dddc6fb-51ce-11de-96a5-001060d14950}
Shell\AutoRun\Command = E:\0tmhoc.cmd
Shell\explore\Command = E:\0tmhoc.cmd
Shell\open\Command = E:\0tmhoc.cmd
A toi de voir ce qui t'inspire :-)
Pour les tests (faute de temps je n'ai pu tester que sur un XP SP3) tu n'auras qu'à placer les deux scripts dans le dossier findykill et comme convenu c'est avec swreg que toutes les recherches se feront.
Voilà, passe une bonne soirée et @12C4 :-)
@++
2.bat :
@ECHO OFF
SET oKeyMui=HKCU\..\..\Explorer\MountPoints2
SETLOCAL ENABLEDELAYEDEXPANSION
FOR /F "TOKENS=8-11 DELIMS=\" %%A in ('Tools\swreg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /s ^| findstr /i "Shell\\.*\\Command"') do (
FOR /F "TOKENS=4* DELIMS= " %%Y in ('Tools\swreg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\%%A\%%B\%%C\%%D" /ve ^| find.exe /I "<NO NAME>"') do set oktmp=%%Y %%Z
cls&ECHO.&ECHO.&ECHO.&Tools\ECHOx -n -c 0A " Key : %oKeyMui%\%%A\%%B\%%C\%%D"
ECHO.%oKeyMui%\%%A\%%B\%%C\%%D>>R2.txt
ECHO.@=!oktmp!>>R2.txt
ECHO.>>R2.txt
SET oktmp=
)
ENDLOCAL
notepad R2.txt
EXIT
1.bat :
@ECHO OFF
SET oKeyMui=HKCU\..\..\Explorer\MountPoints2
SETLOCAL ENABLEDELAYEDEXPANSION
FOR /F "TOKENS=8-11 DELIMS=\" %%A in ('Tools\swreg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /s ^| findstr /i "Shell\\.*\\Command"') do (
IF not DEFINED tst (
ECHO.%oKeyMui%\%%A>>R.txt
SET tst=%%A
)
if "!tst!" NEQ "%%A" (
ECHO.>>R.txt
ECHO.%oKeyMui%\%%A>>R.txt
)
FOR /F "TOKENS=4* delims= " %%Y in ('Tools\swreg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\%%A\%%B\%%C\%%D" /ve ^| find.exe /I "<NO NAME>"') do set oktmp=%%Y %%Z
cls&ECHO.&ECHO.&ECHO.&Tools\ECHOx -n -c 0A " Key : %oKeyMui%\%%A\%%B\%%C\%%D"
ECHO.%%B\%%C\%%D =!oktmp!>>R.txt
SET tst=%%A
set oktmp=
)
ENDLOCAL
Notepad R.txt
EXIT
Utilisateur anonyme
10 juil. 2009 à 01:17
10 juil. 2009 à 01:17
Salut Olivier ,
Opération test effectuée sous vista :
############################## | FindyKill V6.005 |
# User : Cédric (Administrateurs) # PC-DE-CÉDRIC
# Update on 08/07/09 by Chiquitine29 & C_XX
# Start at: 01:04:22 | 10/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# AMD Turion(tm) 64 X2 Mobile Technology TL-52
# Microsoft® Windows Vista™ Édition Intégrale (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16851
# Windows Firewall Status : Enabled
# C:\ # Disque fixe local # 232,88 Go (198,26 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 1,92 Go (1,58 Go free) [USBFIX] # FAT
# G:\ # Disque fixe local # 232,88 Go (82,75 Go free) [Vidéothèque] # NTFS
############################## | Processus actifs |
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\conime.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
################## | Registre Startup |
HKCU_Main: "Local Page"="C:\\Windows\\system32\\blank.htm"
HKCU_Main: "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
HKCU_Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
HKCU_Main: "Window Title"=""
HKLM_logon: "Userinit"="C:\\Windows\\system32\\userinit.exe,"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: Windows Defender=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
HKLM_Run: RtHDVCpl=RtHDVCpl.exe
HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
HKCU_Run: Sidebar=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKCU_Run: WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe
HKCU_Run: MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
################## | Fichiers # Dossiers infectieux |
################## | C:\Users\C‚dric\Temporary Internet Files |
################## | All Drives ... |
Présent ! [f3b25701fe362ec84616a93a45ce9998] G:\k4l0n6.dll.vbs
Présent ! [f4db64c9cd50865b1f3eade8dc47afb8] G:\Merdeka_Tapi_Bingung!!.vbs
Présent ! [2d46d9b040a305a9a0872dafda91112e] G:\About Merdeka Tapi Bingung!!.html
Présent ! [3380e15d15a96e07d29bee7ed18f0b69] G:\Cewek Seksi Nungging!!.vbs
################## | Registre # Clés Run infectieuses |
clé ubisoft presente et non dectectée ..
