Sujet Précédent Sujet Suivant

Désinfection Bagle

Fermé
Utilisateur anonyme - 28 juil. 2008 à 09:07
 Utilisateur anonyme - 24 oct. 2008 à 22:40
Bonjours à toutes et à tous ,


Hier (ou plutot cette nuit) j ai fais une petite expérience

Je me suis donc "auto infecté" par le ver bagle afin de verifier une méthode d éradiquation plus rapide que celle que nous connaissons tous

donc sur la mule j ai telechargé differents crack (kaspersky AVG as et j ai tapé crack et telechargé un peux de tout)

apres j ai installé tout ça

je me suis retrouvé dans un premier temps en compagnie de vundo puis sur un crack AVG as, bagle a fait son apparition


il fut present sur le rapport hijackthis

j ai continué a cliquer sur mes cracks puis j ai redémarré le pc 3 fois

et surprise antivir neutralisé tout comme windows defender

et bien sur le message "n est pas une appliquation win32 valide"


alors j ai testé une méthode

j ai fait un scan DSS non renomé en MSE (a savoir que hijackthis n est pas necessire car DSS créé un clone en son absence)


puis repéré bagle (+ vundo )et je l ai mis en citation dans otmoveit non renomé en MSE

puis en MSE + reseau j ai telechargé combofix renomé en killbagle et il a démarré

je l ai stoppé puis supprimé et retelechargé non renomé, il a fonctionné

je vous joint les rapports

Donc que pensez vous de cette méthode ??

A noter que l infection était tres récente et le MSE accessible, mais on connait la methode pour le "réparer" si nécessaire


Hijackthis juste avant "n est pas une appliquation win32 valide" (avant les redémarrage)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:55:45, on 28/07/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode

Running processes:
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.conduit.com/...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A148A581-8964-4E4E-B1C9-E7F4D9F1F737} - C:\Users\CDRIC~1\AppData\Local\Temp\nnnnKDTj.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [PowerManager] C:\Program Files\Power Manager\PM.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\Users\CDRIC~1\AppData\Local\Temp\svchost.exe 1
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\efcDWOEU.dll,#1
O4 - HKLM\..\Run: [user32] C:\Users\Cédric\AppData\Roaming\user32.exe
O4 - HKLM\..\Run: [runner1] C:\Windows\mrofinu2000351.exe 61A847B5BBF72810329B385577F801F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D1DC7E4638E8323A15A04FB79DC4617E6FD967002BA754E1C2832211379A26033AAC
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ComRepl] C:\Users\Cédric\AppData\Roaming\comrepl.exe /com /w
O4 - HKCU\..\Run: [wupdate] C:\Users\Cédric\AppData\Roaming\wunauclt.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\CDRIC~1\AppData\Local\Temp\nnnnKDTj.dll,c
O4 - HKCU\..\Run: [BMbf558f71] Rundll32.exe "C:\Users\CDRIC~1\AppData\Local\Temp\fxxieifu.dll",s
O4 - HKCU\..\Run: [bc66bced] rundll32.exe "C:\Users\CDRIC~1\AppData\Local\Temp\aolenlmx.dll",b
O4 - HKCU\..\Run: [drvsyskit] C:\Windows\system32\drivers\hldrrr.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: acaptuser32.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

89 réponses

Précédent
Réponse 61 / 89
Utilisateur anonyme
28 sept. 2008 à 16:20
oki je comprend mieux au sujet de b2e

de toute façon je vais la laisser en bat la prochaine version

j ai vu dans killb :

zzzzzzzzz.exe
ba2n_l12.txt

je ne les ai jamais rencontré ces 2 là ....

oui en effet le rapport s afine du moins la recherche j ai essentiellement travaillé dessus

j ai toujours des soucis avec explorer au reboot ... pas trop compris pourquoi encore


je vais me pencher dessus ce soir , si t as une idée ..

