Bagle - de chiki a moe

Résolu/Fermé

Utilisateur anonyme - 21 janv. 2009 à 22:13
Utilisateur anonyme - 8 nov. 2009 à 22:46

Salut moe ,

/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..

/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici

::

ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,

je sais pertinament qu il y a des points a voir , genre kill 04

choses qui a été démarré.. et ensuite a travailler ..

néanmoins je voulais parler avec toi d un point particulier

je pensais dans la prochaine maj faire apparaitre l id windows le sp ,

c est pas vraiment important , mais surtout l av , le firewall et voir l as

et dire si actif ou pas .. (ceci m importe)

bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,

combo , etc (vbs)

en outre j ai aucune notion en vbs , donc si on peut partager c cool

breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill

durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a

peut etre quelque choses a faire

ensuite je sais aussi que ceci n est pas tache evidente

j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi

c est a dire rendre les protections actives apres kill

au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend

je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..

courage pour le taff et encore merci pour les conseils etc

A voir également:

Bagle - de chiki a moe
Extreme down moe - Accueil - Services en ligne
Zone téléchargement moe - Accueil - Outils
Comment faire une photo de moins de 2 mo ✓ - Forum Photo numérique
Zone telechargement moe - Accueil - Services en ligne
100 mo internet combien de temps - Forum Mobile

717 réponses

Réponse 701 / 717

moe
24 oct. 2009 à 17:35

Salut,

Cédric, je t'avoue que depuis les premiers tests/résultats du code avec Gsar, perso je n'ai pas eu le temps d'en refaire d'autres, donc je suis content pour toi de savoir que de ton côté après plusieurs phases de tests, tu en as déduit aussi que le code était exploitable pour Usbfix :-)
Dès que possible je repasse sur l'upload pour d'autres essais avec usbfix, je te tiendrais au courant au moment...

@12C4, et passes un bon WE !

nuf evaH :-)

Réponse 702 / 717

Utilisateur anonyme
24 oct. 2009 à 17:50

Salut Olivier ,

Y a pas le feu au lac non plus lol , moi il faut que je revois la phase upload de usbfix car en cas d infection mabezat , le fichier zip a uploader risque de peser ...

Sinon j ai mis FYK a jours cet après midi , j y ai ajouter la recherche MD5 et CRC32 dans l option 1 .

Rapport

Have fun ;)

@ + tard par là .

Réponse 703 / 717

Utilisateur anonyme
26 oct. 2009 à 15:47

Salut Olivier ,

Je sais pas si t as vu , mais il y a eu du new chez notre amis ce week end .

On est revenu sur une ancienne variante avec changement :

on retrouve les .sys : srosa2 et wfsintwq , le changements est qu il sont situé dans system32 :

%windir%\system32\srosa2.sys
%windir%\system32\wfsintwq.sys

J ai mis FyK a jours hier soir :

Changelog : http://pagesperso-orange.fr/NosTools/Chiquitine29/FindyKill.txt

Rapport kill : http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.txt

@ 12C4 ;)

@+

Réponse 704 / 717

moe
27 oct. 2009 à 21:25

Salut Cédric,

Merci pour les infos sur bagle, d'ailleurs à ce propos je viens de m'apercevoir d'une chose que tu pourrais vérifier à l'occasion...
Une variante ( A5C7E2BC6393C762064315FB9BDB575E, icône en forme d'écharpe verte) semble infecter un grand nombre d'archives *.zip sur le dur en y incluant un *.exe bagle ?!
Même chose chez toi ?

Sinon, je viens de faire quelques tests avec taz, que je te mets ci-dessous, le but étant de vérifier dans un premier temps, la fiabilité de détection par rapport à d'autres outils.
Concluant pour ma part et sans fp pour l'instant.

