89 réponses
Utilisateur anonyme
28 juil. 2008 à 12:31
28 juil. 2008 à 12:31
mises a part cette clé vérolé
que penses tu de la procédure ??
que penses tu de la procédure ??
Utilisateur anonyme
28 juil. 2008 à 12:35
28 juil. 2008 à 12:35
Re ,
Elle me semble très classique , rien d'innovant.
J'aurais utilisé tout ces outils ( peut-être dans un ordre différent )
L'utilisation d'OtmoveIt ne sert pas à grand chose si tu veux gagner du temps , puisqu'avec Combofix tu aurais pu l'intègrer dans un CFScript.
Donc voila :)
++
Elle me semble très classique , rien d'innovant.
J'aurais utilisé tout ces outils ( peut-être dans un ordre différent )
L'utilisation d'OtmoveIt ne sert pas à grand chose si tu veux gagner du temps , puisqu'avec Combofix tu aurais pu l'intègrer dans un CFScript.
Donc voila :)
++
Utilisateur anonyme
28 juil. 2008 à 12:38
28 juil. 2008 à 12:38
oui en effet
mais si tu fais un CSFcript sans passer par otmoveit
combofix ne se lancera pas je pense win32 non valide
mais si tu fais un CSFcript sans passer par otmoveit
combofix ne se lancera pas je pense win32 non valide
Utilisateur anonyme
28 juil. 2008 à 12:41
28 juil. 2008 à 12:41
yes mais si tu part du principe que combofix renomé ne démarre pas ....
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
28 juil. 2008 à 12:46
28 juil. 2008 à 12:46
pour le CFScript je pense que je vais réitérer l expérience pour voir
Utilisateur anonyme
28 juil. 2008 à 12:47
28 juil. 2008 à 12:47
oui tout les avis sont les bienvenus j ai ouvert ce topic justement pour ça
le but étant de trouver une méthode simple et efficace et rapide
le but étant de trouver une méthode simple et efficace et rapide
^^Marie^^
Messages postés
113901
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 275
28 juil. 2008 à 16:57
28 juil. 2008 à 16:57
UP
Utilisateur anonyme
2 août 2008 à 02:31
2 août 2008 à 02:31
re
expérience réitéré
j ai fais un scan direct avec malewarebyte et sa derniere MAJ :
Malwarebytes' Anti-Malware 1.24
Database version: 1015
Windows 6.0.6001 Service Pack 1
02:12:04 02/08/2008
mbam-log-8-2-2008 (02-12-04).txt
Scan type: Quick Scan
Objects scanned: 31756
Time elapsed: 4 minute(s), 31 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 3
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> Quarantined and deleted successfully.
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
C:\Windows\System32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.
Files Infected:
C:\Windows\System32\drivers\downld\265888.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\hldrrr.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\srosa.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
expérience réitéré
j ai fais un scan direct avec malewarebyte et sa derniere MAJ :
Malwarebytes' Anti-Malware 1.24
Database version: 1015
Windows 6.0.6001 Service Pack 1
02:12:04 02/08/2008
mbam-log-8-2-2008 (02-12-04).txt
Scan type: Quick Scan
Objects scanned: 31756
Time elapsed: 4 minute(s), 31 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 3
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> Quarantined and deleted successfully.
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
C:\Windows\System32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.
Files Infected:
C:\Windows\System32\drivers\downld\265888.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\hldrrr.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\srosa.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
Salut Chiquitine29,
Par curiosité, si tu n'as utilisé qu'MBAM, ça a donné quoi après le reboot ? Réinfection ?
A quoi ressemble l'icône des fichiers bagle, car wintems.exe ne semble présent sur aucun des tests ?
En tout cas, c'est bien que tu fasses la démarche d'affiner par toi même des procedures existantes et de les tester (surtout sous vista ou l'infection semble moins virulente), ne serait-ce que par rapport à la compréhension de l'infection et à sa possible évolution.
Mais à pouvoir tester Bagle, ce serait bien aussi en parallèle de rechercher des méthodes qui visent à le désactiver en mode normal, sans passer par combofix.