ensuite je vais affiner tout ça et apres je verrais pour les 04 avec toutes les infos que tu m a donné je devrais pouvoir faire un truc sympa -;)

@+ et merci



0
Réponse 62 / 89
moe
28 sept. 2008 à 17:04
re,

de toute façon je vais la laisser en bat la prochaine version
C'est comme tu le sens, sinon tu as l'alternative de faire une archive autoextractible avec winrar par exemple, c'est un bon compromis :-)

je ne les ai jamais rencontré ces 2 là ....

zzzzzzzzz.exe
ba2n_l12.txt
[-HKEY_CURRENT_USER\Software\Dat33eTim7]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\R12un]

J'y suis tombé dessus il y a quelques mois déjà et je pense qu'à ce moment là tu ne devais pas encore t'interesser à bagle.
Je l'ai gardé dans killB à cause de sa rareté beaucoup plus que par nécessité car c'est vrai qu'on l'a quasiment jamais vu trainer sur les logs.
Just for fun :-) Car ça deviens très rare de trouver une variante sur les pc infectés qui a plus de deux mois !!
D'ailleurs à ce propos, vu que tu sembles vouloir prendre en compte d'anciennes variantes, j'ai conservé quelques vieux samples si jamais un jour tu veux les tester... mais pas sur que tous tournent sous Vista par contre.
Les icones des fichiers infectieux correspondent à ceux-ci: https://www.cjoint.com/?jCqWP0Nppc

j ai toujours des soucis avec explorer au reboot ... pas trop compris pourquoi encore

Hum, tu as essayé de remplacer shutdown par un autre utilitaire ?
Apparement exécuté en runonce il provoque l'apparition d'explorer en même temps qu'apparait la fenêtre du compte à rebours...
Tu connais Nircmd ?
http://www.nirsoft.net/utils/nircmd2.html#using
C'est juste un exemple, mais en plus de pouvoir exécuter un reboot, il t'économiserait aussi les vbs d'alerte...
A voir...

Bonne continuation et bon affinage lol

@++
0
Réponse 63 / 89
Utilisateur anonyme
28 sept. 2008 à 20:24
re moe

nircmd c est radical lol ......

Je pense que pour la partie "recherche" je suis ok là je vais attaquer les autoruns

en bat le fix fonctionne bien meme mieux je n ai plus ce soucis d explorer ... affaire a suivre ...

pour les reg je vais les garder comme avant ....

pour les viex samples, oui ça m interesse bien sur ..

bon allez j y retourne ...

Bonne soirée
0
Réponse 64 / 89
Utilisateur anonyme
29 sept. 2008 à 19:33
Salut moe,


j ai mis a jours l outils :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

il est en cmd

je continue l aventure -;)

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 65 / 89
Utilisateur anonyme
30 sept. 2008 à 20:49
Salut moe,

j ai commencé a me pencher sur les 04 avec ce code

findstr /S /I /M /L "Themida" %systemdrive\*.exe >nul &&(........)


il me trouve :
C:\WINDOWS\system32\MRT.exe meme si le pc n a pas été infecté :

http://www.commentcamarche.net/forum/affich 8666554 disque dur disparus de mon poste de travail?page=2#21

il me trouve aussi :

C:\Program Files\Common Files\Nero\Lib\NEROCHECK.EXE

tout comme ELI :



Tue Sep 30 20:00:17 2008
EliBagle v11.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Sep 30 20:00:18 2008
EliBagle v11.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Common Files\Nero\Lib\NEROCHECK.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 10886
Nº Total de Ficheros: 64718
Nº de Ficheros Analizados: 11651
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1


ici idem il me trouve : MRT.exe

http://www.commentcamarche.net/forum/affich 8670902 impossible de lancer un antivirus et le scan

voila j en suis là pour l instant

@+
0
moe
1 oct. 2008 à 14:47
Salut chiquitine

Mrt.exe est un faux positif, il contient bien le string "themida" mais ce n'est pas du à bagle.
C'est relatif à la détection des packers et donc des fichiers protégés par themida.
Tu peux l'exclure de la détection en filtrant avec un find /I /V "mrt.exe" par exemple.

