Sujet Précédent Sujet Suivant

Désinfection Bagle

Fermé
Utilisateur anonyme - 28 juil. 2008 à 09:07
 Utilisateur anonyme - 24 oct. 2008 à 22:40
Bonjours à toutes et à tous ,


Hier (ou plutot cette nuit) j ai fais une petite expérience

Je me suis donc "auto infecté" par le ver bagle afin de verifier une méthode d éradiquation plus rapide que celle que nous connaissons tous

donc sur la mule j ai telechargé differents crack (kaspersky AVG as et j ai tapé crack et telechargé un peux de tout)

apres j ai installé tout ça

je me suis retrouvé dans un premier temps en compagnie de vundo puis sur un crack AVG as, bagle a fait son apparition


il fut present sur le rapport hijackthis

j ai continué a cliquer sur mes cracks puis j ai redémarré le pc 3 fois

et surprise antivir neutralisé tout comme windows defender

et bien sur le message "n est pas une appliquation win32 valide"


alors j ai testé une méthode

j ai fait un scan DSS non renomé en MSE (a savoir que hijackthis n est pas necessire car DSS créé un clone en son absence)


puis repéré bagle (+ vundo )et je l ai mis en citation dans otmoveit non renomé en MSE

puis en MSE + reseau j ai telechargé combofix renomé en killbagle et il a démarré

je l ai stoppé puis supprimé et retelechargé non renomé, il a fonctionné

je vous joint les rapports

Donc que pensez vous de cette méthode ??

A noter que l infection était tres récente et le MSE accessible, mais on connait la methode pour le "réparer" si nécessaire


Hijackthis juste avant "n est pas une appliquation win32 valide" (avant les redémarrage)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:55:45, on 28/07/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode

Running processes:
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.conduit.com/...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A148A581-8964-4E4E-B1C9-E7F4D9F1F737} - C:\Users\CDRIC~1\AppData\Local\Temp\nnnnKDTj.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [PowerManager] C:\Program Files\Power Manager\PM.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\Users\CDRIC~1\AppData\Local\Temp\svchost.exe 1
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\efcDWOEU.dll,#1
O4 - HKLM\..\Run: [user32] C:\Users\Cédric\AppData\Roaming\user32.exe
O4 - HKLM\..\Run: [runner1] C:\Windows\mrofinu2000351.exe 61A847B5BBF72810329B385577F801F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D1DC7E4638E8323A15A04FB79DC4617E6FD967002BA754E1C2832211379A26033AAC
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ComRepl] C:\Users\Cédric\AppData\Roaming\comrepl.exe /com /w
O4 - HKCU\..\Run: [wupdate] C:\Users\Cédric\AppData\Roaming\wunauclt.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\CDRIC~1\AppData\Local\Temp\nnnnKDTj.dll,c
O4 - HKCU\..\Run: [BMbf558f71] Rundll32.exe "C:\Users\CDRIC~1\AppData\Local\Temp\fxxieifu.dll",s
O4 - HKCU\..\Run: [bc66bced] rundll32.exe "C:\Users\CDRIC~1\AppData\Local\Temp\aolenlmx.dll",b
O4 - HKCU\..\Run: [drvsyskit] C:\Windows\system32\drivers\hldrrr.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: acaptuser32.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

89 réponses

Précédent
Réponse 41 / 89
Utilisateur anonyme
2 août 2008 à 20:41
OK Moe ,

Pas de soucis

bon courage pour la reprise -;)


@+++
0
Réponse 42 / 89
moe
19 août 2008 à 16:47
Salut Chiquitine29

Je sais pas vraiment si tu continues de tester Bagle (à mon avis un p'tit peu, si j'en crois les débuts de FindB :-) ), donc fort possible que je deterre ce topic pour rien...
Si c'est le cas, bah...Tant pis !

Une simple petite astuce perso pour le fun et qui vaudra ce qu'elle vaudra, sous forme de fichier *.reg, comme tu verras dans la vidéo ci-dessous...
http://perso.orange.fr/aeternum/Miscs/Bagle_vs_reg.rar
Ca fait quelques mois que je l'avais expérimenté, et ne m'en suis jamais servi en forum, la jugeant sans trop d'intéret au vu des tools qui existent.
Mis à part Green day qui connait cette astuce, je suppose que beaucoup de personnes pensent qu'il n'est pas possible de désactiver Bagle via un reg , donc c'est l'occase aussi de prouver que c'est faisable.
Donc voilà pour tes tests sous Vista, si ça te tente de sortir un peu des sentiers battus :-)

Le mode d'emploi :
Fusion dans le registre et deux reboots consécutifs du pc (important).
Normalement 04 infectée ou pas, l'infection ne redemarrera pas après les deux reboots, sauf si tu inclus certaines sous clés liées à l'infection dans le reg, de :
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications, ce que je te déconseille !!