Good job :-) , Have fun...
++

ps:
Sur l'upload, zPharaoh-8.exe est infecté par virut... :-)

A propos de virut, si ça t'interesse, il y a matière à tester sur thekeys.ws...
Voir ici pour un exemple de ce qui est visible... :
https://forums.commentcamarche.net/forum/affich-14873768-trojant#3

================================================
XP SP3 - zPharaoh-9.exe
================================================

- Lancement de l'exécutable + Reboot avant chaque tests.

1er Test

# Passage USBFix Option 1
résultats : 121 *.exe infectés, détectés.

# Passage USBFix Option 2
résultats : 156 *.exe infectés, détectés et backupés.

# Passage SAV32CLI (sophos)
Toute la quarantaine d'USBFix (partie *.exe) est détectée à l'exception de 7 fichiers, soit 149 au total qui

ont pu être désinfectés et récupérés.
Aucun autre fichier infecté détecté par SAV32CLI en dehors des Backups USBFix, excepté dans la restau
système.

2eme Test

# Passage USBFix Option 1
résultats : 120 *.exe infectés, détectés.

# Passage USBFix Option 2
résultats : 155 *.exe infectés, détectés et backupés.

# Passage Rmmabez (Tool AVG)
Toute la quarantaine d'USBFix (partie *.exe) est détectée à l'exception de 6 fichiers + 3 autres jugés

"irréparables", soit 149 au total, dont 146 qui ont pu être désinfectés et récupérés.
Aucun autre fichier infecté détecté en dehors des Backups USBFix.

3eme Test

# Passage USBFix Option 1
résultats : 120 *.exe infectés, détectés.

# Passage USBFix Option 2
résultats : 155 *.exe infectés, détectés et backupés.

# Passage AVPTool (Kaspersky)
résultats : 151 *.exe infectés, détectés et désinfectés.
Aucun autre fichier infecté n'a été détecté en dehors des Backups USBFix.

Nb :
- Durant le premier test, alerte DEP sur explorer.exe après avoir utilisé l'explorateur pour naviguer dans les dossiers avant le passage des outils. (kill et relance après validation)
- Pas de dysfonctionnements particuliers constatés après avoir réintégré les *.exe désinfectés dans leur
dossier d'origine, mis à part 2 *.exe désinfectés avec rmmabez.exe.
- USBFix.exe s'est auto supprimé pendant le nettoyage lors des deux premiers tests, car infecté lui aussi :-)
- Les trois tools utilisés pour désinfecter ont buttés pratiquement tous à quelques exceptions près sur les mêmes fichiers (grep.exe, swxcacls.exe, ashAvast.exe, une copie de pv.exe dont le header a été modifié et hijackthis.exe + 2 *.exe perso)

A tester, DrWeb, mbam, etc...

Première conclusion à chaud:
Au niveau des détections, USBFix tiens la dragée haute face aux tools spécialisés.
Reste à voir si son comportement reste le même en cas d'infections multiples et peut-être à prévenir l'utilisateur qu'il existe des moyens de récupérer une grande partie de ses progs car sinon les réinstalls sont, mine de rien, assez contraignantes...
Bon job pour AVPTool au passage, qui quand même en plus d'avoir un bon taux de désinfection, a en plus pu faire une seconde analyse du fichier une fois désinfecté et proposer encore une seconde action dans les cas ou il s'agissait d'un malware à l'origine (avant d'être patché par taz).

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 705 / 717

Utilisateur anonyme
27 oct. 2009 à 21:59

Salut Olivier ,

Je testerai pour bagle & zip , si t as le dropper je veux bien, je suis pas sur de l avoir en stock mais je suppose que si .

Franchement je suis pas mécontent du comportement du tool vs mabezat , actuellement je taff sur MD5 pour reconnaitre un max d infection dans son traitement .

J opere actuellement sans test car mon pc n est pas tout a fait pres . ( pas envie d abimer mon bb )

Tu me parlait de virut .... je n ai jamais fais de tests sur celui ci , mis a part des kill d exe via usbfix situé en 04

Mais jamais approfondi la question , en meme temp , vu les resultats sur mabezat , ça pourrais etre interessant de sy pencher .