Présent ! HKCU\Software\bisoft
Présent ! HKU\S-1-5-21-2419945206-2112707650-1577853245-1000\Software\bisoft
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{8dddc6fb-51ce-11de-96a5-001060d14950}
shell\AutoRun\command =E:\zPharaoh.exe
shell\explore\command =E:\zPharaoh.exe
shell\open\command =E:\0tmhoc.cmd
HKCU\..\..\Explorer\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}
shell\AutoRun\command =F:\zPharaoh.exe
shell\explore\command =F:\zPharaoh.exe
shell\open\command =F:\zPharaoh.exe
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Uac : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 3 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V6.005 ! |
La demande pour getpath a été faite par cyril sur micro hebdo .
Demain je verrais pour les doublons que tu m a cité , j en profiterais pour voir la vaccination , je pense que je ferais un retour en arriere pour cette partie .
c est a dire signaler la presence de vaccin connu et reconnu plutot que de proceder a leur suppression ...
Have fun ;) et merci pour le bout de code ...:)
édité : un rapport sympathique ;)
Opération test effectuée sous vista :
############################## | FindyKill V6.005 |
# User : Cédric (Administrateurs) # PC-DE-CÉDRIC
# Update on 08/07/09 by Chiquitine29 & C_XX
# Start at: 01:04:22 | 10/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# AMD Turion(tm) 64 X2 Mobile Technology TL-52
# Microsoft® Windows Vista™ Édition Intégrale (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16851
# Windows Firewall Status : Enabled
# C:\ # Disque fixe local # 232,88 Go (198,26 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 1,92 Go (1,58 Go free) [USBFIX] # FAT
# G:\ # Disque fixe local # 232,88 Go (82,75 Go free) [Vidéothèque] # NTFS
############################## | Processus actifs |
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\conime.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
################## | Registre Startup |
HKCU_Main: "Local Page"="C:\\Windows\\system32\\blank.htm"
HKCU_Main: "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
HKCU_Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
HKCU_Main: "Window Title"=""
HKLM_logon: "Userinit"="C:\\Windows\\system32\\userinit.exe,"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: Windows Defender=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
HKLM_Run: RtHDVCpl=RtHDVCpl.exe
HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
HKCU_Run: Sidebar=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKCU_Run: WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe
HKCU_Run: MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
################## | Fichiers # Dossiers infectieux |
################## | C:\Users\C‚dric\Temporary Internet Files |
################## | All Drives ... |
Présent ! [f3b25701fe362ec84616a93a45ce9998] G:\k4l0n6.dll.vbs
Présent ! [f4db64c9cd50865b1f3eade8dc47afb8] G:\Merdeka_Tapi_Bingung!!.vbs
Présent ! [2d46d9b040a305a9a0872dafda91112e] G:\About Merdeka Tapi Bingung!!.html
Présent ! [3380e15d15a96e07d29bee7ed18f0b69] G:\Cewek Seksi Nungging!!.vbs
################## | Registre # Clés Run infectieuses |
clé ubisoft presente et non dectectée ..
