Bagle - de chiki a moe
Résolu/Fermé
A voir également:
- Bagle - de chiki a moe
- Extreme down moe - Accueil - Services en ligne
- Combien de mo dans 1 go ✓ - Forum Mail
- Zone telechargement moe - Accueil - Services en ligne
- 100 mo internet combien de temps - Forum Mobile
- Zone téléchargement moe - Accueil - Outils
717 réponses
Utilisateur anonyme
25 févr. 2009 à 20:40
25 févr. 2009 à 20:40
bonsoir :
en tout cas si vous voulez des droppers Bagle j en connais un qui est blindé lol
bon je vais bosser cette histoire de liens de moe car ca me plait bien quoique complique au premier abord mais je pense qu il n y a que le coup de main "apprendre"
:)
Cordialement
en tout cas si vous voulez des droppers Bagle j en connais un qui est blindé lol
bon je vais bosser cette histoire de liens de moe car ca me plait bien quoique complique au premier abord mais je pense qu il n y a que le coup de main "apprendre"
:)
Cordialement
Utilisateur anonyme
26 févr. 2009 à 16:46
26 févr. 2009 à 16:46
Bonjours tout le monde ,
Olivier ,
je voulais juste savoir si tu voulais aussi que je redirige vers $PEH, la liste des fichiers corrompus (sans réparation, juste pour info)
Je pense que ça peut etre interessant de le signaler sur le rapport .. donc pour $peh ,yes je prend aussi.
Pour Mlle themida ;) ($themi)
comme tu l avais proposé : la taille du fichier + md5 + chemin du fichier delimité par # stp
Dons un premier temps je pense que ces fichiers seront signalé "suspect" , puis seront "deleted" dans la maj 719.(ou tu crois que l on peut passer tout de suite au kill ?)
les fichiers de Partition magic qui étaient bien corrompus et qui ont tous remarchés après réparation !
;) ça parait plutot prometteur. ..
donc a ce soir et merci.
Olivier ,
je voulais juste savoir si tu voulais aussi que je redirige vers $PEH, la liste des fichiers corrompus (sans réparation, juste pour info)
Je pense que ça peut etre interessant de le signaler sur le rapport .. donc pour $peh ,yes je prend aussi.
Pour Mlle themida ;) ($themi)
comme tu l avais proposé : la taille du fichier + md5 + chemin du fichier delimité par # stp
Dons un premier temps je pense que ces fichiers seront signalé "suspect" , puis seront "deleted" dans la maj 719.(ou tu crois que l on peut passer tout de suite au kill ?)
les fichiers de Partition magic qui étaient bien corrompus et qui ont tous remarchés après réparation !
;) ça parait plutot prometteur. ..
donc a ce soir et merci.
Re :-)
Ayé, c'est terminé Cédric !
Le fichier est ici.
Alors, petit récap...
L'exe scanne tout les DD sauf les CDROM et floppy.
Le scan porte uniquement sur les fichiers d'extention EXE et VIR pour l'instant.
A chaque EXE ou Vir rencontré, deux types de détections :
Recherche du string :-) Themida systématique pour les fichiers de moins d'un Mo, et si le fichier dépasse le Mo, une recherche de corruption uniquement.
Une fois exécuté, tu n'auras qu'à checker la présence des fichiers $THEMI ou $PEH pour savoir s'il y a eu des détections positives.
Si ces fichiers n'existent pas après le scan, c'est que rien n'aura été détecté, dans le cas contraire ces fichiers log seront crées dans le même dossier ou se trouve l'exécutable.
Perso je te conseille de l'utiliser après la première vague de suppression des fichiers "connus" pour éviter des doublons (winupgro...) et en runonce après le premier reboot.
Voilà pour l'essentiel, ensuite si l'expérience est positive on peut tout à fait imaginer une détection des zip, voire une comparaison auto du md5 des exe themida avec refmd5b.
Dans ce second cas ce serait interessant de pouvoir peut être mener deux actions différentes en fonction du degré de fiabilité :
Par exemple un exe qui contiendrait "themida" et qui en même temps aurait le md5 de winupgro, serait drectement supprimé ($THEMIFix)
Tandis qu'un exe qui contiendrait seulement la chaine "themida" avec un md5 différent de winupgro, ne serait lui que renommé en attendant un scan VT de confirmation ($THEMIRen).
Enfin bref ce n'est qu'un idée en passant...
ou tu crois que l on peut passer tout de suite au kill ?