J ai encore beaucoup à apprendre mais j estime que les dernieres avancées m ont fait moi meme avancer .

je suis super content de pouvoir parler de tout ça avec toi , car tu as l expérience et l objectivité .

Ce que je reproche à UsbFix vs mabezat est le kill auto ( mise en quarantaine ) je vois les tool spécialisé désinfecter le fichier , je me pose la question si il est possible de faire idem en batch ...

Gracias por su ayuda ;)

Pluche .

Réponse 706 / 717

Utilisateur anonyme
28 oct. 2009 à 01:07

Yep Olivier ,

ça m a donné envie de faire des tests .

Have fun

Je te passerai les résultats .

Réponse 707 / 717

Utilisateur anonyme
31 oct. 2009 à 00:15

Salut Olivier ;) ,

Je viens de tester par rapport aux zip , en effet tu as raisons , notre amis tape l incruste ...

Donc du coup j ai regardé ce qui etait possible de faire rapidemment .

J ai fais un test sous Windows 7 32 B ::

################## | Sniff_Zip |

Bagle ! "C:\$Recycle.Bin\S-1-5-21-734009252-3580480985-1366802311-1001\$RFT14MI.zip"
-> Contain Key_gen.exe | Size : 856064 | with Bagle Crc32 : 364d070c

Bagle ! "C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{AF6483F1-65BD-4B1D-A7B3-A38A23B85CB2}-AbdioAVIVideoConverter66Build90410.zip"
-> Contain patch.exe | Size : 856064 | with Bagle Crc32 : 364d070c

Bagle ! "C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{D55E0A4E-94BD-4689-A967-111FD5A91656}-AbdioAVIVideoConverter66Build90410.zip"
-> Contain patch.exe | Size : 856064 | with Bagle Crc32 : 364d070c

Bagle ! "C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{F88549F3-EF47-48DB-B967-421F265B3E85}-AbdioAVIVideoConverter66Build90410.zip"
-> Contain patch.exe | Size : 856064 | with Bagle Crc32 : 364d070c

Bagle ! "C:\Users\All Users\Microsoft\Windows Defender\LocalCopy\{AF6483F1-65BD-4B1D-A7B3-A38A23B85CB2}-AbdioAVIVideoConverter66Build90410.zip"
-> Contain patch.exe | Size : 856064 | with Bagle Crc32 : 364d070c

Bagle ! "C:\Users\All Users\Microsoft\Windows Defender\LocalCopy\{D55E0A4E-94BD-4689-A967-111FD5A91656}-AbdioAVIVideoConverter66Build90410.zip"
-> Contain patch.exe | Size : 856064 | with Bagle Crc32 : 364d070c

Bagle ! "C:\Users\All Users\Microsoft\Windows Defender\LocalCopy\{F88549F3-EF47-48DB-B967-421F265B3E85}-AbdioAVIVideoConverter66Build90410.zip"
-> Contain patch.exe | Size : 856064 | with Bagle Crc32 : 364d070c

Bagle ! "C:\Users\C‚dric\Desktop\AbdioAVIVideoConverter66Build90410.zip"
-> Contain patch.exe | Size : 856064 | with Bagle Crc32 : 364d070c

Bagle ! "C:\Users\C‚dric\Desktop\Bagle R‚colte nocturne\Bagle R‚colte nocturne.zip"
-> Contain Key_gen.exe | Size : 856064 | with Bagle Crc32 : 364d070c

################## | End Of File |

Le hic que je remarque est la non lecture des fichiers situés dans les sous dossiers de l archive .

J ai regardé la doc d Izarce mais je suis abouti a rien .

Je referais certainement des tests demain soir , tranquillement . Si toi de ton coté , tu as des infos je veux bien . Car avec ce que j ai de mon coté je pense que je vais galérer .

Buenas noches ha todos .

Réponse 708 / 717

Utilisateur anonyme
31 oct. 2009 à 00:21

faut etendre les anti-slash non ?