Présent ! HKCU\Software\bisoft
Présent ! HKU\S-1-5-21-2419945206-2112707650-1577853245-1000\Software\bisoft
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{8dddc6fb-51ce-11de-96a5-001060d14950}
shell\AutoRun\command =E:\zPharaoh.exe
shell\explore\command =E:\zPharaoh.exe
shell\open\command =E:\0tmhoc.cmd
HKCU\..\..\Explorer\MountPoints2\{ce318fa2-5162-11de-9956-00140b45c578}
shell\AutoRun\command =F:\zPharaoh.exe
shell\explore\command =F:\zPharaoh.exe
shell\open\command =F:\zPharaoh.exe
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Uac : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 3 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V6.005 ! |
La demande pour getpath a été faite par cyril sur micro hebdo .
Demain je verrais pour les doublons que tu m a cité , j en profiterais pour voir la vaccination , je pense que je ferais un retour en arriere pour cette partie .
c est a dire signaler la presence de vaccin connu et reconnu plutot que de proceder a leur suppression ...
Have fun ;) et merci pour le bout de code ...:)
édité : un rapport sympathique ;)
darkpoet
Messages postés
1654
Date d'inscription
jeudi 29 mai 2008
Statut
Contributeur sécurité
Dernière intervention
10 mars 2014
62
10 juil. 2009 à 09:32
10 juil. 2009 à 09:32
bonjour chiquitine
j' ai fait unscan avec l' uac activée sous vista et il trouve cette ligne :
################## | Registre # Clés Run infectieuses |
Présent ! HKLM\software\microsoft\security center "UacDisableNotify" ( 0x1 )
Légitime ou infection?
j' ai fait unscan avec l' uac activée sous vista et il trouve cette ligne :
################## | Registre # Clés Run infectieuses |
Présent ! HKLM\software\microsoft\security center "UacDisableNotify" ( 0x1 )
Légitime ou infection?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Narco!4
Messages postés
2385
Date d'inscription
dimanche 25 janvier 2009
Statut
Contributeur
Dernière intervention
25 octobre 2012
467
10 juil. 2009 à 13:04
10 juil. 2009 à 13:04
Bonjour,
un lien des 2 changelog est mort ?
http://www.commentcamarche.net/forum/affich 10626127 bagle de chiki a moe?page=32#805
ces 2 changelogs seront t'il à jour ?
un lien des 2 changelog est mort ?
http://www.commentcamarche.net/forum/affich 10626127 bagle de chiki a moe?page=32#805
ces 2 changelogs seront t'il à jour ?
Utilisateur anonyme
10 juil. 2009 à 19:56
10 juil. 2009 à 19:56
Salut Narco! ,
Il n y a pas de soucis avec ces liens ... de mon coté. Sinon oui ils sont a jours et tenu à jours .
Olivier ,
A.Rothstein m a authorisé à utiliser GetPaths , dailleurs je le remercie mille fois .
Je l ajouterai peut etre a fyk ce soir si j ai le temps sinon ça sera demain .
@ + tard .
Il n y a pas de soucis avec ces liens ... de mon coté. Sinon oui ils sont a jours et tenu à jours .
Olivier ,
A.Rothstein m a authorisé à utiliser GetPaths , dailleurs je le remercie mille fois .
Je l ajouterai peut etre a fyk ce soir si j ai le temps sinon ça sera demain .
@ + tard .
Narco!4
Messages postés
2385
Date d'inscription
dimanche 25 janvier 2009
Statut
Contributeur
Dernière intervention
25 octobre 2012
467
10 juil. 2009 à 23:39
10 juil. 2009 à 23:39
ok, merci ;)
Utilisateur anonyme
11 juil. 2009 à 20:13
11 juil. 2009 à 20:13
Hello le monde ;) ,
Olivier ,
J ai mis V6.005 en ligne .
J ai incorporé Getpaths.exe à la mayo , elle est montée mais le tout n est pas vraiment exploité au max ..
J ai aussi modif Reg\UsbReg.vbs .. de ce coté , je voulais savoir si tu pouvais le .. completer \ modifier \ améliorer ;)
Par rapport a tes connaissances etc ..