Peut-être que pour l'instant tu peux laisser passer une petite période de "test", ensuite si c'est concluant pour toi, oui tu pourras passer au kill vu que c'est quand même le but :-).
L'idéal serait que tu fasse une comparaison des md5 RefMD5B avec ceux de $THEMI et ne supprimer que ceux qui correspondent :
Ca pourrais donner un truc du genre dans Md5-Fyk.cmd :
If exist $THEMI (
For /f "TOKENS=1,2,3 DELIMS=#" %%A in ($THEMI) do Find.exe /i "%%B"<RefMD5B>nul &&(
...
...
...
)
)
%%A = Taille du fichier
%%B = MD5
%%C = Chemin+nom du fichier
Ah oui au fait !
Pour la recherche des noms d'users...
\Documents and settings ou \Users ne sont pas forcément tout le temps sur %systemdrive% :-)
Tu peux utiliser plutôt %Homedrive% qui lui renvois la lettre du lecteur sur laquelle le répertoire de l'utilisateur est situé, pour éviter le risque d'erreurs.
Et enfin dernier truc, pour t'éviter d'avoir à filtrer trop de noms de dossiers inutiles, un Dir /AD-H /B au lieu de Dir /AD /B
Le "-"H" va filtrer automatiquement les dossiers cachés comme 'Local Service' etc....
Logiquement il ne devrait plus te rester grand chose à filtrer ensuite :-)
Voilà, voilà...Passes une bonne soirée, pour ma part je ne pense pas que je puisse repasser, la prochaine ce sera surement pour ce week-end , donc bon tests et surtout Have fun :-)
@++
Ayé, c'est terminé Cédric !
Le fichier est ici.
Alors, petit récap...
L'exe scanne tout les DD sauf les CDROM et floppy.
Le scan porte uniquement sur les fichiers d'extention EXE et VIR pour l'instant.
A chaque EXE ou Vir rencontré, deux types de détections :
Recherche du string :-) Themida systématique pour les fichiers de moins d'un Mo, et si le fichier dépasse le Mo, une recherche de corruption uniquement.
Une fois exécuté, tu n'auras qu'à checker la présence des fichiers $THEMI ou $PEH pour savoir s'il y a eu des détections positives.
Si ces fichiers n'existent pas après le scan, c'est que rien n'aura été détecté, dans le cas contraire ces fichiers log seront crées dans le même dossier ou se trouve l'exécutable.
Perso je te conseille de l'utiliser après la première vague de suppression des fichiers "connus" pour éviter des doublons (winupgro...) et en runonce après le premier reboot.
Voilà pour l'essentiel, ensuite si l'expérience est positive on peut tout à fait imaginer une détection des zip, voire une comparaison auto du md5 des exe themida avec refmd5b.
Dans ce second cas ce serait interessant de pouvoir peut être mener deux actions différentes en fonction du degré de fiabilité :
Par exemple un exe qui contiendrait "themida" et qui en même temps aurait le md5 de winupgro, serait drectement supprimé ($THEMIFix)
Tandis qu'un exe qui contiendrait seulement la chaine "themida" avec un md5 différent de winupgro, ne serait lui que renommé en attendant un scan VT de confirmation ($THEMIRen).
Enfin bref ce n'est qu'un idée en passant...
ou tu crois que l on peut passer tout de suite au kill ?
Peut-être que pour l'instant tu peux laisser passer une petite période de "test", ensuite si c'est concluant pour toi, oui tu pourras passer au kill vu que c'est quand même le but :-).
L'idéal serait que tu fasse une comparaison des md5 RefMD5B avec ceux de $THEMI et ne supprimer que ceux qui correspondent :
Ca pourrais donner un truc du genre dans Md5-Fyk.cmd :
If exist $THEMI (
For /f "TOKENS=1,2,3 DELIMS=#" %%A in ($THEMI) do Find.exe /i "%%B"<RefMD5B>nul &&(
...
...
...
)
)
%%A = Taille du fichier
%%B = MD5
%%C = Chemin+nom du fichier
Ah oui au fait !
Pour la recherche des noms d'users...
\Documents and settings ou \Users ne sont pas forcément tout le temps sur %systemdrive% :-)
Tu peux utiliser plutôt %Homedrive% qui lui renvois la lettre du lecteur sur laquelle le répertoire de l'utilisateur est situé, pour éviter le risque d'erreurs.