Bons tests et bonne continuation.

@++
0
Réponse 43 / 89
Utilisateur anonyme
19 août 2008 à 17:05
Salut Moe,

Merci pour la video

Je continue donc ma petite "expérience" mais a mon rythme bien sur.

C est vraiment tres enrichissant , comme tu as vu, FindB a pointé le bout de son nez mais il est sans grand interet.

Mais bon c est un début

Je continu donc mon expérinece mais je ne sais pas encore si elle aboutira a quelque chose de concret ....du moins je l espere

Je te remercie encore.

Bonne semaine
0
moe
20 août 2008 à 19:16
Salut Chiquitine29

Comme tu le dis toi même, ton expérience est très enrichissante jusqu'ici et donc FindB a forcément un intéret tout particulier pour toi, puisque qu'il fait partie d'une des facettes de cette démarche et de son évolution. :-)
C'est un bon début c'est sur et déjà quelque chose de concret !!
Continue dans cette direction en tout cas et pourquoi pas vers le codage d'un outil si c'est le but que tu t'es fixé avec Bagle :-)

@++ et de rien pour la vidéo

ps:
Penses aux guillemets au début et à la fin des chemins de fichiers que tu recherche avec if exist dans ton script, sinon la recherche sera faussée pour les noms de répertoires ou de fichiers qui contiennent des espaces :-P
0
Réponse 44 / 89
Utilisateur anonyme
20 août 2008 à 19:31
-;)

Encore merci

tu vois, y a encore du travail -;)

@+
0
moe
8 sept. 2008 à 15:59
Salut Chiquitine

En passant en coup de vent je viens tout juste de découvrir Findykill au détour d'un post, félicitations, le fix est très prometteur !
Manque plus que le safeboot ainsi qu'une routine de détection des 04 saines, vérolées en début d'infection, pour que la boucle soit bouclée :-)

Bonne continuation.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 89
Utilisateur anonyme
8 sept. 2008 à 16:20
Salut moe , de retour ?

Oui en effet il manque ces 2 points qui seront sur la version suivante

et encore des details ....

Encore un peux de travail en perspective

Je te remercie pour toutes les infos que tu m a donné comme tu le vois elle m ont été utiles -;)



@++ Moe reviens nous vite


0
moe
19 sept. 2008 à 21:07
Salut Chiquitine

Pour " limpia" :-)

[HKEY_CURRENT_USER\Software\bisoft]
"First12Ru123n"=dword:00000001

@++
0
Réponse 46 / 89
Utilisateur anonyme
19 sept. 2008 à 21:15
Salut moe

ok cool j en prend note

t as pas une nouvelle version de bagle sous la main ?? -;)

Tiens pour que tu vois ou j en suis :http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.rar

@+ Moe et merci
0
Réponse 47 / 89
Utilisateur anonyme
19 sept. 2008 à 21:35
La version que je t ai envoyé c est la version sur laquelle je travail...y a scan.exe dans recherche n en tiens pas compte

je pense a gmer pour legacy ....mais je galere avec les erreures.....

sinon je vais voir pour prefetch ...
0
moe
20 sept. 2008 à 13:59
Salut Chiquitine,

Merci pour le rar !
Je viens de regarder avec attention ta version en cours d'essai et plutôt que de longs discours, tu trouveras ici :
http://perso.orange.fr/aeternum/Miscs/FindyKill.zip
Ton fichier "test" que je me suis permis de "rectifier" çà et là.
A toi de voir ce que tu en pense, souhaite garder, t'inspirer, modifier ou virer, surtout ne te gène pas !
Mais bon, tu verras çà plus en détails dans le code et pendant tes tests :-)
A propos de tests, le zip contient aussi quelques samples récents de Bagle....
Le mdp est celui employé habituellement...
Si jamais tu as un trou de mémoire, je repasserais voir dans la soirée s'il faut que je te le fasse passer ou pas.