J ai aussi ajouté un bout de code :
for %%A in (
"%username%"
) do Tools\swreg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "%%~A" >nul 2>&1 &&(
cls&echo.&echo.&echo.&Tools\echox -n -c 0A " Key : " &echo HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run %%~A
echo %Found% HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "%%~A" >> %Rapport%
for /f "skip=5 tokens=3* delims= " %%B in ('Tools\swreg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "%%~A"') do (
call :Found "%%~B" ))
J ai utilsé 1.bat pour les M2 , je trouve que cette façon d éditer fait plus propre ;)
J aimerai aussi revoir la partie : Edition de clés de registre , histoire de faire un truc plus propre façon hijack mais bon .
En fait y a tout plein de choses a faire et tout ça c est fun ;)
Pour l instant j ai décidé de laisser md5deep car je n ai pas eu assez de remontées .
Bon week end et embrasse la voisine pour moi ;)
Olivier ,
J ai mis V6.005 en ligne .
J ai incorporé Getpaths.exe à la mayo , elle est montée mais le tout n est pas vraiment exploité au max ..
J ai aussi modif Reg\UsbReg.vbs .. de ce coté , je voulais savoir si tu pouvais le .. completer \ modifier \ améliorer ;)
Par rapport a tes connaissances etc ..
J ai aussi ajouté un bout de code :
for %%A in (
"%username%"
) do Tools\swreg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "%%~A" >nul 2>&1 &&(
cls&echo.&echo.&echo.&Tools\echox -n -c 0A " Key : " &echo HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run %%~A
echo %Found% HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "%%~A" >> %Rapport%
for /f "skip=5 tokens=3* delims= " %%B in ('Tools\swreg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "%%~A"') do (
call :Found "%%~B" ))
J ai utilsé 1.bat pour les M2 , je trouve que cette façon d éditer fait plus propre ;)
J aimerai aussi revoir la partie : Edition de clés de registre , histoire de faire un truc plus propre façon hijack mais bon .
En fait y a tout plein de choses a faire et tout ça c est fun ;)
Pour l instant j ai décidé de laisser md5deep car je n ai pas eu assez de remontées .
Bon week end et embrasse la voisine pour moi ;)
Salut Cédric et bonjour à tous
En regardant ton vbs, je me suis posé la question de savoir comment réagirait le tool par exemple s'il se retrouvait en face d'une infection très agressive au niveau des restrictions.
Je veux dire par là, pas seulement des restrictions occasionnant une gène pour l'utilisateur mais aussi via celles qui peuvent affecter le bon fonctionnement de votre outil.
FindyKill gère un grand nombre d'infections et fatalement un jour ou l'autre vous serez surement amenés à y réfléchir.
Actuellement c'est le gros point faible de FindyKill je trouve car il n'est pas structuré de façon à lui permettre de se défendre/prémunir face à ce type d'attaque.
Plus généralement Cédric c'est d'abord sur une stratégie globale basé sur le "pire" des cas, que vous devriez réfléchir et ensuite structurer le fix en fonction de cette stratégie.
Par exemple, comment FYK va arriver à fonctionner face à un DisableCMD ?
Comment fonctionneront tes VBS si Windows Script Host est désactivé ou si cscript et wscript se retrouvent paralysés via Image File Execution Options ou un DisallowRun ?
Comment fonctionneront les procedures du script si de la même façon, find.exe, findstr.exe, swreg.exe, reg.exe...etc se retrouvent dans une IFEO ?
Comment la seconde passe en runonce pourra s'exécuter fasse à des restrics du genre :
DisableLocalUserRunOnce
DisableLocalMachineRunOnce
Tu vois le truc et ou je veux en venir ?
Bah pour l'instant il est encore assez rare de tomber sur un cumul de ce type de restrictions qui visent principalement à empêcher l'emploi de certains fixs, mais bon...Perso je trouve qu'il ne serait pas inutile, déjà dans un premier temps, de penser une procédure pour que fyk puisse être assuré de pouvoir faire son job dans les conditions dont il a besoin pour tourner sans être tributaire ou contraint par l'agressivité de l'infection rencontré en sachant qu'elle peut aussi évoluer en ce sens d'une variante à l'autre....