Et enfin dernier truc, pour t'éviter d'avoir à filtrer trop de noms de dossiers inutiles, un Dir /AD-H /B au lieu de Dir /AD /B
Le "-"H" va filtrer automatiquement les dossiers cachés comme 'Local Service' etc....
Logiquement il ne devrait plus te rester grand chose à filtrer ensuite :-)
Voilà, voilà...Passes une bonne soirée, pour ma part je ne pense pas que je puisse repasser, la prochaine ce sera surement pour ce week-end , donc bon tests et surtout Have fun :-)
@++
Utilisateur anonyme
26 févr. 2009 à 20:24
26 févr. 2009 à 20:24
Salut Olivier,
Avant de te lire , ton lien n est pas actif ;)
Avant de te lire , ton lien n est pas actif ;)
Utilisateur anonyme
26 févr. 2009 à 21:05
26 févr. 2009 à 21:05
OK, merci pour le complement d infos que tu m as communiqué.
de mon coté je me mettrai sur fyk samedi
en te remerciant.
passe un bon week end
@+
de mon coté je me mettrai sur fyk samedi
en te remerciant.
passe un bon week end
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
27 févr. 2009 à 03:53
27 févr. 2009 à 03:53
salut,
Je ne sais pas si cela peut vous donner beaucoup de travail mais pour information.
J'ai testé fyk 4.717 sur ma machine (je suis sous vista 64), l'installation se passe bien.
Mais lors de l'exécution (clic droit....administrateur), il indique:
*le chemin d'accès spécifié est introuvable*
et ensuite *accès refusé* mais il ouvre quand même le menu pour choisir la langue.
Si je lances l'option 1, il ne fait rien et indique
*des fichiers sont manquant, l'outil est mal installé, l'outil ne peut continuer à s'exécuter..
Appuyer sur une touche pour quitter Findykill**
Les applications 32bits sont installé dans **homedrive**\Program Files (x86)
A+
Je ne sais pas si cela peut vous donner beaucoup de travail mais pour information.
J'ai testé fyk 4.717 sur ma machine (je suis sous vista 64), l'installation se passe bien.
Mais lors de l'exécution (clic droit....administrateur), il indique:
*le chemin d'accès spécifié est introuvable*
et ensuite *accès refusé* mais il ouvre quand même le menu pour choisir la langue.
Si je lances l'option 1, il ne fait rien et indique
*des fichiers sont manquant, l'outil est mal installé, l'outil ne peut continuer à s'exécuter..
Appuyer sur une touche pour quitter Findykill**
Les applications 32bits sont installé dans **homedrive**\Program Files (x86)
A+
Utilisateur anonyme
27 févr. 2009 à 15:00
27 févr. 2009 à 15:00
Salut Denis , je t ai mp.
Olivier , va falloir que tu me presente ta voisine , elle est terrible (-;-)
Bon week end
Olivier , va falloir que tu me presente ta voisine , elle est terrible (-;-)
Bon week end
Salut à tous
Lol, terrible je sais pas mais la miss est prometteuse, c'est certain !
Bien joué Cédric, franchement j'ai hâte de voir ce que donneront les prochaines utilisations du fix....
Pour ma part je vais continuer de bosser sur la détection des zip et voir comment je peux goupiller çà par rapport au fichier $REFMD5B ...
Je te tiens au courant...
Bon we à tous !
@++
PS:
Gen...ton idée primaire est tout à fait réalisable ! Et pour ma part je reste ouvert au principe d'une base de données MD5.
Sauf qu'à mon avis et cet avis n'implique moi, je pense que si lors d'un scan tu cacules le md5 des exe sur le pc, avec un des outils dont tu as pu voir le fonctionnement, et que la seule action consiste ensuite à vérifier si ce md5 fait partie de ta base de données ou pas, bah tu t'exposes rapidement à passer au travers de pas mal de fichiers infectés.
Je veux dire par là qu'avec une BDD aussi suivie qu'elle soit, et surtout avec une infection comme bagle ou il y a régulièrement une volonté des codeurs du ver de brouiller les pistes en balancant sur la toile la même variante bricolé pour que son empreinte change, bah tu t'exposes à avoir rapidement quelques gros trous de md5 !
Regarde par exemple les soucis et le temps de retard que ça occasionne à Elibagla dont les maj dépendent pour une grosse partie de l'upload...
Donc partant de là, perso j'ai juste cherché à voir s'il était possible de trouver à l'intérieur des fichiers infectés, une constante qu'on puisse retrouver dans toutes les variantes qui circulent depuis l'année dernière et le string themida en est pour l'instant une.