Bonne continuation et bon week-end !
0
Réponse 48 / 89
Utilisateur anonyme
20 sept. 2008 à 19:41
Salut moe,

je vien de voir ton message ( j étais parti m adonner a mon sport favori)

comme je te le disais j ai travaillé sur l outil hier soir donc voila les modif

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.rar

je te remercie vivement d avoir procedé a de tel modif car evidemment ça va m inspirer

je vais donc de ce pas decouvrir tout ça .....

merci pour tout je te tiens au courant
0
moe
22 sept. 2008 à 18:50
Salut chiquitine,

Merci pour la nouvelle version, mais je suppose que depuis elle a du encore évoluer :-)
Apparement le seul point qu'il te manque à traiter est la recherche des 04 infectées pour que ton outil soit complet.
C'est pas le plus facile à mettre en place, mais c'est faisable.
Pour ma part j'ai expérimenté une méthode de recherche par md5 qui fonctionne pas trop mal.
Le principe consiste grosso modo à récupérer (avant supression) le md5 de mdelk, hldrrr ou wintems si l'infection est active + celui des fichiers stockés dans les éventuelles quarantaines d'elibagla, combo ou d'otmoveit qui peuvent être présentes, puis de faire une comparaison avec celui de chaque *.exe en startup.
Le plus difficile étant de récupérer tous les path des 04 épuré du superflux pour qu'ils soient exploitables, ce qui est plus délicat qu'il n'y parait. :-)
Sinon on peut aussi exploiter la clé HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications ou l'on peut retrouver le nom du crack + celui de la 04 utilisé par bagle.
Même si cette clé peut contenir des entrées légitimes, disons qu'un listing de celle-ci en plus de celles des entrées du démarrage, peut permettre de très vite cibler, par comparaison le ou les fichiers à faire analyser.
Bon...En général la 04 infecté ne pose pas de problèmes particuliers de réinfection, du moins si l'outil utilisé pour shooter bagle fait correctement son boulot au niveau du registre, au pire le dossier downld se recrée vide à chaque reboot, ainsi que l'entrée HKEY_CURRENT_USER\Software\bisoft (vide aussi) dans le registre, disons que ça laisse amplement le temps d'un scan AV en ligne pour détecter l'intrus récalcitrant :-)
Mais bon, si tu continues à aussi bien gèrer tout les autres paramètres de l'infection avec findykill et notamment au niveau du registre, il n'y a pas spécialement urgence :-)

Bonne continuation en tout cas pour la suite !!

@++
0
Réponse 49 / 89
Utilisateur anonyme
22 sept. 2008 à 19:44
Salut moe ,

oui en effet l outil a encore evolué (enfin j y travail) et grace a toi

j ai supprimé find.bat fix.bat fix2.bat fixsrosa scan.exe et limpia .....

je travail encore dessus .....

en effet j ai pas commencé a m interesser de pret aux 04 par contre a cette clé oui :

HKEY_CURRENT_USER\Software\Local AppWizard-Generated

pour y faire le listing des cracks ainsi que dans temps (c est sur la version en download)

merci pour les infos que tu viens de me donner a ce sujet

la je vais affiner la version sur laquelle je taf ensuite oui je pense que je travaillerai sur les 04 pour completer l outils

Merci Moe

@++ si je peux je t envoi la version sur laquelle je travail ce soir
0
Réponse 50 / 89
Utilisateur anonyme
22 sept. 2008 à 19:53
re moe

un lien avec utilisation de la derniere version avec la clé :

http://es.kioskea.net/forum/affich 24081 eliminar bagle con windows vista
0
Réponse 51 / 89
Utilisateur anonyme
22 sept. 2008 à 20:14
re je te passe la version car je crois que je vais arreter par là pour ce soir :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.rar

@++ Moe et merci
0
Réponse 52 / 89
Utilisateur anonyme
22 sept. 2008 à 21:16
je me suis trompé de lien pour la clé

http://www.commentcamarche.net/forum/affich 8522095 soucis virus balge je crois#7
0
moe
23 sept. 2008 à 19:13
Salut chiquitine,

Juste deux/trois petites remarques à faire :

Lorsque tu recherche une valeur ou une sous-clé spécifique à suprimer dans le registre, avec des clés qui contiennent le SID (Security Identifier) d'un utilisateur, genre :
HKEY_USERS\S-1-5-21-2024983149-2191609412-3782197619-1000\bla\bla\bla
Si tu mentionnes de tels chemin de clés récupérés sur ton pc de test par exemple, le SID ne correspondra plus forcément sur un autre pc et ta clé n'aura pratiquement aucune chance d'être supprimé ou détecté.
Sauf, pour certains identifiants de sécu qui sont commun à tous les pc :
http://www.toutwindows.com/sid.shtml
Si tu veux vraiment récupérer le SID de tous les utilisateur d'un pc, tu peux checker cette clé qui les listes :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Sinon pour récupérer uniquement celui de l'user de la session en cours, jettes un oeil au non du dossier système contenu dans la corbeille :-)
Ou a:
HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider

Pour la détection d'un autorun.inf :
Quelque fois tu auras à faire à un autorun qui ne semblera pas vouloir se supprimer...Simplement parce que c'est un dossier :-) (cf vaccination de type flash_disinfector ou autre)
Il existe plusieurs manière de détecter si l'autorun est un fichier ou un dossier, une des plus simple me semble être avec un Dir:
dir /a-d /b %%A:\autorun.inf &&(j'en fait ce que j'en veux)

Voilà...Sinon j'ai vu ton exploitation de la clé Local AppWizard-Generated Applications pour supprimer l'entrée du crack d'origine, bien vu, c'est astucieux :-)
Affaire à suivre pour la 04 mentionnée dans cette clé :-)

@++

ps:
Au fait...Content de voir que la manip dans le registre pour neutraliser Bagle fonctionne aussi sous vista :-)
0
Réponse 53 / 89
Utilisateur anonyme
23 sept. 2008 à 19:36
Salut Moe,

pour les autorun c est exact on pourrait meme editer le contenu

tes infos tombent a pic je comptai travailler sur le registre ce soir donc merci


ouais y a encore pas mal de point a voir -;)...

mais bon, ça commence a prendre form c est rassurant

encore merci moe

@++
0
Réponse 54 / 89
Utilisateur anonyme
24 sept. 2008 à 21:01
RE moe comment vas tu

je te passe la version sur laquelle je travail

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.rar

@++ Bonne fin de semaine
0
moe
24 sept. 2008 à 22:16
Salut Chiquitine

Merci pour l'upload de ta dernière version, c'est sympa.
Je me penche sur le code dès que j'ai assez de temps de dispo pour le faire correctement et j'en profiterais aussi pour faire le test du fix sous XP.
Surement demain tard dans la soirée car je ne crois pas pouvoir avant, malheureusement.
Je te tiendrais au courant...

Pour ce qui est de ta question sur les fichiers du prefetch, essaye ce petit bout de code : 
@echo off

dir /a-d /b "%systemroot%\prefetch\*.*" | findstr.exe /i  "^[0-9]*\.exe german\.exe hidr\.exe hldrrr\.exe mdelk\.exe wintems\.exe flec00.\.exe">nul 2>&1 &&(
dir /a-d /b "%systemroot%\prefetch\*.*" | findstr.exe /i  "^[0-9]*\.exe german\.exe hidr\.exe hldrrr\.exe mdelk\.exe wintems\.exe flec00.\.exe">nul 2>&1>>tmp.$$$ 
)

if exist tmp.$$$ (
for /f %%A in (tmp.$$$) do echo %systemroot%\prefetch\%%A>>prefetch.txt
del tmp.$$$
)

Sous XP c'est concluant, en espérant qu'il n'y ait pas de grosses différences sous vista.
Tu me diras si ça cible exactement les fichiers que tu voulais récupérer.

Bonne fin de soirée !

@++
0
Réponse 55 / 89
Utilisateur anonyme
24 sept. 2008 à 22:33
RE

merci moe pour le bout de code j étais partit vers une autre direction

je vais mettre ceci en place

puis m interesserait a tes infos antéreure , certainement demain

@+ et merci , bonne soirée
0
Réponse 56 / 89
Utilisateur anonyme
25 sept. 2008 à 14:26
Salut moe

voila les point sur lesquelles je voudrais travailler

1) lister les fichiers du dossier downld et verifier leur presence dans prefetch

2) travailler sur cette clé HKEY_USERS\S-1-5-21-953502745-1107632481-3201683763-1000\Software\Local AppWizard-Generated Applications

le probleme étant le sid

3) les autoruns dire si créé par flash disinfector


je pensais a if exist "\\?\%%A:\autorun.inf\lpt3.This folder was created by Flash_Disinfector" echo bla bla >> au rapport


sinon crois tu qu il est possible de travailler sur System Volume Information\_restore car les fichiers du dossier downld si colle

Apres il restera le + compliqué je pense c est a dire les 04

les nouvelles variantes tu les prend ou ? dans le dossier shared ?