Je te répond en diagonale par rapport à ta demande pour le vbs, désolé lol mais en fait ça me paraissait utile de mentionner cet aspect des restrictions, maintenant si c'est juste pour celles qui concernent les gènes côté utilisateur, je ferais la recherche dès que possible...
Sinon concernant la portion de code que tu as rajouté, tu peux encore la simplifier avec quelque chose qui peut ressembler à çà par exemple :
Bonne continuation et surtout Have fun :-)
ps :
Salut Florinator, indépendamment de la date de maj, la version utilisé dans le lien est la V6.004 et sous réserve de dire une grosse bétise il me semble que Cédric à corrigé définitivement ce FP dans la phase de suppression à la V6.005 qui à suivie... dans la même journée !
En regardant ton vbs, je me suis posé la question de savoir comment réagirait le tool par exemple s'il se retrouvait en face d'une infection très agressive au niveau des restrictions.
Je veux dire par là, pas seulement des restrictions occasionnant une gène pour l'utilisateur mais aussi via celles qui peuvent affecter le bon fonctionnement de votre outil.
FindyKill gère un grand nombre d'infections et fatalement un jour ou l'autre vous serez surement amenés à y réfléchir.
Actuellement c'est le gros point faible de FindyKill je trouve car il n'est pas structuré de façon à lui permettre de se défendre/prémunir face à ce type d'attaque.
Plus généralement Cédric c'est d'abord sur une stratégie globale basé sur le "pire" des cas, que vous devriez réfléchir et ensuite structurer le fix en fonction de cette stratégie.
Par exemple, comment FYK va arriver à fonctionner face à un DisableCMD ?
Comment fonctionneront tes VBS si Windows Script Host est désactivé ou si cscript et wscript se retrouvent paralysés via Image File Execution Options ou un DisallowRun ?
Comment fonctionneront les procedures du script si de la même façon, find.exe, findstr.exe, swreg.exe, reg.exe...etc se retrouvent dans une IFEO ?
Comment la seconde passe en runonce pourra s'exécuter fasse à des restrics du genre :
DisableLocalUserRunOnce
DisableLocalMachineRunOnce
Tu vois le truc et ou je veux en venir ?
Bah pour l'instant il est encore assez rare de tomber sur un cumul de ce type de restrictions qui visent principalement à empêcher l'emploi de certains fixs, mais bon...Perso je trouve qu'il ne serait pas inutile, déjà dans un premier temps, de penser une procédure pour que fyk puisse être assuré de pouvoir faire son job dans les conditions dont il a besoin pour tourner sans être tributaire ou contraint par l'agressivité de l'infection rencontré en sachant qu'elle peut aussi évoluer en ce sens d'une variante à l'autre....
Je te répond en diagonale par rapport à ta demande pour le vbs, désolé lol mais en fait ça me paraissait utile de mentionner cet aspect des restrictions, maintenant si c'est juste pour celles qui concernent les gènes côté utilisateur, je ferais la recherche dès que possible...
Sinon concernant la portion de code que tu as rajouté, tu peux encore la simplifier avec quelque chose qui peut ressembler à çà par exemple :
Tools\swreg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "%USERNAME%" >nul 2>&1 &&( cls&echo.&echo.&echo.&Tools\echox -n -c 0A " Key : " &echo HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "%USERNAME%" echo %Found% HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "%USERNAME%" >> %Rapport% CALL :Found "%USERPROFILE%\%USERNAME%.exe" )
Bonne continuation et surtout Have fun :-)
ps :
Salut Florinator, indépendamment de la date de maj, la version utilisé dans le lien est la V6.004 et sous réserve de dire une grosse bétise il me semble que Cédric à corrigé définitivement ce FP dans la phase de suppression à la V6.005 qui à suivie... dans la même journée !
florinator
Messages postés
552
Date d'inscription
samedi 15 décembre 2007
Statut
Membre
Dernière intervention
15 avril 2012
92
14 juil. 2009 à 17:07
14 juil. 2009 à 17:07
Salut Chiquitine,moe et tout le monde,
Voici un rapport FDK:
https://forums.cnetfrance.fr/desinfection-pc-virus-malwares-et-logiciels-indesirables/211581-ctrl-alt-suppr-resolu
La mise à jour date du 08/07 , on y verra la suppression de
HKU\S-1-5-21-1547161642-1677128483-839522115-500\Software\Ubisoft
et il n'apparaissait pas sur le mode recherche, cependant on notera 5 jours d'intervalle entre les 2 scans...