D'ailleurs je pense que sur ce point Cédric est d'accord avec moi sinon il m'aurait envoyé chier depuis longtemps avec mon exe :-)
On peux alors tout à fait en déduire que les fichiers "écrasés" par bagle dont on ne peut pas connaître le nom par avance, peuvent être détectés en recherchant cette chaine de caractère.
Ensuite là oui je rejoins totalement ton idée, car pour éviter les FP éventuels, un calcul puis une comparaison du md5 avec une BDD qui serait positive, peut largement donner le feu vert à une suppression automatique et même si c'est négatif il y a quand même themida qui met la puce à l'oreille et là malgré des trous éventuels dans la BDD on peut par exemple envisager un renommage le temps d'une analyse pour confirmer ou infirmer !
En fait quelque soit l'ordre avec lequel tu procèdes, car tu peux aussi bien, commencer par une comparaison md5 puis enchainer avec themida si elle est négative, le principal est d'arriver à te servir de tout les éléments de détections en ta possession pour éviter de n'avoir à te fier qu'à la BDD et donc d'arriver à un taux de détection le plus élevé possible l
Lol...Gen j'espère que tout ce charabia sera le plus compréhensible possible, parce que je suis pas très doué pour faire clair et concis.... :-)
@++
Lol, terrible je sais pas mais la miss est prometteuse, c'est certain !
Bien joué Cédric, franchement j'ai hâte de voir ce que donneront les prochaines utilisations du fix....
Pour ma part je vais continuer de bosser sur la détection des zip et voir comment je peux goupiller çà par rapport au fichier $REFMD5B ...
Je te tiens au courant...
Bon we à tous !
@++
PS:
Gen...ton idée primaire est tout à fait réalisable ! Et pour ma part je reste ouvert au principe d'une base de données MD5.
Sauf qu'à mon avis et cet avis n'implique moi, je pense que si lors d'un scan tu cacules le md5 des exe sur le pc, avec un des outils dont tu as pu voir le fonctionnement, et que la seule action consiste ensuite à vérifier si ce md5 fait partie de ta base de données ou pas, bah tu t'exposes rapidement à passer au travers de pas mal de fichiers infectés.
Je veux dire par là qu'avec une BDD aussi suivie qu'elle soit, et surtout avec une infection comme bagle ou il y a régulièrement une volonté des codeurs du ver de brouiller les pistes en balancant sur la toile la même variante bricolé pour que son empreinte change, bah tu t'exposes à avoir rapidement quelques gros trous de md5 !
Regarde par exemple les soucis et le temps de retard que ça occasionne à Elibagla dont les maj dépendent pour une grosse partie de l'upload...
Donc partant de là, perso j'ai juste cherché à voir s'il était possible de trouver à l'intérieur des fichiers infectés, une constante qu'on puisse retrouver dans toutes les variantes qui circulent depuis l'année dernière et le string themida en est pour l'instant une.
D'ailleurs je pense que sur ce point Cédric est d'accord avec moi sinon il m'aurait envoyé chier depuis longtemps avec mon exe :-)
On peux alors tout à fait en déduire que les fichiers "écrasés" par bagle dont on ne peut pas connaître le nom par avance, peuvent être détectés en recherchant cette chaine de caractère.
Ensuite là oui je rejoins totalement ton idée, car pour éviter les FP éventuels, un calcul puis une comparaison du md5 avec une BDD qui serait positive, peut largement donner le feu vert à une suppression automatique et même si c'est négatif il y a quand même themida qui met la puce à l'oreille et là malgré des trous éventuels dans la BDD on peut par exemple envisager un renommage le temps d'une analyse pour confirmer ou infirmer !
En fait quelque soit l'ordre avec lequel tu procèdes, car tu peux aussi bien, commencer par une comparaison md5 puis enchainer avec themida si elle est négative, le principal est d'arriver à te servir de tout les éléments de détections en ta possession pour éviter de n'avoir à te fier qu'à la BDD et donc d'arriver à un taux de détection le plus élevé possible l
Lol...Gen j'espère que tout ce charabia sera le plus compréhensible possible, parce que je suis pas très doué pour faire clair et concis.... :-)
@++
Utilisateur anonyme
27 févr. 2009 à 16:56
27 févr. 2009 à 16:56
salut a tous FYK ne fonctionne pas pour le 64 bits...???
moe je vois que tu t'approche de mon idee primaire quant au MD5
merci donc , je n'avais pas enoncé l'idee pour rien c est terrible
moe je vois que tu t'approche de mon idee primaire quant au MD5
merci donc , je n'avais pas enoncé l'idee pour rien c est terrible
Utilisateur anonyme
27 févr. 2009 à 20:32
27 févr. 2009 à 20:32
;)
re Olivier ,
franchement j'ai hâte de voir ce que donneront les prochaines utilisations du fix....