La commande est fiable mais le résultat doit être pris avec les précautions d'usage et notamment une analyse systématique des fichiers détectés sur virustotal avant de les faire supprimer.
Si possible évite de passer par une suppression automatique des fichiers détectés par ce biais et peut être aussi qu'il serait bien d'avertir que la rubrique "autres infections" et sujette à interprétation ou analyse.
Ou alors tu rajoutes un petit message genre "Suspect/A analyser : ", juste devant le nom de fichier détecté dans le rapport.

En fait le ou les fichiers détectés doivent apparaître aussi en 04 pour que la suspiscion d'une infection par bagle soit le plus plausible possible.
C'est d'ailleurs surement le cas dans ton exemple avec C:\Program Files\Common Files\Nero\Lib\NEROCHECK.EXE
L'idéal serait de pouvoir trier et récupérer les chemins de fichiers de chaques 04, et de ne passer la commande que sur ces fichiers là pour éviter un maximum le risque de faux positifs. (A ma connaissance, mrt est le seul que j'ai rencontré depuis que j'utilise cette commande, mais bon...)
Si tu es un familier de l'utilisation de sed.exe par exemple c'est faisable.
Possible aussi de passer par un vbs ou un script AutoIt pour un résultat identique, à toi de voir.

Si tu préfères rester sur la commande findstr /S /I /M /L "Themida" %systemdrive\*.exe tel quel, tu peux aussi après avoir récupéré la liste des fichiers détectés par celle-ci, les soumettre en plus à une comparaison md5 avec les fichiers infectieux connus et présents (hldrrr.exe a le même md5 que la 04 infecté par exemple).
Cette méthode impliquera que tu récupère le md5 des fichiers infectieux avant leur suppression et bien entendu qu'il y en ait bien au moins un de présent pour pouvoir faire une comparaison...
Disons qu'avec cette méthode, tu pourras te retrouver dans trois cas :
- fichiers infectieux présents, comparaison md5 positive
- fichiers infectieux présents, comparaison md5 négative
- fichiers infectieux absent, comparaison md5 impossible
Dans le pire des cas (les deux derniers) la commande te permettras malgré tout de récupérer un nom fichier suspect et de pouvoir le faire soumettre à analyse.

Voilà, en espérant avoir été le plus clair possible, lol.

@++

ps:
Pour les samples je te mets un lien dès j'y remet la main dessus :-)
0
Réponse 66 / 89
Utilisateur anonyme
1 oct. 2008 à 15:15
Salut moe,

pour etre clair ça l est comme toujours .

Oui pour nero il est en 04

Ou alors tu rajoutes un petit message genre "Suspect/A analyser : ", juste devant le nom de fichier détecté dans le rapport.

oui je vais mettre ça en place ,dès aujourd hui

L'idéal serait de pouvoir trier et récupérer les chemins de fichiers de chaques 04, et de ne passer la commande que sur ces fichiers là pour éviter un maximum le risque de faux positifs

c est a ça que je pensais ,je me suis interessé a sn04 un peut aussi ....mais j ai pas réellement encore fait de test

j essai de voir aussi les mountpoint ...