Voilà pour les remontés.
A++
Voici un rapport FDK:
https://forums.cnetfrance.fr/desinfection-pc-virus-malwares-et-logiciels-indesirables/211581-ctrl-alt-suppr-resolu
La mise à jour date du 08/07 , on y verra la suppression de
HKU\S-1-5-21-1547161642-1677128483-839522115-500\Software\Ubisoft
et il n'apparaissait pas sur le mode recherche, cependant on notera 5 jours d'intervalle entre les 2 scans...
Voilà pour les remontés.
A++
Utilisateur anonyme
14 juil. 2009 à 20:07
14 juil. 2009 à 20:07
Salut Olivier , Florinator ..
Florinator , effectivement comme te le signal Olivier , ce bug a été fixé dans la maj V6.005 . Mais merci pour la remontée .
Olivier , oui je vois ou tu veux en venir , de mon coté ça fait un petit moment que j y pense aussi . De ce coté je pensais a utiliser un .inf aussi ,mais pour te dire la vérité je n ai fait aucun test sur machines infectées.
Par rapport a la stucture du tool c est sur cela que je travail actuellement .
Dans les jours a venir , je supprimerai la partie edition de clé de registre car elle n a pas vraiment d utilitée a mes yeux . Je pense aussi que j intégrerai file.cmd et folder.cmd directement dans le code .
Ce matin j ai mis V6.006 en ligne que j ai modifié ce soir , j ai donc supprimé md5deep car j ai la remontée que j attendais .... Je te passe la version de FyK qui a été utilisé sur ce topic .
Je te tiens au courant des avancées ;)
Bon feu d artifices à tous .
Florinator , effectivement comme te le signal Olivier , ce bug a été fixé dans la maj V6.005 . Mais merci pour la remontée .
Olivier , oui je vois ou tu veux en venir , de mon coté ça fait un petit moment que j y pense aussi . De ce coté je pensais a utiliser un .inf aussi ,mais pour te dire la vérité je n ai fait aucun test sur machines infectées.
Par rapport a la stucture du tool c est sur cela que je travail actuellement .
Dans les jours a venir , je supprimerai la partie edition de clé de registre car elle n a pas vraiment d utilitée a mes yeux . Je pense aussi que j intégrerai file.cmd et folder.cmd directement dans le code .
Ce matin j ai mis V6.006 en ligne que j ai modifié ce soir , j ai donc supprimé md5deep car j ai la remontée que j attendais .... Je te passe la version de FyK qui a été utilisé sur ce topic .
Je te tiens au courant des avancées ;)
Bon feu d artifices à tous .
Utilisateur anonyme
15 juil. 2009 à 22:02
15 juil. 2009 à 22:02
Salut Olivier ....
Je vais surement passer pour un abruti etc mais je compte remettre usbfix en circulation ..
Ce qui inclu que fyk sera consacré a bagle et rien d autres ...
Je sais , je change encore le truc mais bon , c est en faisant des erreures qu on apprend c ce que l on dit ...
Je me rend compte que fyk risque d etre moins performant avec l ajout du changelog usbfix ..
Usbfix necessite beaucoup de maj donc il y a un gros taff a fournir avant qu il soit réellement performant comme fyk ...........
Concernant fyk g collé un topic sur fs car il y a trop de similitude entre leur tool et le mien ...
Je suppose que cette decision fera couler de l encre mais bon , c est pas ça le plus important , le plus important pour moi est de fournir un tool performant et complet meme si ça doit passer par des etapes parfois malencontreuses.