Idem , c est pourquoi je viens mettre la maj en ligne .
Y aura surement des details a voir , rajouter un : # apres "chemin + fichier" je pense .
Ensuite de mon coté , je suis passé sur plusieures choses , que je reverrai pour 719 .
La semaine prochaine , je serai moins dispo (g rdv avec mlle themida ;) ) , mais je resterai accessible le soir.
Qui qu il en soit , ta "touch" est fort appréciable ...
si tu utilise la maj , dis moi si tu y vois un truc important a rectif .
re Olivier ,
franchement j'ai hâte de voir ce que donneront les prochaines utilisations du fix....
Idem , c est pourquoi je viens mettre la maj en ligne .
Y aura surement des details a voir , rajouter un : # apres "chemin + fichier" je pense .
Ensuite de mon coté , je suis passé sur plusieures choses , que je reverrai pour 719 .
La semaine prochaine , je serai moins dispo (g rdv avec mlle themida ;) ) , mais je resterai accessible le soir.
Qui qu il en soit , ta "touch" est fort appréciable ...
si tu utilise la maj , dis moi si tu y vois un truc important a rectif .
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
27 févr. 2009 à 21:23
27 févr. 2009 à 21:23
Hello,
mOe a une "touch" ?
Ah bon !
Hé bien, hé bien ...
...
;)
mOe a une "touch" ?
Ah bon !
Hé bien, hé bien ...
...
;)
Utilisateur anonyme
27 févr. 2009 à 21:57
27 févr. 2009 à 21:57
;)
Hé Al. bah oui , avec la voisine , pourvu que maman ne lis pas tous ça ...
pluches ;)
Hé Al. bah oui , avec la voisine , pourvu que maman ne lis pas tous ça ...
pluches ;)
Utilisateur anonyme
27 févr. 2009 à 23:10
27 févr. 2009 à 23:10
et re ,
Olivier, t as deja rencontré ce message "windows pas de disques" ;) moi non mais j aimerais bien ...
Car je ne peux "faire mumuse avec" ? Ce que je saisi pas dans ce message , c est le pourquoi ..., , ,,?
>>je peux pas tester mes idées -(
Olivier, t as deja rencontré ce message "windows pas de disques" ;) moi non mais j aimerais bien ...
Car je ne peux "faire mumuse avec" ? Ce que je saisi pas dans ce message , c est le pourquoi ..., , ,,?
>>je peux pas tester mes idées -(
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
28 févr. 2009 à 00:03
28 févr. 2009 à 00:03
Salut,
un autre cas tout neuf en cours ici :
http://www.commentcamarche.net/forum/affich 11283418 impossibilite de supprimer des virus urgent?#2
A+
;o)
un autre cas tout neuf en cours ici :
http://www.commentcamarche.net/forum/affich 11283418 impossibilite de supprimer des virus urgent?#2
A+
;o)
Utilisateur anonyme
28 févr. 2009 à 00:05
28 févr. 2009 à 00:05
re,
merci Ske ,
c est appréciable .
merci Ske ,
c est appréciable .
Salut à tous
Olivier, t as deja rencontré ce message "windows pas de disques" ;) moi non mais j aimerais bien ...
Non, mais est-ce que tu aurais un lien vers un post ou ça c'est produit ?
Est-ce que tu as remarqué si le message arrive lorsqu'il y a tentative de supprimer un autorun.inf sur un CDROM par exemple ?
>>je peux pas tester mes idées -(
Pour "windows pas de disques" ? ou pour d'autres idées ?
Merci pour les remontées en tout cas, je vais aller voir çà de plus près ! :-)
Bonne journée à vous.
++
Olivier, t as deja rencontré ce message "windows pas de disques" ;) moi non mais j aimerais bien ...
Non, mais est-ce que tu aurais un lien vers un post ou ça c'est produit ?
Est-ce que tu as remarqué si le message arrive lorsqu'il y a tentative de supprimer un autorun.inf sur un CDROM par exemple ?
>>je peux pas tester mes idées -(
Pour "windows pas de disques" ? ou pour d'autres idées ?