Réponse 709 / 717

moe
31 oct. 2009 à 13:50

Salut,

En fait Izarce liste bien les exes des sous dossiers, mais le problème provient du format de la sortie des données et de la manière de les exploiter qui devient alors plus difficile.
Je sais pas si tu te souviens mais le soucis et la question s'était déjà présenté lors des premiers tests sur les zip...

Voilà comment se présente le retour :

Archive File: Test.zip  [ZIP]

Name            Length   Method   Ratio      Size      Date & Time      CRC-32
------------  --------  --------  -----  --------  ------------------- --------
crack\serial.exe
                851968    DFLT-N    3%    826576   19-03-2006 05:01:00 d73ee54a
Test.exe       2768896    DFLT-N    9%    2511077  09-10-2009 08:50:44 63b51b47
------------  --------  --------  -----  --------  ------------------- --------
*Totals    2   3620864               8%    3337653  31-10-2009 09:12:10

Et la procédure d'exploitation du listing :

:SniffCrc32

for /f "tokens=1,2,8" %%g in ('tools\IZARCE.exe -v "%~1" *.exe ^|find /i ".exe"') do ...

Comme tu vois, les infos 'crack\serial.exe' sont sur deux lignes distinctes, donc si le premier tokens récupère bien le nom du fichier (puisque le find /i ".exe" te positionne automatiquement sur les lignes qui contiennent le mot ".exe"), et bien malheureusement ce ne sera pas le cas pour le crc et la taille qui seront "vide" puisque ces infos se trouvent sur la seconde ligne.
La comparaison avec les refmd5 ensuite sera bien évidement négative....

Extension comprise, si je ne dis pas de bétise izarce affichera sur deux lignes dès que le nom du fichier ou path+nom depassera les 12 caractères.

Donc difficile d'exploiter comme il faut la sortie mais reste la possibilité de ne juste checker que la présence de crc Bagle sans le nom+taille du fichier, ce qui n'empêchera pas ensuite le vrai soucis, qui est de déterminer si l'archive est "Native Bagle" ou s'il s'agit d'un rajout dans une archive saine.
Vu qu'on sait qu'une native ne contiendra pas de sous-dossier, en cas de crc positif un check de la présence d'un anti-slash dans le listing devrait te donner une bonne indication de l'action à prendre :-)

Concernant Mazebat, je crois pas qu'il soit possible de désinfecter un fichier vérolé en batch, ni souhaitable de le faire de cette façon d'ailleurs !
Et même ! De la manière dont il procède pour infecter les exe, il faudrait avoir une très bonne connaissance du format PE car la désinfection ne consitera pas qu'à supprimer sa charge à un endroit précis mais aussi à replacer ensuite des données légitimes qui se trouvaient à la place de son code et qui ont été déplacées plus loin dans la structure du fichier...
Sinon, bah tu as la possibilité de ne faire que signaler la présence des fichiers infectés en option 1 et 2, ensuite à l'aidant d'aviser avec les tools appropriés.
Usbfix ayant (à mon avis) un très bon taux de détection, ce serait l'occasion de faire une comparaison et le cas échéant de n'avoir à entreprendre une action, que sur un très petit nombre de fichiers.
Ca te permettrait aussi d'enlever le soucis lié à la taille de l'upload...
Mais bon, autokill ou pas, si de toute façon tu ne peux pas désinfecter, à mon avis tu devrais te demander quelle sera des deux, la procédure la moins contraignante pour l'utilisateur tout en restant aussi celle qui comporte le le moins de risque de réinfection.
A réfléchir...

Je te souhaite un bon week-end Cédric, @12C4...

++

ps:
Gen, tu peux être plus précis ?
J'ai pas saisis, désolé !