Disons que si l'infection devait évoluer radicalement en empêchant systématiquement tout accès au MSE et en shootant combofix ou d'autres progs, qu'ils soient renommés ou pas, connaître une ou plusieurs portes de sorties te sera tout aussi utile dans l'urgence, puis pour le fun et le défi aussi, mais ce n'est que mon avis.
Bonne continuation.
@++
Par curiosité, si tu n'as utilisé qu'MBAM, ça a donné quoi après le reboot ? Réinfection ?
A quoi ressemble l'icône des fichiers bagle, car wintems.exe ne semble présent sur aucun des tests ?
En tout cas, c'est bien que tu fasses la démarche d'affiner par toi même des procedures existantes et de les tester (surtout sous vista ou l'infection semble moins virulente), ne serait-ce que par rapport à la compréhension de l'infection et à sa possible évolution.
Mais à pouvoir tester Bagle, ce serait bien aussi en parallèle de rechercher des méthodes qui visent à le désactiver en mode normal, sans passer par combofix.
Disons que si l'infection devait évoluer radicalement en empêchant systématiquement tout accès au MSE et en shootant combofix ou d'autres progs, qu'ils soient renommés ou pas, connaître une ou plusieurs portes de sorties te sera tout aussi utile dans l'urgence, puis pour le fun et le défi aussi, mais ce n'est que mon avis.
Bonne continuation.
@++
Utilisateur anonyme
2 août 2008 à 16:00
2 août 2008 à 16:00
Salut Moe,
content que tu passes sur ce topic.
Je joue aux apprentis sorcier -;)
oui en effet l expérience a été faite seulement sous vista.
en sachant que le MSE est chaque fois accessible.
en mode normal j ai le droit a des blue screen au bout de 5/10 min
MalewArebyte avec sa derniere maj a été passé en MSE
Puis j ai redémarré le pc et je l ai réinfecté de nouveau (et redémmaré pour activer l infection) pour tester MBAM en mode normal
il trouve l infection mais a la fin du scan, malewarebyte bug et donc j ai été dans l incapacité de "supprimer le selection"
je n ai pas testé KB -;)
A quoi ressemble l'icône des fichiers bagle
Je n ai pas été voir, j ai juste testé des outils pour l instant
Donc oui en effet, je cherche a mieux comprendre etc
je n ai pas pousser plus loin pour l instant, mais c est au programmes.
je vais installer un xp aussi pour tester etc
je donnerai des nouvelles (mais pas prochainement)
@++
content que tu passes sur ce topic.
Je joue aux apprentis sorcier -;)
oui en effet l expérience a été faite seulement sous vista.
en sachant que le MSE est chaque fois accessible.
en mode normal j ai le droit a des blue screen au bout de 5/10 min
MalewArebyte avec sa derniere maj a été passé en MSE
Puis j ai redémarré le pc et je l ai réinfecté de nouveau (et redémmaré pour activer l infection) pour tester MBAM en mode normal
il trouve l infection mais a la fin du scan, malewarebyte bug et donc j ai été dans l incapacité de "supprimer le selection"
je n ai pas testé KB -;)
A quoi ressemble l'icône des fichiers bagle
Je n ai pas été voir, j ai juste testé des outils pour l instant
Donc oui en effet, je cherche a mieux comprendre etc
je n ai pas pousser plus loin pour l instant, mais c est au programmes.
je vais installer un xp aussi pour tester etc
je donnerai des nouvelles (mais pas prochainement)
@++
Utilisateur anonyme
2 août 2008 à 16:28
2 août 2008 à 16:28
Re Moe,
Si t es encore là :
http://www.commentcamarche.net/forum/affich 7708472 impossible de telecharger a cause de win 32
@+
Bon week end
Si t es encore là :
http://www.commentcamarche.net/forum/affich 7708472 impossible de telecharger a cause de win 32
@+
Bon week end
Salut Chiquitine29
Je joue aux apprentis sorcier -;)
Très bonne initiative et qui ne peut qu'être qu'enrichissante :-)
En fait pour MBAM je voulais juste savoir si après l'avoir utilisé tu avais redémarré le pc et juste vu si l'infection s'était relancé automatiquement ou pas.