Merci pour les remontées en tout cas, je vais aller voir çà de plus près ! :-)
Bonne journée à vous.
++
Salut Cédric et TLM
Cédric, suite à tes remarques, j'ai updaté FYKS (ajout de # après chemin+nom fichier).
Si tu as remarqué d'autres choses, n'hésites pas...
Tu trouveras aussi dans le rar en pj une version béta dont je me suis servis pour faire quelques tests avec la recherche des zips...
Si tu veux faire un p'tit essai :-), remplace le script de base, ainsi que FYKS.exe et rajoute 7z.exe dans tools, tout ces fichiers se trouvent tous dans le dossier Beta du rar.
Je t'explique rapidos le fonctionnement :
Après le scan des fichiers (EXE,VIR,RAR,ZIP) :
$PEH = Contient toujours le chemin des fichiers corrompus
$THFIX = Contient Taille+MD5+chemin des fichiers Themida dont le MD5 a été détecté dans REFMD5B
$THREN = Contient Taille+MD5+chemin des fichiers Themida dont le MD5 n'a pas été détecté dans REFMD5B
$ZIP = Contient le chemin des archives dont le CRC a été détecté dans REFMD5B
Les fichiers mentionnés dans $ZIP et $THFIX seront ensuite backupés et supprimés via findykill.cmd et ceux de $THREN, affichés suspect et laissés à l'interprétation.
Donc voilà, la béta c'est juste pour le fun et plutôt histoire de voir si la détection des zips te conviendras :-)
Bonne soirée et good luck pour ton rdv avec ta "mlle themida" :-)
@++
Cédric, suite à tes remarques, j'ai updaté FYKS (ajout de # après chemin+nom fichier).
Si tu as remarqué d'autres choses, n'hésites pas...
Tu trouveras aussi dans le rar en pj une version béta dont je me suis servis pour faire quelques tests avec la recherche des zips...
Si tu veux faire un p'tit essai :-), remplace le script de base, ainsi que FYKS.exe et rajoute 7z.exe dans tools, tout ces fichiers se trouvent tous dans le dossier Beta du rar.
Je t'explique rapidos le fonctionnement :
Après le scan des fichiers (EXE,VIR,RAR,ZIP) :
$PEH = Contient toujours le chemin des fichiers corrompus
$THFIX = Contient Taille+MD5+chemin des fichiers Themida dont le MD5 a été détecté dans REFMD5B
$THREN = Contient Taille+MD5+chemin des fichiers Themida dont le MD5 n'a pas été détecté dans REFMD5B
$ZIP = Contient le chemin des archives dont le CRC a été détecté dans REFMD5B
Les fichiers mentionnés dans $ZIP et $THFIX seront ensuite backupés et supprimés via findykill.cmd et ceux de $THREN, affichés suspect et laissés à l'interprétation.
Donc voilà, la béta c'est juste pour le fun et plutôt histoire de voir si la détection des zips te conviendras :-)
Bonne soirée et good luck pour ton rdv avec ta "mlle themida" :-)
@++
Utilisateur anonyme
1 mars 2009 à 01:11
1 mars 2009 à 01:11
bonsoir j'espere que vous allez bien tous et bravo encore pour le travail que vous fournissez et le coeur que vous y mettez et merci....
de tout coeur qu'un jour ce travail sera VRAIMENT reconnu
vous etes des pros Cedric et Olivier et c'est un plaisir d'utiliser "votre" outil (les guillemets servent a bien vous assembler)
:)
de tout coeur qu'un jour ce travail sera VRAIMENT reconnu
vous etes des pros Cedric et Olivier et c'est un plaisir d'utiliser "votre" outil (les guillemets servent a bien vous assembler)
:)
Utilisateur anonyme
1 mars 2009 à 14:30
1 mars 2009 à 14:30
Bon dia tots,
Olivier, désolé du retard .
J ai lu ton post hier soir , mais je n ai fais les test que ce midi .
J ai donc modifié 718 et remis en ligne .
Concernant Beta , de mon coté c est tres concluant. :) Rapport
En plus avec le Backup c est encore mieux ;)
Sinon pour les zip , crois tu que ces résultats sont exploitables, genre une "copie modifiée" dans tools ..
Pour "windows pas de disque" je me suis posé les mauvaises questions. D apres mes souvenirs et mes sources ce message peut aussi bien apparaitre lors de la recherche que du kill .