HKEY_USERS\blabla\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

encore du travail en perspective...

oui pour les samples si tu met la main dessus je suis preneur

@+
0
moe
1 oct. 2008 à 16:46
Re :-)

oui je vais mettre ça en place ,dès aujourd hui
Ok, je pense aussi que c'est le plus simple.

c est a ça que je pensais ,je me suis interessé a sn04 un peut aussi ....mais j ai pas réellement encore fait de test
Ne te fie pas spécialement à sn04, c'est un script AutoIt perso que j'ai fait assez rapidement pour mes tests, sans vraiment prendre le temps de fignoler comme j'aurais voulu.
Son rôle est de renvoyer vers le fichier de son choix, une liste exploitable des *.exe contenus dans les clés de registre qui listent les éléments du démarrage.
Il filtre les guillemets, les slashs inutiles etc... Afin de pouvoir exploiter les chemins de fichiers correctement.
Faudra que j'y rebosse dessus quand j'en aurais le temps car pour l'instant il n'est pas assez complet et fiable à mon gout, lol.

Quant aux clés mountpoint2, c'est pas des plus évident...
Si le code ci-dessous peut t'inspirer après tests...Ne te gènes pas :-) 
(
echo.sdlflzoip 
echo.fsc\.tmp
echo.nideiect\.com 
echo.ntde1ect\.com 
echo.rombkaewl\.exe
echo.e9ehn1m8\.com
echo.b\.com
echo.t\.com
echo.jfvkcsy\.bat 
echo.svdioajm\.cmd 
)>>$files

for /f "tokens=*" %%a in ('tools\swreg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"') do (
tools\swreg.exe query "%%a\Shell\AutoRun\command">nul 2>&1 &&(echo.%%a\Shell\AutoRun\command>>$Auto_M)
tools\swreg.exe query "%%a\Shell\explore\Command">nul 2>&1 &&(echo.%%a\Shell\explore\Command>>$Auto_M)
tools\swreg.exe query "%%a\Shell\open\Command">nul 2>&1 &&(echo.%%a\Shell\open\Command>>$Auto_M)
)

if exist $Auto_M (
for /f "tokens=*" %%a in ($Auto_M) do (
tools\swreg.exe query "%%a" /s | findstr /I /G:$files >nul 2>&1 &&(
for /f "tokens=8,9,10,11 delims=\" %%b in ("%%a") do (
:: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\%%b\Shell" /f
echo.[HKEY_CURRENT_USER\..\mountpoints2\%%b\%%c\%%d\%%e] >>mount2.txt
tools\swreg.exe query "%%a" /s | findstr /I /G:files.dat >>mount2.txt
echo. >>mount2.txt
))
))

if exist $* del $*


@++ :-)
0
Réponse 67 / 89
Utilisateur anonyme
1 oct. 2008 à 16:51
re moe

@+ est downloadé lol

je vais mis remettre ce soir apres mangé je pense

je te ferais parvenir les resultats si il y a

merci pour tout

@+

0
Réponse 68 / 89
Utilisateur anonyme
2 oct. 2008 à 20:11
Salut moe

j ai rectifié un peux pour les 04 enfin l avertissement

sinon pour les mountpoint j ai pris le code que tu m a proposé et adapté (y avait pas grand chose a faire lol)


Ce matin j ai été faire un tour sur la mule ...

je te passe un echantillon (new icone) je ne l ai jamais vu , je ne l ai pas encore testé ..

@++

0
moe
2 oct. 2008 à 21:39
Bonsoir chiquitine

Merci pour le sample, c'est DL !
Nouvelle icône en effet, jamais vu non plus !
Merci encore car ces derniers jours je n'avais pas eu spécialement le temps de faire chauffer la vm :-)
-> Je file la remettre en route pour voir çà de plus près :-)

@++

ps:
Pour les bouts de code, je suis content de voir qu'ils te sont utile, mais j'espère aussi qu'au delà, ça t'incite à porter à chaque fois un regard perso sous des angles différents aux problèmes qui se présentes, et motiver ta ruse pour trouver une solution au niveau du code. :-)
0
Réponse 69 / 89
Utilisateur anonyme
2 oct. 2008 à 22:07
re moe,

j ai bien fait pour le sample alors -;)

ça t'incite à porter à chaque fois un regard perso sous des angles différents aux problèmes qui se présentes, et motiver ta ruse pour trouver une solution au niveau du code. :-)


oui en effet ça m incite a poursuivre dans le bon sens et puis affiner l outils garce a toi je l ai beaucoup amélioré tres rapidement

je vais continuer sur ce chemin


là je vais demenager (samedi) je serais couper du net durant 3/4 jours

concernant l outil , grace a mes acquis et a toutes tes infos/modif je pense que je reverrais plusieures choses ...