Par exemple dans un test que j'avais pu faire sous xp, MBAM utilisé seul, ne détectait pas les 04 infectées et ne "rusait" pas comme Eli ou combo au niveau du registre, ce qui provoquait une réinfection systématique au reboot.
Je n ai pas été voir, j ai juste testé des outils pour l instant
Ok je vois, mais celle du crack, tu t'en souviendrais pas, par hasard ?
A vue de nez j'ai l'impression que tu travailles sur une "ancienne" variante, mais si jamais tu as l'intention de refaire quelques tests ce WE, je peux te donner si tu veux un lien pour une variante qui n'est pas encore connue d'Elibagla v11.66 mais qui le sera surement d'ici deux trois jours pour la 11.67.
A toi de voir si ça t'interesse.
je n ai pas testé KB -;)
Lol, bah quand tu en sera là, fais moi le savoir ici, je remettrais le lien en circulation pour que tu puisses tester KillB.exe.
J'avoue que je suis curieux de voir ce qu'il vaut sous Vista.
Bonnes vacances :-) et bons tests.
@++
ps:
Merci pour le lien, KB2...?, mouais... il ne se contente que de renommer et de lancer ensuite elibagla renommé, mais l'astuce aujourd'hui pour quelle reste efficace, demande ensuite un reboot du pc et la réexécution d'elibagla juste avant l'ouverture de session pour finaliser, donc possible que le résultat ne soit pas concluant au premier abord...
A voir... :-)
Je joue aux apprentis sorcier -;)
Très bonne initiative et qui ne peut qu'être qu'enrichissante :-)
En fait pour MBAM je voulais juste savoir si après l'avoir utilisé tu avais redémarré le pc et juste vu si l'infection s'était relancé automatiquement ou pas.
Par exemple dans un test que j'avais pu faire sous xp, MBAM utilisé seul, ne détectait pas les 04 infectées et ne "rusait" pas comme Eli ou combo au niveau du registre, ce qui provoquait une réinfection systématique au reboot.
Je n ai pas été voir, j ai juste testé des outils pour l instant
Ok je vois, mais celle du crack, tu t'en souviendrais pas, par hasard ?
A vue de nez j'ai l'impression que tu travailles sur une "ancienne" variante, mais si jamais tu as l'intention de refaire quelques tests ce WE, je peux te donner si tu veux un lien pour une variante qui n'est pas encore connue d'Elibagla v11.66 mais qui le sera surement d'ici deux trois jours pour la 11.67.
A toi de voir si ça t'interesse.
je n ai pas testé KB -;)
Lol, bah quand tu en sera là, fais moi le savoir ici, je remettrais le lien en circulation pour que tu puisses tester KillB.exe.
J'avoue que je suis curieux de voir ce qu'il vaut sous Vista.
Bonnes vacances :-) et bons tests.
@++
ps:
Merci pour le lien, KB2...?, mouais... il ne se contente que de renommer et de lancer ensuite elibagla renommé, mais l'astuce aujourd'hui pour quelle reste efficace, demande ensuite un reboot du pc et la réexécution d'elibagla juste avant l'ouverture de session pour finaliser, donc possible que le résultat ne soit pas concluant au premier abord...
A voir... :-)
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
2 août 2008 à 17:25
2 août 2008 à 17:25
Salut Chiquitine29 ,Salut tous et toutes,
L'idée de tests en se 'mouillant' comme tu le fais, est à mon avis, la meilleure façon d'éprouver les logiciels et d'éclaiirer sois-même et les autres.
Ce type de chasse, je le répétais moi aussi sur mes machines.
Une façon de ne pas parler au travers de son chapeu !
Là, tu passes à l'étape de désinfection et tentes des méthodes rapides puis contrôle les résultats.