Moi je cherchais a faire "disparaitre ce message" . le plus intelligent je pense serait de faire en sorte qu il n apparaisse pas .. c est a dire :
dans un premier temps identifier les "lettre" correspondant au ou aux lecteurs cd dvd .. puis de les exclure ..
Je sais pas vraiment si c est réalisable , je pense que oui , enfin c est ce qui m est passé par la tete en y refléchissant , si t as un avis ..
Merci pour l enorme apport que tu donne au tool en ce moment .
@ plus tard surement.
Bon dimanche.
Olivier, désolé du retard .
J ai lu ton post hier soir , mais je n ai fais les test que ce midi .
J ai donc modifié 718 et remis en ligne .
Concernant Beta , de mon coté c est tres concluant. :) Rapport
En plus avec le Backup c est encore mieux ;)
Sinon pour les zip , crois tu que ces résultats sont exploitables, genre une "copie modifiée" dans tools ..
Pour "windows pas de disque" je me suis posé les mauvaises questions. D apres mes souvenirs et mes sources ce message peut aussi bien apparaitre lors de la recherche que du kill .
Moi je cherchais a faire "disparaitre ce message" . le plus intelligent je pense serait de faire en sorte qu il n apparaisse pas .. c est a dire :
dans un premier temps identifier les "lettre" correspondant au ou aux lecteurs cd dvd .. puis de les exclure ..
Je sais pas vraiment si c est réalisable , je pense que oui , enfin c est ce qui m est passé par la tete en y refléchissant , si t as un avis ..
Merci pour l enorme apport que tu donne au tool en ce moment .
@ plus tard surement.
Bon dimanche.
Salut Chiquitine, sKe69
Cédric, regarde dans Tools et ce que contient le fichier $drives après le lancement du vbs :-)
Pour figurer dans ce fichier, il y a un tri qui consiste à vérifier que le média ne soit pas de :
DriveType 5 = Compact Disc
Mais qu'il soit par contre de MediaType :
11 = Removable media other than floppy
12 = Fixed hard disk media
Ce qui exclue les CDROM+Floppy :-)
Fais quelques essais mais logiquement c'est assez fiable.
Merci pour l enorme apport que tu donne au tool en ce moment .
Bah écoute, de rien mais pour l'instant je ne suis pas trop satisfait, j'ai suivis avec attention la remontée de sKe69, que je remercie au passage, et je dois avouer que je suis resté assez dubitatif sur les résultats.
Mais bon, j'attend de voir encore quelques remontées histoire de pas être trop hatif non plus.
Sinon idem pour la béta, il n'y a pas de détection positive des zip sources alors que c'était le cas chez moi.
Bref, il y a encore pas mal de boulot...
Sinon pour les zip , crois tu que ces résultats sont exploitables, genre une "copie modifiée" dans tools ..
Oui tout à fait, d'ailleurs je bosse là dessus en parallèle :-)
Les crc pour les zip et md5 pour les fichiers themida, groupés dans un même fichier de réfs+rajout auto crc et md5 du winupgro présent.
mais je pense que olivier pourra peut etre nous montrer des exemples ou cet exe relance carrément l infection.
Si certaines clé relatives à l'infection ne sont pas nettoyées par exemple, l'infection repart.
Idem si tu as deux 04 infectés...
Le cas est rare mais j'ai déjà vu des réinfections après passage de FYK et reboot du pc.
Dans ce cas le rapport combo qui suit dans la foulée, puisque en cas d'échec de FYK c'est souvent lui qui prends le relais, montre bien la présence deux deux 04 écrasées...
Tant que les outils font le job au niveau du registre, bah effectivement c'est rare de voir une réinfection même s'il reste une 04 infecté.
@+ tard....
Cédric, regarde dans Tools et ce que contient le fichier $drives après le lancement du vbs :-)
Pour figurer dans ce fichier, il y a un tri qui consiste à vérifier que le média ne soit pas de :
DriveType 5 = Compact Disc
Mais qu'il soit par contre de MediaType :
11 = Removable media other than floppy
12 = Fixed hard disk media
Ce qui exclue les CDROM+Floppy :-)
Fais quelques essais mais logiquement c'est assez fiable.
Merci pour l enorme apport que tu donne au tool en ce moment .
Bah écoute, de rien mais pour l'instant je ne suis pas trop satisfait, j'ai suivis avec attention la remontée de sKe69, que je remercie au passage, et je dois avouer que je suis resté assez dubitatif sur les résultats.