Réponse 710 / 717

Utilisateur anonyme
31 oct. 2009 à 17:43

Salut Olivier ,

Je pense que je vais laisser tomber izarce et passer par 7z.exe , j ai fais un test rapide avec du coup ::

################## | Sniff_Zip |

"C:\$Recycle.Bin\S-1-5-21-734009252-3580480985-1366802311-1001\$R08V0FE.zip"
Contain file Path = Key_gen.exe with Bagle CRC32 : 364D070C

"C:\$Recycle.Bin\S-1-5-21-734009252-3580480985-1366802311-1001\$R19FJZC.zip"
Contain file Path = Key_gen.exe with Bagle CRC32 : 364D070C

"C:\$Recycle.Bin\S-1-5-21-734009252-3580480985-1366802311-1001\$R4AMKIE.zip"
Contain file Path = Bagle R‚colte nocturne\Key_gen.exe with Bagle CRC32 : 364D070C

"C:\$Recycle.Bin\S-1-5-21-734009252-3580480985-1366802311-1001\$R5NCXH8.zip"
Contain file Path = BAGLE\Crack.exe with Bagle CRC32 : 364D070C

"C:\$Recycle.Bin\S-1-5-21-734009252-3580480985-1366802311-1001\$RF4OY3H.zip"
Contain file Path = BAGLE\Key_gen.exe with Bagle CRC32 : 364D070C

"C:\$Recycle.Bin\S-1-5-21-734009252-3580480985-1366802311-1001\$RFT14MI.zip"
Contain file Path = Key_gen.exe with Bagle CRC32 : 364D070C

"C:\$Recycle.Bin\S-1-5-21-734009252-3580480985-1366802311-1001\$RPOJNUB.zip"
Contain file Path = Key gen.exe with Bagle CRC32 : 364D070C

"C:\Users\C‚dric\Desktop\bagle.zip"
Contain file Path = bagle\Key_gen.exe with Bagle CRC32 : 364D070C

"C:\Users\C‚dric\Desktop\bagle\bagle.zip"
Contain file Path = Key_gen.exe with Bagle CRC32 : 364D070C

################## | End Of File |

J appronfondirai la question ce soir after diné :) miam miam lol

Je te passerai les resultat si concluant et si je suis arrivé a mes fin :)

En tout cas merci pour ton post car ça m a permis d y voir plus clair ;)

Au sujet des natif ou pas , c est effectivement le soucis , pour faire les choses bien il faudrait virer juste l exe et pas le zip au complet , je pense qu avec 7z.exe cette opération est possible , reste à adapter le code , ce qui n est pas si evident que ça mine de rien .

Bonne soirée .

@ + tard surement :)

Réponse 711 / 717

Utilisateur anonyme
31 oct. 2009 à 18:35

Re Olivier , je te passe le test , si t as le temps de tester chez toi ... :)

Il n y a que la recherche , pour le kill , il faudra adapter le tout ...

Mais je pense que c est la direction à suivre . Je te laisse te faire ton idée ::

Test

@ Plus tard .

Réponse 712 / 717

Utilisateur anonyme
31 oct. 2009 à 20:20

zé re ,

Sinon je te passe les projets Usbfix ::

1 : Chercher une methode de detection de spyware.onlinegames , pour eviter les maj "trop régulieres"

2 : Chercher une methode de detection de ce type d infection :

F:\Documents.lnk
F:\Music.lnk
F:\New Folder.lnk
F:\Passwords.lnk
F:\Pictures.lnk
F:\Video.lnk

[17/10/2009 17:55|-r-hs----|49152] F:\filen.exe
[17/10/2009 17:55|-r-hs----|49152] F:\filen.scr
[31/10/2009 14:20|-r-hs----|49152] F:\tauobey.exe
[31/10/2009 02:00|-r-hs----|49152] F:\tauobey.scr
[31/10/2009 16:14|-r-hs----|49152] F:\tauocey.exe
[31/10/2009 13:45|-r-hs----|49152] F:\tauocey.scr

Je te passe un echantillon .

Tout cela ne sont ques des idées mais rien n a encore été travaillé , surtout par manque de temps et parfois de "ganas" .

Ce soir , je regarderai pour le kill d un exe dans une archive via 7z.exe

Ceci dis je trouve que tout cela evolue bien . Et j en suis bien content .

Have fun Olivier .