@++ Tchikiboom -;)
0
Réponse 57 / 89
Utilisateur anonyme
25 sept. 2008 à 15:16
re moe pour la clé c est ok

@+
0
moe
26 sept. 2008 à 13:24
Salut chiquitine,

En coup de vent !

Je viens d'essayer ta dernière version sous XP et il y a un problème apparement.
L'infection repart en fin de nettoyage.
Tout semble à peu près ok dans la procédure, jusqu'à l'étape du second reboot.
Juste avant que shutdown.exe ne s'exécute en runonce, explorer.exe est relancé ce qui doit permettre à la 04 infectée de se réexécuter.
Bref, je ne sais pas s'il y a le même problème sous vista, mais tu devrais vérifier, pour ma part je ne pourrais pas me plonger dans le code (qui est assez touffu !) et répondre à tes questions avant ce w-e, faute de temps, désolé.
Essaye de voir lors de tes tests si en ajoutant un utilitaire permettant de rebooter à la place de l'utilisation de shutdown le problème persiste ou pas.

Bonne journée et @+ tard
0
Réponse 58 / 89
Utilisateur anonyme
26 sept. 2008 à 14:53
Salut moe

oui en effet j ai contaster un blem aussi

je vais regarder ça de plus pret au pire je garde les 2 reg fixsrosa et limpia
0
moe
26 sept. 2008 à 22:25
Salut chiquitine

Tu as pu résoudre le problème ?

je pensais a if exist "\\?\%%A:\autorun.inf\lpt3.This folder was created by Flash_Disinfector" echo bla bla >> au rapport
Oui, du moment que tu n'oublies pas le \\?\ devant le chemin du fichier, la commande que tu proposes passera sans problèmes.

sinon crois tu qu il est possible de travailler sur System Volume Information\_restore car les fichiers du dossier downld si colle
C'est possible mais assez compliqué en pratique, surtout au niveau de la détection qui ne pourra pas se faire par le nom de fichier, donc mieux vaut éviter et plutôt faire désactiver/réactiver la restau en fin de nettoyage, ça t'évitera pas mal de code inutile.

les nouvelles variantes tu les prend ou ? dans le dossier shared ?
Oui, essentiellement, plus rarement sur la mule.
En fait je teste bagle au minimum une fois tout les deux jours, histoire de toujours pouvoir travailler sur les dernières version du ver.

Apres il restera le + compliqué je pense c est a dire les 04
Je te joint KillB, codé pour le fun et des amis qu'il m'arrive de dépanner à l'occasion chez eux.
Il y a une petite routine de détection des 04, à voir ce que ça donnera sous vista...
Si c'est concluant et que tu y trouve une utilité, ne te gène pas pour te servir :-)

@++
0
Réponse 59 / 89
Utilisateur anonyme
27 sept. 2008 à 08:52
Salut moe

pour les autoruns oui , mais seulement ça me l indique pour chaque autorun ... si t as un monent..

pour prefetch j ai pris le code que tu m a laissé

pour les clé j en ai rajouté une

HKEY_USERS\???????\Software\Local AppWizard-Generated Applications

HKEY_USERS\??????\Software

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications

Voila je t enverrai la version ce soir ou demain ça dependra de l avancement

bon week end et merci pour kb -;)

0
moe
27 sept. 2008 à 10:24
Salut Chiquitine

Je viens de faire un test rapide avec cette portion de code pour l'autorun
Sur un DD + clé usb j'ai crée un autorun différent :
Celui utilisé par bagle sur la clé.
Celui utilisé par Flash_Disinfector (dossier + fichier lpt3....) sur le DD
Et apparement le code différencie bien le fichier du dossier, donc à essayer sous vista :-) 
FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO (dir /a %%A:\*.*>nul 2>&1) &&(
if exist "%%A:\autorun.inf" if not exist "%%A:\autorun.inf\*.*" (.....)
IF EXIST "\\?\%%A:\autorun.inf\lpt3.This folder was created by Flash_Disinfector" (......)
)

Pour ce qui est du registre, ces deux branches :
HKEY_CURRENT_USER
HKEY_USERS
Sont linkés, c'est à dire par exemple qu'une modification dans HKEY_CURRENT_USER se répercutera dans HKEY_USERS.
Je suppose que tu fais une comparaison des modifs du registre avant/après Bagle et qu'ensuite tu intègres les clés trouvées dans le fix ?
Si tu veux limiter un maximum le nombre clés à supprimer, fais un test en n'intégrant dans ton fix que les clés situés dans HKEY_CURRENT_USER et HKEY_LOCAL_MACHINE.
Après le reboot final, tu fais une petite comparaison et tu remarqueras surement que beaucoup de clés qui figuraient dans HKEY_USERS auront aussi disparues.
Par exemple une modif dans :
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
se sera automatiquement répercuté dans :
HKEY_USERS\SID utilisateur\Software\Local AppWizard-Generated Applications
Disons que ça peut t'éviter d'avoir trop à farfouiller dans HKEY_USERS, de faire le tri, et de limiter à l'essentiel ton intervention dans le registre.