Have fun Olivier ;)
@+
Je vais surement passer pour un abruti etc mais je compte remettre usbfix en circulation ..
Ce qui inclu que fyk sera consacré a bagle et rien d autres ...
Je sais , je change encore le truc mais bon , c est en faisant des erreures qu on apprend c ce que l on dit ...
Je me rend compte que fyk risque d etre moins performant avec l ajout du changelog usbfix ..
Usbfix necessite beaucoup de maj donc il y a un gros taff a fournir avant qu il soit réellement performant comme fyk ...........
Concernant fyk g collé un topic sur fs car il y a trop de similitude entre leur tool et le mien ...
Je suppose que cette decision fera couler de l encre mais bon , c est pas ça le plus important , le plus important pour moi est de fournir un tool performant et complet meme si ça doit passer par des etapes parfois malencontreuses.
Have fun Olivier ;)
@+
Narco!4
Messages postés
2385
Date d'inscription
dimanche 25 janvier 2009
Statut
Contributeur
Dernière intervention
25 octobre 2012
467
15 juil. 2009 à 22:04
15 juil. 2009 à 22:04
;)
Utilisateur anonyme
15 juil. 2009 à 22:08
15 juil. 2009 à 22:08
j te donne du taff narco! sorry mais ne tik pas ;)
Bonne soirée "binouse" a toi
Bonne soirée "binouse" a toi
Narco!4
Messages postés
2385
Date d'inscription
dimanche 25 janvier 2009
Statut
Contributeur
Dernière intervention
25 octobre 2012
467
16 juil. 2009 à 00:10
16 juil. 2009 à 00:10
lol ;)
santé mec (quelle chaleur encore vive la kro..) ;)
santé mec (quelle chaleur encore vive la kro..) ;)
Utilisateur anonyme
16 juil. 2009 à 04:05
16 juil. 2009 à 04:05
Re Olivier ,
Apres un discussion en mp au sujet de fyk et fs-fixbagle , il en sorti que les "tio" (gars) veulent avoir leur propre tool ... meme si y a du plagia quelque peut ... cela ne me derange pas plus que ça ...
j ai juste mis leur bb a jour ...
Je compte les aider car le kill des 04 comme tu as surement du le voir n est pas inclu ..
cependant , ils sont ok pour m aider a traduite fyk en castellano pero no en catala , ça c cool ;)
Néanmoins ils sont friand d usbfix , et m aideront a traduire mon second bb
il faut s avouer que ce fix a un bel avenir ...
have fun ;)
Apres un discussion en mp au sujet de fyk et fs-fixbagle , il en sorti que les "tio" (gars) veulent avoir leur propre tool ... meme si y a du plagia quelque peut ... cela ne me derange pas plus que ça ...
j ai juste mis leur bb a jour ...
Je compte les aider car le kill des 04 comme tu as surement du le voir n est pas inclu ..
cependant , ils sont ok pour m aider a traduite fyk en castellano pero no en catala , ça c cool ;)
Néanmoins ils sont friand d usbfix , et m aideront a traduire mon second bb
il faut s avouer que ce fix a un bel avenir ...
have fun ;)
Utilisateur anonyme
16 juil. 2009 à 04:19
16 juil. 2009 à 04:19
Estelle ..............................................................................................................................................................................................................Ti amo BB ;)
Utilisateur anonyme
16 juil. 2009 à 04:30
16 juil. 2009 à 04:30
tu ne pourras dormir si tu m invite a prendre la gti ou le tgv ...
eZula
Messages postés
3391
Date d'inscription
samedi 26 avril 2008
Statut
Contributeur
Dernière intervention
8 mai 2021
392
16 juil. 2009 à 12:34
16 juil. 2009 à 12:34
Salut,
au passage il y a une licence qui encadre ou restreint l'utilisation de ces outils (distribution, copie, modification...) ?
au passage il y a une licence qui encadre ou restreint l'utilisation de ces outils (distribution, copie, modification...) ?