.--
Hi ah , Viva España ;)

@+

Réponse 713 / 717

moe
31 oct. 2009 à 20:34

Salut cédric

Merci, mais pour le kill d'un fichier dans l'archive, rien de plus simple avec 7z :-)

7z.exe d chemin du zip path\nom_de_l'exe

Ex :
7z d "C:\Users\C‚dric\Desktop\bagle.zip" "bagle\Key_gen.exe"
Je te conseille de systématiquement "entourer" les chemins et noms par des guillemets pour pas être embêté par les noms qui contiendraient des espaces.

Bonne fin de soirée et bon app :-)
+++

ps:
Pour le reste je regarde dès que possible...

Réponse 714 / 717

Utilisateur anonyme
31 oct. 2009 à 21:07

Re Salut Olivier :)

Je vais mettre Fyk a jours ce soir pour inclure cette avancée . Je ferai une double detection du zip via izarce en 1 et 7z en 2 , ceci permettra de virer l archive si native bagle ...

il me semble que rar.exe vire l archive apres kill du fichier "intérieur si solitaire" mais pour 7z je ne sais pas ..

Mais je ne crois pas que c est le cas .

Ca a été super interessant de se pencher sur cette partie du tool , je me coiucherai moins bette ce soir :)

La maj sera dispo d ici une h ou 2 le temps de digérer mon morceau de vache :)

Réponse 715 / 717

Utilisateur anonyme
1 nov. 2009 à 13:48

Salut Olivier ,

Je viens de mettre FYK à jours ( V5.017 ) , j ai viré izarce , ce qui inclu que juste l exe avec un crc32 positif sera supprimé et non l archive entiere ..

Bon dimanche à tous .

Réponse 716 / 717

Utilisateur anonyme
8 nov. 2009 à 20:58

Salut Olivier ,

Je sais que tu es tres pris etc ..

Je voulais juste te faire part de mes avancées sur spyware.onlinesgames ::

Rapport test ::

######

"C:\uqgvf.exe"
"C:\$Recycle.Bin\S-1-5-21-3550559445-3222268228-294147816-1001\$ROSZ6J2.bat"
"C:\$Recycle.Bin\S-1-5-21-3550559445-3222268228-294147816-1001\$RXILUS7.bat"
"C:\$Recycle.Bin\S-1-5-21-3550559445-3222268228-294147816-1001\$RRDMQP1\dropper.bat"
"C:\$Recycle.Bin\S-1-5-21-3550559445-3222268228-294147816-1001\$RRDMQP1\SOG.bat"
"C:\Users\C‚dric\AppData\Local\Temp\herss.exe"
"C:\Users\C‚dric\Desktop\SOG\SOG.bat"
"D:\uqgvf.exe"
"G:\uqgvf.exe"
"G:\Collemoi sur ta cl‚ usb.bat"

########

J ai cherché une ref , je pense etre bon mais je voudrais que tu confirmes si possible ;)

@+

Réponse 717 / 717

Utilisateur anonyme
8 nov. 2009 à 22:46

Salut Olivier , j ai mis la maj en ligne ::