Maintenant qu il est pour ainsi dire aboutit ...

allez je vais tester le sample aussi sur ma machine de test (sous vista)

je te tiens au courant si je constate ...

bon test moe

@+
0
moe
2 oct. 2008 à 22:49
Re,

Oui tu as très bien fait :-)
Car en plus il y a du changement par rapport aux autres variantes :
https://www.cjoint.com/?kcwAJdtSRl
La traditionnelle fenêtre "Select a file to crack" vient de sauter au profit de ce que tu peux voir dans la capture d'écran.
Mais bon, mis à part l'enrobage qui change lol, le principe continue de rester exactement le même !

Pour ce qui est de ton outil et de poursuivre dans le bon sens, continue simplement de prendre plaisir à le coder et de jouer avec l'infection que tu commence à maitriser, c'est le principal.
Le reste viendra petit à petit de lui même.
La preuve ! Puisque tu pense déjà à des idées et des modifs pour l'améliorer :-)

Bon tests et surtout bon déménagement !!

@+ tard.
0
Réponse 70 / 89
Utilisateur anonyme
2 oct. 2008 à 22:56
re

exactement le plaisir avant tout

pour le sample ,

pour l instant je n ai rien constaté de nouveau mis a part l icone et cette fenetre de crack

je vais voir le registre .. -;)

0
Réponse 71 / 89
Utilisateur anonyme
2 oct. 2008 à 23:05
re

RAS dans le registre? enfin les habitué lol


HKEY_CURRENT_USER\Software\bisoft
HKEY_CURRENT_USER\Software\DateTime4
HKEY_CURRENT_USER\Software\FirtR
HKEY_CURRENT_USER\Software\MuleAppData

je laisse mariner ça cette nuit

@+
0
Réponse 72 / 89
Utilisateur anonyme
2 oct. 2008 à 23:09
----------------- FindyKill V3.095 ------------------

* User : Cedric - PC-DE-CEDRIC
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 02/10/08 par Chiquitine29
* Recherche effectuée à 23:07:56 le 02/10/2008
* Windows Vista - Internet Explorer 7.0.6000.16711

((((((((((((((((( *** Recherche *** ))))))))))))))))))


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\Windows


»»»» Presence des fichiers dans C:\Windows\Prefetch


»»»» Presence des fichiers dans C:\Windows\system32

Présent ! - C:\Windows\system32\mdelk.exe
Présent ! - C:\Windows\system32\wintems.exe
Présent ! - C:\Windows\system32\ban_list.txt