Aussi , ceci te confirme que les protections 'temps réel' sont +/- efficaces, puis te permettera d'éprouver par la suite des combinaisons de protections gardiennes.
Car certains acquis, ne le sont plus si on sors des sentiers battus.
Donc sans commenter les techniques utilisées, je puis te dire que : Tu es sur la bonne voie et la bonne philosophie 'helper' !
Je l'ai répété très souvent, mais fais bien attation aux infections 'plus profondes'
J'ai déjà eu du mal avec un VIRUT sur ma machine et j,ai fini par flasher le bios et utilisé mon ami Killdisk.
Mais il en résultera que tu sauras de quoi tu parles et c'est tout en ton honneur, !
Bravo !
Jal
L'idée de tests en se 'mouillant' comme tu le fais, est à mon avis, la meilleure façon d'éprouver les logiciels et d'éclaiirer sois-même et les autres.
Ce type de chasse, je le répétais moi aussi sur mes machines.
Une façon de ne pas parler au travers de son chapeu !
Là, tu passes à l'étape de désinfection et tentes des méthodes rapides puis contrôle les résultats.
Aussi , ceci te confirme que les protections 'temps réel' sont +/- efficaces, puis te permettera d'éprouver par la suite des combinaisons de protections gardiennes.
Car certains acquis, ne le sont plus si on sors des sentiers battus.
Donc sans commenter les techniques utilisées, je puis te dire que : Tu es sur la bonne voie et la bonne philosophie 'helper' !
Je l'ai répété très souvent, mais fais bien attation aux infections 'plus profondes'
J'ai déjà eu du mal avec un VIRUT sur ma machine et j,ai fini par flasher le bios et utilisé mon ami Killdisk.
Mais il en résultera que tu sauras de quoi tu parles et c'est tout en ton honneur, !
Bravo !
Jal
Utilisateur anonyme
2 août 2008 à 17:43
2 août 2008 à 17:43
Re Moe,
Au sujet de KB j ai ce qu il faut ...., par le biais de Julie qui est au courant de cette aventure (elle a mon mail)
Je vais quitter le forum d ici peux pour raisons perso et pro mais je tiendrai julie au courant ....
En fait pour MBAM je voulais juste savoir si après l'avoir utilisé tu avais redémarré le pc et juste vu si l'infection s'était relancé automatiquement ou pas.
Au redémarrage l infection a repris , car le centre de sécurité étais anéanti et impossible de démarrer les services (services.msc non acessible ainsi que le gestionnaire des taches), néanmoins combo était démarrable renomé( en mse)
je peux te donner si tu veux un lien pour une variante qui n'est pas encore connue d'Elibagla v11.66 mais qui le sera surement d'ici deux trois jours pour la 11.67.
Oui bien sur je suis interessé, car mon aventure en seras que plus constructive.
Pour l instant j en suis au début de la démarche mais ....
Salut Jal ,
Je te remercie du soutiens , et evidement oui cette opération génère un certains risque pour la machine, tout comme l a signalé Cyril , mais c est un risque que je suis pret a prendre.
Donc oui Moe je suis tres intéressé par la variante car c est justement ce qu il manque pour que cette expérience soit "crédible"
Pour résumer , il me reste beaucoup a faire ....
@+++
Au sujet de KB j ai ce qu il faut ...., par le biais de Julie qui est au courant de cette aventure (elle a mon mail)
Je vais quitter le forum d ici peux pour raisons perso et pro mais je tiendrai julie au courant ....
En fait pour MBAM je voulais juste savoir si après l'avoir utilisé tu avais redémarré le pc et juste vu si l'infection s'était relancé automatiquement ou pas.
Au redémarrage l infection a repris , car le centre de sécurité étais anéanti et impossible de démarrer les services (services.msc non acessible ainsi que le gestionnaire des taches), néanmoins combo était démarrable renomé( en mse)
je peux te donner si tu veux un lien pour une variante qui n'est pas encore connue d'Elibagla v11.66 mais qui le sera surement d'ici deux trois jours pour la 11.67.
Oui bien sur je suis interessé, car mon aventure en seras que plus constructive.