############################## | UsbFix V6.050 |

User : Cédric (Administrateurs) # CÉDRIC-PC
Update on 06/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 22:32:31 | 08/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 7550 Dual-Core Processor
Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 300,2 Go (280,8 Go free) # NTFS
D:\ -> Disque fixe local # 398,43 Go (384,83 Go free) [Stockage] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible # 953,73 Mo (906,2 Mo free) [FIX] # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe 256
C:\Windows\system32\csrss.exe 396
C:\Windows\system32\wininit.exe 464
C:\Windows\system32\csrss.exe 476
C:\Windows\system32\services.exe 516
C:\Windows\system32\lsass.exe 532
C:\Windows\system32\lsm.exe 540
C:\Windows\system32\winlogon.exe 672
C:\Windows\system32\svchost.exe 704
C:\Windows\system32\nvvsvc.exe 772
C:\Windows\system32\svchost.exe 812
C:\Windows\System32\svchost.exe 876
C:\Windows\System32\svchost.exe 964
C:\Windows\system32\svchost.exe 992
C:\Windows\system32\svchost.exe 1180
C:\Windows\system32\nvvsvc.exe 1240
C:\Windows\system32\svchost.exe 1344
C:\Windows\system32\Dwm.exe 1556
C:\Windows\System32\spoolsv.exe 1648
C:\Windows\system32\svchost.exe 1728
C:\Windows\system32\svchost.exe 1808
C:\Windows\system32\svchost.exe 1876
C:\Windows\system32\taskhost.exe 1884
C:\Windows\System32\svchost.exe 1916
C:\Windows\System32\svchost.exe 1968
C:\Windows\system32\WUDFHost.exe 2148
C:\Windows\system32\svchost.exe 2312
C:\Windows\system32\taskeng.exe 3280
c:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe 3312
c:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe 3324
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe 1284
C:\Program Files\Windows Media Player\wmpnetwk.exe 2868
C:\Windows\System32\svchost.exe 2736
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe 1536
C:\Program Files\Hercules\Dualpix HD\XtrCtrl.exe 2700
C:\Windows\system32\svchost.exe 1824
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe 1496
C:\Program Files\Alwil Software\Avast4\ashDisp.exe 2832
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 1492
C:\Windows\System32\svchost.exe 148
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe 3808
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe 3744
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe 1040
C:\Program Files\Hewlett-Packard\KBD\kbd.exe 932
C:\Program Files\Windows Media Player\wmplayer.exe 1444
C:\Windows\system32\SearchIndexer.exe 1120
C:\Program Files\HP\Digital Imaging\smart web printing\hpswp_clipbook.exe 2420
C:\Windows\EXPLORER.exe 2256
C:\Windows\system32\SearchProtocolHost.exe 3784
C:\Windows\system32\SearchFilterHost.exe 3384
C:\Windows\system32\conhost.exe 3512
C:\Windows\system32\wbem\wmiprvse.exe 4372
c:\program files\windows defender\MpCmdRun.exe 2576

################## | Fichiers # Dossiers infectieux |

################## | Spyware.OnlineGames |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-3550559445-3222268228-294147816-1001\$ROSZ6J2.bat
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3550559445-3222268228-294147816-1001\$RXILUS7.bat
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3550559445-3222268228-294147816-1001\$RRDMQP1\dropper.bat
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3550559445-3222268228-294147816-1001\$RRDMQP1\SOG.bat
Supprimé ! C:\Users\C‚dric\Desktop\SOG\SOG.bat
Supprimé ! G:\Collemoi sur ta cl‚ usb.bat

################## | Registre # Clés Run infectieuses |

################## | Registre # Mountpoints2 |

################## | Listing des fichiers présent |

EDIT RAPPORT

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |

################## | Cracks / Keygens / Serials |

"D:\Logiciel\Adobe\Adobe Acrobat 9 Pro Extended\Crack Acrobat 9 Pro Extended\FormDesigner.exe"
25/06/2008 16:13 |Size 3601408 |Crc32 2f0b284c |Md5 7669b3601f866150759d61d57cc60d96

"D:\Logiciel\Adobe\Crack Photoshop CS4\keygen.exe"
27/10/2008 07:58 |Size 73728 |Crc32 011b3c07 |Md5 86c5405a9226040aca68f073bbc5c0a0

################## | Upload |

Veuillez envoyer le fichier : C:\Users\CDRIC~1\Desktop\UsbFix_Upload_Me_C‚dric-PC.zip : https://www.androidworld.fr/
Merci pour votre contribution .

ETC ...

le verdict des fp tombera demain ...

mais perso je pense que tour est joué ;)

Discussions similaires

1Go en Mo ou 100 Mo en Go comment convertir

A quoi correspond 1GB de mémoire en MO ?

Traduction MOE/MOA

1Go = 1024 Mo, pourquoi ?

1 go = ? Mo