»»»» Presence des fichiers dans C:\Windows\system32\drivers

Présent ! - C:\Windows\system32\drivers\srosa.sys
Présent ! - C:\Windows\system32\drivers\hldrrr.exe
Présent ! - "C:\Windows\system32\drivers\downld"
Present ! - C:\Windows\system32\drivers\downld\221630.exe
Present ! - C:\Windows\system32\drivers\downld\772470.exe
Present ! - C:\Windows\system32\drivers\downld\291441.exe
Present ! - C:\Windows\system32\drivers\downld\152132.exe
Present ! - C:\Windows\system32\drivers\downld\598872.exe
Present ! - C:\Windows\system32\drivers\downld\604862.exe
Present ! - C:\Windows\system32\drivers\downld\646312.exe
Present ! - C:\Windows\system32\drivers\downld\750942.exe
Present ! - C:\Windows\system32\drivers\downld\202083.exe
Present ! - C:\Windows\system32\drivers\downld\779053.exe
Present ! - C:\Windows\system32\drivers\downld\247604.exe
Present ! - C:\Windows\system32\drivers\downld\269304.exe
Present ! - C:\Windows\system32\drivers\downld\297774.exe
Present ! - C:\Windows\system32\drivers\downld\113365.exe
Present ! - C:\Windows\system32\drivers\downld\279335.exe
Present ! - C:\Windows\system32\drivers\downld\605705.exe
Present ! - C:\Windows\system32\drivers\downld\644065.exe
Present ! - C:\Windows\system32\drivers\downld\135986.exe
Present ! - C:\Windows\system32\drivers\downld\145236.exe
Present ! - C:\Windows\system32\drivers\downld\161086.exe
Present ! - C:\Windows\system32\drivers\downld\199556.exe
Present ! - C:\Windows\system32\drivers\downld\599886.exe
Present ! - C:\Windows\system32\drivers\downld\146157.exe
Present ! - C:\Windows\system32\drivers\downld\148497.exe
Present ! - C:\Windows\system32\drivers\downld\137358.exe
Present ! - C:\Windows\system32\drivers\downld\218838.exe
Present ! - C:\Windows\system32\drivers\downld\273578.exe
Present ! - C:\Windows\system32\drivers\downld\701349.exe
Present ! - C:\Windows\system32\drivers\downld\704219.exe

»»»» Presence des fichiers dans C:\Users\Cedric\AppData\Roaming

Présent ! - "C:\Users\Cedric\AppData\Roaming\m\flec006.exe"
Présent ! - "C:\Users\Cedric\AppData\Roaming\m\list.oct"
Présent ! - "C:\Users\Cedric\AppData\Roaming\m\data.oct"
Présent ! - "C:\Users\Cedric\AppData\Roaming\m\srvlist.oct"
Présent ! - "C:\Users\Cedric\AppData\Roaming\m\shared"
Présent ! - "C:\Users\Cedric\AppData\Roaming\m"

»»»» Presence des fichiers dans C:\Users\Cedric\AppData\Local\Temp


»»»» Registre :


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Windows Defender REG_EXPAND_SZ %ProgramFiles%\Windows Defender\MSASCui.exe -hide
NvSvc REG_SZ RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
NvCplDaemon REG_SZ RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
NvMediaCenter REG_SZ RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
RtHDVCpl REG_SZ RtHDVCpl.exe
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
CloneCDTray REG_SZ "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
NeroFilterCheck REG_SZ C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
NBKeyScan REG_SZ "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Sidebar REG_SZ C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
eMuleAutoStart REG_SZ C:\Program Files\eMule\emule.exe -AutoStart


Présent ! - HKEY_USERS\S-1-5-21-3122901841-3547707653-2822199310-1000\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_USERS\S-1-5-21-3122901841-3547707653-2822199310-1000\Software\Local AppWizard-Generated Applications\Kaspersky_Anti_hacker_serial_keygen_crack
Présent ! - HKEY_USERS\S-1-5-21-3122901841-3547707653-2822199310-1000\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_USERS\S-1-5-21-3122901841-3547707653-2822199310-1000\Software\bisoft
Présent ! - HKEY_USERS\S-1-5-21-3122901841-3547707653-2822199310-1000\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-3122901841-3547707653-2822199310-1000\Software\FirtR
Présent ! - HKEY_USERS\S-1-5-21-3122901841-3547707653-2822199310-1000\Software\MuleAppData
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\Kaspersky_Anti_hacker_serial_keygen_crack
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\nideiect
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\DateTime4
Présent ! - HKEY_CURRENT_USER\Software\FirtR
Présent ! - HKEY_CURRENT_USER\Software\MuleAppData


»»»» Presence d infections dans Support amovible :