Pour l instant j en suis au début de la démarche mais ....
Salut Jal ,
Je te remercie du soutiens , et evidement oui cette opération génère un certains risque pour la machine, tout comme l a signalé Cyril , mais c est un risque que je suis pret a prendre.
Donc oui Moe je suis tres intéressé par la variante car c est justement ce qu il manque pour que cette expérience soit "crédible"
Pour résumer , il me reste beaucoup a faire ....
@+++
Re,
Au sujet de KB j ai ce qu il faut ...., par le biais de Julie...
Lol, je ne pense pas qu'on parle de la même chose alors, je pensais plutôt à ce tool que je n'ai utilisé que deux fois:
http://www.commentcamarche.net/forum/affich 7279066 3ds max au demarrage fait reboot pc#2
Ou alors Julie a des yeux de lynx et une réactivité à toute épreuve pour l'avoir déjà en stock ! :-)
Merci en tout cas pour les précisions concernant MBAM, elles recoupent grosso-modo ce que j'avais pu constater sous XP.
Dommage car cet n'outil pourrait s'en tirer mieux que çà avec Bagle...
Dommage aussi que ton post doive s'arrêter bientôt là... La perspective de pouvoir sortir un peu des sentiers battus et d'échanger quelques méthodes ou tests de procédures aurait pu être très interessante ma foi...
Voilà le lien pour la variante de bagle dont je te parlais :
http://cjoint.com/data/ictA7mSTDb_lien.txt
Préviens moi lorsque tu l'auras récupéré que j'annule la validité du lien.
Bah , c'est une aventure ou tu apprendras toujours et en permanence, et ou indépendament de ton "niveau" et de tes connaissances, il restera toujours "beaucoup à faire" à ton goût !!
Donc pour résumer...prends plaisir autant que tu peux à "jouer" avec l'infection que tu teste, tout en te donnant des objectifs réalisables qui entretiennent ta motivation. :-)
@++
Au sujet de KB j ai ce qu il faut ...., par le biais de Julie...
Lol, je ne pense pas qu'on parle de la même chose alors, je pensais plutôt à ce tool que je n'ai utilisé que deux fois:
http://www.commentcamarche.net/forum/affich 7279066 3ds max au demarrage fait reboot pc#2
Ou alors Julie a des yeux de lynx et une réactivité à toute épreuve pour l'avoir déjà en stock ! :-)
Merci en tout cas pour les précisions concernant MBAM, elles recoupent grosso-modo ce que j'avais pu constater sous XP.
Dommage car cet n'outil pourrait s'en tirer mieux que çà avec Bagle...
Dommage aussi que ton post doive s'arrêter bientôt là... La perspective de pouvoir sortir un peu des sentiers battus et d'échanger quelques méthodes ou tests de procédures aurait pu être très interessante ma foi...
Voilà le lien pour la variante de bagle dont je te parlais :
http://cjoint.com/data/ictA7mSTDb_lien.txt
Préviens moi lorsque tu l'auras récupéré que j'annule la validité du lien.
Bah , c'est une aventure ou tu apprendras toujours et en permanence, et ou indépendament de ton "niveau" et de tes connaissances, il restera toujours "beaucoup à faire" à ton goût !!
Donc pour résumer...prends plaisir autant que tu peux à "jouer" avec l'infection que tu teste, tout en te donnant des objectifs réalisables qui entretiennent ta motivation. :-)
@++
Utilisateur anonyme
2 août 2008 à 20:11
2 août 2008 à 20:11
Re
pour KB c est bien ça
je ne ferme pas ce topic et je reviendrais pour les résultats , mais quand ? je ne peux me prononcer .
je te remercie d etre passé et aussi pour ce que tu as fait .
Bonne vacances
et @+ sur CCM
pour KB c est bien ça
je ne ferme pas ce topic et je reviendrais pour les résultats , mais quand ? je ne peux me prononcer .
je te remercie d etre passé et aussi pour ce que tu as fait .
Bonne vacances
et @+ sur CCM