De rien pour KillB, tu verras il n'y a rien de bien spécial avec cet outil mis à part une tentative de détection des 04...
Reste à voir si elle donnera des résultats sous vista...

Bon week-end !

@++
0
moe > moe
28 sept. 2008 à 12:21
Salut Chiquitine,

Voilà deux petites astuces qui vallent ce qu'elles vallent pour la détection des 04.
Les deux sont basées sur la recherche du string "Themida" dans les fichiers scannés.

1/ Recherche dans tous les *.exe

Avantage :
- Fiabilité, aucun fichier n'est épargné ( Y compris ceux dans System Volume Information)

Inconvéniant :
- Temps de recherche très long...



2/ Recherche dans une liste d'exe plus ciblée.

Avantage :
-Rapidité d'exécution

Inconvéniants :
- Fiabilité légèrement amoindrie par rapport à un scan complet de tout les exe. 

:: Les *.exe de reférences seront listés à partir de la clé :
:: Sous XP = HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
:: Sous Vista = HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MUICache
:: qui mémorise entre autre les chemins de tout exécutable lancé.
:: En fonction de ton test d'Os tu attribues à la variable KeyMui par exemple, le chemin exact de la clé.
::
:: $MUIexe contiendra ensuite uniquement le chemin des *.exe à scanner, après filtrage avec find.exe.

Code :

tools\swreg.exe export "%KeyMui%" $MUI >nul
for /f "tokens=1 delims==" %%a in ('type $MUI ^| find.exe /v "@" ^| find.exe /i ".exe"') do if exist "%%~fa" echo.%%~fa>>$MUIexe

:: Ne reste qu'à vérifier ensuite à partir de cette liste si l'un d'entre eux contient le string "Themida"
:: Dans cet exemple, si le résultat de la commande est positif, il est expoité sous forme de rapport :
:: Suspect ! - C:\test.exe [ 02/02/2006 08:06 - 839688 ]  
:: Suspect ! - C:\Websense_Enterprise_4.4\Websense_Enterprise_4.4.exe [ 02/02/2006 08:06 - 839688 ]
:: Mais à toi de voir l'adaptation du code en fonction de comment tu veux exploiter le résultat :-)

Code (suite) :

if exist $MUIexe (
for /f "tokens=*" %%a in ($MUIexe) do findstr /I /L "Themida" "%%a">nul &&(
echo.Suspect ! - %%~fa [ %%~ta - %%~za ] >>log.txt
)
) 
if exist $* del $*


Voilà, en espérant que cela puisse t'être utile !!

@++ et bon dimanche.
0
Réponse 60 / 89
Utilisateur anonyme
28 sept. 2008 à 14:08
Salut moe

avec toutes ces infos je ne peux que avancer c est super cool de ta part

dis moi t as des infos sur : b2e.exe situé dans %TEMP% tu l a deja rencontré durant tes test ?

J essai de voir pour le virer ainsi que les cracks dans %TEMP%

dir /b/a/s "%TEMP%"|findstr /I "keygen crack b2e.exe" >>"Resultat.txt"

mais je n arrive pas a exploiter resultat.txt donc si tu peux m aider sur ce point aussi je t en serais reconnaissant

je te joint un rapport de la version du fix sur laquelle je travail

bon dimanche egalement





----------------- FindyKill V3.095 ------------------

* User : Cedric - PC-DE-CEDRIC
* Emplacement : C:\Program Files\FindyKill\FindyKill.exe
* Outils Mis a jours le 26/09/08 par Chiquitine29
* Recherche effectuée à 14:02:45 le 28/09/2008
* Windows Vista - Internet Explorer 7.0.6000.16711

((((((((((((((((( *** Recherche *** ))))))))))))))))))