Présent ! - G:\autorun.inf
Présent ! - G:\nideiect.com


----------------- ! Fin du rapport ! ------------------

0
moe
9 oct. 2008 à 11:06
Salut chiquitine

Si ton déménagement s'est bien passé :-) je suppose que tu dois encore bosser sur la détection des 04 pour findykill, entre autre, vu que l'astuce avec themida ne s'applique plus depuis les derniers changement de bagle.
Je sais pas si tu as pu contourner le problème, mais perso j'ai trouvé une autre astuce assez simple que je te fais passer via le code de SniffB

Je t'ai mis un exemple de ce que ça peut donner à la section "Fichiers Suspects à analyser" du rapport ci-dessous.
S'il n'y a pas de références de comparaison md5 de dispo, je t'ai mis une astuce de secours que tu verras par toi même dans le code.
Comme d'hab, si tu trouve un truc qui t'interesse, ne te gène pas pour te servir, c'est fait pour :-)

Bonne continuation.

@++
....
....
##################################### | Accès Fichiers cachés - Mode sans échec |

Clé manquante : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\Safeboot


################################################### | Listing processus actifs |

Running :

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\Program Files\VMware\VMware Tools\VMwareService.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\downld\113109.exe

/!\ Infection active, processus stoppés :

"C:\WINDOWS\system32\drivers\hldrrr.exe" (1732)
"C:\WINDOWS\system32\wintems.exe" (1680)
"C:\WINDOWS\system32\drivers\downld\113109.exe" (1960)


############################################################# | Autorun |

C: - Lecteur fixe

Recherche négative.

E: - Lecteur amovible

E:\autorun.inf

[autorun]
open=nideiect.com
;shell\open=Open(&O)
shell\open\Command=nideiect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=nideiect.com

E:\nideiect.com

######################################################## | Mountpoint2 |

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{843f0a4b-8514-4369-b700-a63c83e51d0d}\Shell\AutoRun\command]
<NO NAME> REG_SZ nideiect.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{843f0a4b-8514-4369-b700-a63c83e51d0d}\Shell\explore\Command]
<NO NAME> REG_SZ nideiect.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{843f0a4b-8514-4369-b700-a63c83e51d0d}\Shell\open\Command]
<NO NAME> REG_SZ nideiect.com

/!\ [HKCU\.\.\.\.\Explorer\MountPoints2\{843f0a4b-8514-4369-b700-a63c83e51d0d}\Shell] -> nideiect.com

###################################################### | Service Srosa |

/!\ Infection active : Start = 0x1

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]
[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\srosa]
[HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\srosa]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKEY_LOCAL_MACHINE\system\ControlSet003\Enum\Root\LEGACY_SROSA]
[HKEY_LOCAL_MACHINE\system\CurrentControlSet\Enum\Root\LEGACY_SROSA]


############################################### | Fichiers\dossiers infectieux |

[09/10/2008 10:06] C:\WINDOWS\system32\drivers\downld
[09/10/2008 10:04 - 68382] C:\WINDOWS\system32\mdelk.exe
[09/10/2008 10:04 - 68382] C:\WINDOWS\system32\wintems.exe
[09/10/2008 10:04 - 119948] C:\WINDOWS\system32\drivers\srosa.sys
[08/07/2006 10:01 - 851976] C:\WINDOWS\system32\drivers\hldrrr.exe
[09/10/2008 10:05 - 16028] C:\WINDOWS\system32\ban_list.txt
[09/10/2008 10:01 - 68382] C:\Documents and Settings\infected\Local Settings\Temporary Internet Files\Content.IE5\1IY6PXYM\b64_3[1].jpg
[09/10/2008 10:04 - 68382] C:\Documents and Settings\infected\Local Settings\Temporary Internet Files\Content.IE5\1IY6PXYM\b64_3[2].jpg
[09/10/2008 10:04 - 68382] C:\Documents and Settings\infected\Local Settings\Temporary Internet Files\Content.IE5\1IY6PXYM\b64_3[3].jpg
[09/10/2008 10:01 - 68382] C:\Documents and Settings\infected\Local Settings\Temporary Internet Files\Content.IE5\59SS5DS5\b64_3[1].jpg
[09/10/2008 10:04 - 725516] C:\Documents and Settings\infected\Local Settings\Temporary Internet Files\Content.IE5\EY4RFUZP\b64_1[1].jpg
[09/10/2008 10:00 - 725516] C:\Documents and Settings\infected\Local Settings\Temporary Internet Files\Content.IE5\XFKIVYFB\b64_1[1].jpg
[09/10/2008 10:01 - 73308] C:\Documents and Settings\infected\Local Settings\Temporary Internet Files\Content.IE5\XFKIVYFB\b64_2[1].jpg