Mais bon, j'attend de voir encore quelques remontées histoire de pas être trop hatif non plus.
Sinon idem pour la béta, il n'y a pas de détection positive des zip sources alors que c'était le cas chez moi.
Bref, il y a encore pas mal de boulot...
Sinon pour les zip , crois tu que ces résultats sont exploitables, genre une "copie modifiée" dans tools ..
Oui tout à fait, d'ailleurs je bosse là dessus en parallèle :-)
Les crc pour les zip et md5 pour les fichiers themida, groupés dans un même fichier de réfs+rajout auto crc et md5 du winupgro présent.
mais je pense que olivier pourra peut etre nous montrer des exemples ou cet exe relance carrément l infection.
Si certaines clé relatives à l'infection ne sont pas nettoyées par exemple, l'infection repart.
Idem si tu as deux 04 infectés...
Le cas est rare mais j'ai déjà vu des réinfections après passage de FYK et reboot du pc.
Dans ce cas le rapport combo qui suit dans la foulée, puisque en cas d'échec de FYK c'est souvent lui qui prends le relais, montre bien la présence deux deux 04 écrasées...
Tant que les outils font le job au niveau du registre, bah effectivement c'est rare de voir une réinfection même s'il reste une 04 infecté.
@+ tard....
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
1 mars 2009 à 15:31
1 mars 2009 à 15:31
Salut à tous ...
sur ce cas là :
http://www.commentcamarche.net/forum/affich 11283418 impossibilite de supprimer des virus urgent?#12
je pensais à un FP de MBAM .... donc je lui fais restaurer ceci :
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nvidia ntune
et
C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe
je fais vérifer sur VirusTotal histoire de, et là :
http://www.commentcamarche.net/forum/affich 11283418 impossibilite de supprimer des virus urgent?#14
Bagle semble avoir infecter ce fichier ... jamais vu balgle s'attaquer à ça ... -_-
A+
sur ce cas là :
http://www.commentcamarche.net/forum/affich 11283418 impossibilite de supprimer des virus urgent?#12
je pensais à un FP de MBAM .... donc je lui fais restaurer ceci :
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nvidia ntune
et
C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe
je fais vérifer sur VirusTotal histoire de, et là :
http://www.commentcamarche.net/forum/affich 11283418 impossibilite de supprimer des virus urgent?#14
Bagle semble avoir infecter ce fichier ... jamais vu balgle s'attaquer à ça ... -_-
A+
Utilisateur anonyme
1 mars 2009 à 15:42
1 mars 2009 à 15:42
Salut Ske,
effectivement ,
# Références de comparaison Bagle MD5 :
e7d08797 C:\Documents and Settings\JRE\Application Data\drivers\winupgro.exe
0dd95f7cad549a33bbeac3128b055fc5 C:\Documents and Settings\JRE\Application Data\drivers\winupgro.exe
MD5...: 0dd95f7cad549a33bbeac3128b055fc5
Je vais reflechir a ça , mais je pense que olivier nous en dira plus . En tout cas merci pour cette superbe remontée.
effectivement ,
# Références de comparaison Bagle MD5 :
e7d08797 C:\Documents and Settings\JRE\Application Data\drivers\winupgro.exe
0dd95f7cad549a33bbeac3128b055fc5 C:\Documents and Settings\JRE\Application Data\drivers\winupgro.exe
MD5...: 0dd95f7cad549a33bbeac3128b055fc5
Je vais reflechir a ça , mais je pense que olivier nous en dira plus . En tout cas merci pour cette superbe remontée.
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
1 mars 2009 à 15:48
1 mars 2009 à 15:48
de rein,
je lui ai demandé de repasser MBAM du coup ;)
n'hésite pas à intervenir sur le topic au besoin ...
++
je lui ai demandé de repasser MBAM du coup ;)
n'hésite pas à intervenir sur le topic au besoin ...
++
Utilisateur anonyme
1 mars 2009 à 15:52
1 mars 2009 à 15:52
re,
pas besoin
apres mbam , pense a virer :
C:\Documents and Settings\JRE\Application Data\drivers
[-HKEY_CURRENT_USER\Software\bisoft]
merci en tout cas
pas besoin
apres mbam , pense a virer :
C:\Documents and Settings\JRE\Application Data\drivers
[-HKEY_CURRENT_USER\Software\bisoft]
merci en tout cas
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
1 mars 2009 à 16:18
1 mars 2009 à 16:18
lu,
merki ^^
merki ^^