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\Windows


»»»» Presence des fichiers dans C:\Windows\Prefetch

Present ! - C:\Windows\prefetch\B2E.EXE-0D06CBBA.pf
Present ! - C:\Windows\prefetch\B2E.EXE-0D53C732.pf
Present ! - C:\Windows\prefetch\B2E.EXE-11F5B6E3.pf
Present ! - C:\Windows\prefetch\B2E.EXE-1C9D390C.pf
Present ! - C:\Windows\prefetch\B2E.EXE-254E8515.pf
Present ! - C:\Windows\prefetch\B2E.EXE-3DBD8363.pf
Present ! - C:\Windows\prefetch\B2E.EXE-428EA19C.pf
Present ! - C:\Windows\prefetch\B2E.EXE-4987E392.pf
Present ! - C:\Windows\prefetch\B2E.EXE-4B76DE3E.pf
Present ! - C:\Windows\prefetch\B2E.EXE-4BDE351B.pf
Present ! - C:\Windows\prefetch\B2E.EXE-6238A032.pf
Present ! - C:\Windows\prefetch\B2E.EXE-6250710F.pf
Present ! - C:\Windows\prefetch\B2E.EXE-6CABA230.pf
Present ! - C:\Windows\prefetch\B2E.EXE-6D1B98C9.pf
Present ! - C:\Windows\prefetch\B2E.EXE-6F7C8A34.pf
Present ! - C:\Windows\prefetch\B2E.EXE-6FBF4C92.pf
Present ! - C:\Windows\prefetch\B2E.EXE-72C47018.pf
Present ! - C:\Windows\prefetch\B2E.EXE-7BC6B601.pf
Present ! - C:\Windows\prefetch\B2E.EXE-8D57C6C6.pf
Present ! - C:\Windows\prefetch\B2E.EXE-9C4BA8D0.pf
Present ! - C:\Windows\prefetch\B2E.EXE-B58FE492.pf
Present ! - C:\Windows\prefetch\B2E.EXE-B7179076.pf
Present ! - C:\Windows\prefetch\B2E.EXE-C404DFDA.pf
Present ! - C:\Windows\prefetch\B2E.EXE-C8329034.pf
Present ! - C:\Windows\prefetch\B2E.EXE-CED00794.pf
Present ! - C:\Windows\prefetch\B2E.EXE-D0EEE7B1.pf
Present ! - C:\Windows\prefetch\B2E.EXE-D7BBC5FF.pf
Present ! - C:\Windows\prefetch\B2E.EXE-DB47C4E9.pf
Present ! - C:\Windows\prefetch\B2E.EXE-DEAFB9A2.pf
Present ! - C:\Windows\prefetch\B2E.EXE-E7E2878D.pf

»»»» Presence des fichiers dans C:\Windows\system32

Présent ! - C:\Windows\system32\mdelk.exe
Présent ! - C:\Windows\system32\wintems.exe
Présent ! - C:\Windows\system32\ban_list.txt

»»»» Presence des fichiers dans C:\Windows\system32\drivers

Présent ! - C:\Windows\system32\drivers\srosa.sys
Présent ! - C:\Windows\system32\drivers\hldrrr.exe
Présent ! - "C:\Windows\system32\drivers\downld"
Present ! - C:\Windows\system32\drivers\downld\127281.exe
Present ! - C:\Windows\system32\drivers\downld\102102.exe
Present ! - C:\Windows\system32\drivers\downld\3269562.exe
Present ! - C:\Windows\system32\drivers\downld\72072.exe
Present ! - C:\Windows\system32\drivers\downld\3220843.exe
Present ! - C:\Windows\system32\drivers\downld\3233073.exe
Present ! - C:\Windows\system32\drivers\downld\69233.exe
Present ! - C:\Windows\system32\drivers\downld\3221514.exe
Present ! - C:\Windows\system32\drivers\downld\3213885.exe
Present ! - C:\Windows\system32\drivers\downld\100667.exe
Present ! - C:\Windows\system32\drivers\downld\114847.exe
Present ! - C:\Windows\system32\drivers\downld\3215679.exe

»»»» Presence des fichiers dans C:\Users\Cedric\AppData\Roaming

Présent ! - "C:\Users\Cedric\AppData\Roaming\m\flec006.exe"
Présent ! - "C:\Users\Cedric\AppData\Roaming\m\list.oct"
Présent ! - "C:\Users\Cedric\AppData\Roaming\m\data.oct"
Présent ! - "C:\Users\Cedric\AppData\Roaming\m\srvlist.oct"
Présent ! - "C:\Users\Cedric\AppData\Roaming\m\shared"
Présent ! - "C:\Users\Cedric\AppData\Roaming\m"

»»»» Presence des fichiers dans C:\Users\Cedric\AppData\Local\Temp


»»»» Registre :


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Windows Defender REG_EXPAND_SZ %ProgramFiles%\Windows Defender\MSASCui.exe -hide
NvSvc REG_SZ RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
NvCplDaemon REG_SZ RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
NvMediaCenter REG_SZ RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Sidebar REG_SZ C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
MsnMsgr REG_SZ "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
WMPNSCFG REG_SZ C:\Program Files\Windows Media Player\WMPNSCFG.exe



Présent ! - HKEY_USERS\S-1-5-21-953502745-1107632481-3201683763-1000\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_USERS\S-1-5-21-953502745-1107632481-3201683763-1000\Software\Local AppWizard-Generated Applications\truc maichin keygen et crack
Présent ! - HKEY_USERS\S-1-5-21-953502745-1107632481-3201683763-1000\Software\Local AppWizard-Generated Applications\truc m‚chant keygen et crack
Présent ! - HKEY_USERS\S-1-5-21-953502745-1107632481-3201683763-1000\Software\bisoft
Présent ! - HKEY_USERS\S-1-5-21-953502745-1107632481-3201683763-1000\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-953502745-1107632481-3201683763-1000\Software\FirtR
Présent ! - HKEY_USERS\S-1-5-21-953502745-1107632481-3201683763-1000\Software\MuleAppData
Présent ! - HKEY_USERS\S-1-5-21-953502745-1107632481-3201683763-1000\Software\XEW
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\truc maichin keygen et crack
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\truc m‚chant keygen et crack
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\DateTime4
Présent ! - HKEY_CURRENT_USER\Software\XEW
Présent ! - HKEY_CURRENT_USER\Software\FirtR
Présent ! - HKEY_CURRENT_USER\Software\MuleAppData

»»»» Presence d infections dans Support amovible :

Présent ! - G:\autorun.inf
Présent ! - G:\nideiect.com


----------------- ! Fin du rapport ! ------------------


0
moe
28 sept. 2008 à 15:55
Re,

De rien...

dis moi t as des infos sur : b2e.exe situé dans %TEMP% tu l a deja rencontré durant tes test ?

Lol, ah oui ! je l'ai rencontré plusieurs fois celui-là, disons à chaque fois ou j'ai utilisé findykill :-)
Amuses toi à faire ce test :
Vide les %temp%
Lance findykill et ne choisis aucune option dans le menu.
Reviens dans les %temp% et tu verras que deux dossiers genre 1.tmp, 2.tmp sont apparus.
L'un contient b2e.exe et l'autre, ton script.
Je suppose qu'à chaque fois ou findykill.exe est exécuté, b2e.exe (bat to exe ?) est chargé d'extraire le batch d'origine dans les %temp% (sous le nom de Batchfile.bat) pour qu'il puisse être exécuté, et ensuite le supprime lorsqu'il n'est plus utilisé.
b2e.exe est faussement détecté positif sur virustotal, il est lié au prog qui t'a servis à compiler ton script batch en exe :-)
Donc pas la peine de t'embêter avec lui :-)

mais je n arrive pas a exploiter resultat.txt donc si tu peux m aider sur ce point aussi je t en serais reconnaissant.

Je vois ce dont tu veux parler, en fait, la commande telle que tu l'as écrite va rechercher aussi bien sur le contenu des fichiers que sur leur nom.
Que la détection soit positive ou négative, le fichier résultat.txt sera qand même crée.
Dans le second cas il sera vide et effectivement c'est pas très évident de l'exploiter ensuite :-).
Essaye ceci :
for /f "tokens=*" %%a in ('dir /b/a/s "%TEMP%"') do echo.%%a |findstr /I "keygen crack b2e\.exe" >nul &&( echo %%a >>Resultat.txt )
Resultat.txt ne sera crée que si le filtrage avec findstr est positif (le filtrage ne portera que sur le nom de fichier et pas sur son contenu).

@++

ps:
Le rapport s'affine on dirait :-)
0

Discussions similaires

Désinfection
Pic hach -
Xileh -

9 réponses
desinfection
puce56 -
Malekal_morte- -

9 réponses
Demande de desinfection
Marshall216 -
jmdepise -

19 réponses
Demande de désinfection!
72hubert -
Malekal_morte- -

1 réponse
Aide pour désinfection
Phanouman -
yoann090 -

11 réponses