#################################### | Fichiers Suspects à analyser (Bagle MD5) |

Références de comparaison :

7c960f701640232463d1c2d7de55efde C:\WINDOWS\system32\mdelk.exe
7c960f701640232463d1c2d7de55efde C:\WINDOWS\system32\wintems.exe
c7442f132094ff6b7490e64d1d587548 C:\WINDOWS\system32\drivers\hldrrr.exe

Bagle MD5 :

c7442f132094ff6b7490e64d1d587548 C:\test.exe
c7442f132094ff6b7490e64d1d587548 C:\Wise Research DeepAnalysis 2\Wise Research DeepAnalysis 2.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run]
test REG_SZ C:\test.exe


################################################ | Registre: Clés infectieuses |

[HKEY_CURRENT_USER\Software\bisoft]
[HKEY_CURRENT_USER\Software\DateTime4]
[HKEY_CURRENT_USER\Software\EFC]
[HKEY_CURRENT_USER\Software\FirtR]
[HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr]
[HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\nideiect]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | german.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] | EnableLUA
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\Svc] | EnableLUA


###################################################### | Registre: Startup |

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

test = C:\test.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

avgnt = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

[HKEY_CURRENT_USER\software\local appwizard-generated applications\hldrrr]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\test]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Wise Research DeepAnalysis 2]


############################################################ | Services |

[ Auto=2 Demande=3 Désactivé=4 ]


/!\ Ndisuio - [Type de démarrage = 4]

/!\ Ip6Fw - [Type de démarrage = 4]

/!\ SharedAccess - [Type de démarrage = 4]

/!\ wuauserv - [Type de démarrage = 4]

/!\ wscsvc - [Type de démarrage = 4]


############################ [ Fin du rapport ] ############################
0
Réponse 73 / 89
Utilisateur anonyme
11 oct. 2008 à 13:08
Re moe

merci pour les compliments mais je te les retournes...

tu as raisons pour les autoruns dans l option 2

Je pensais rajouter le contenu du dossier sharred dans l option 2 tout comme combo ..

a voir mais ça va ralonger le rapport ..

RAS sur la mule

c est vrai que le manque de temps est notre enemi dans ce genre de hobbie ..

allez j y retourne lol

bon week end aussi

@+
0
Réponse 74 / 89
Utilisateur anonyme
11 oct. 2008 à 14:47
Salut T'Chiki,
bien le bonjour Moe.

Je suis cette discussion depuis le début avec grand intérêt. Même si la plus part du temps je n'y comprends pas grand chose...

Chapeau bas T'Chiki pour tes investigations et le fruit qui en émane : FindyKill. ;)
Il va falloir que je me jette aussi à l'eau. J'ai bien envie de mieux comprendre la programmation, histoire d'au moins savoir lire toutes ces lignes de code. En plus je vois que tu as un très bon prof. Si un jour c'est mon tour j'espère avoir cette chance.

:-)

Bref,
juste une remarque sans grande importance :

--------------- [Registre / Clés infecteuses] ----------------

Il y a une petite faute d'orthographe ;)

De plus (question de sémantique sans grande valeur non plus), je me demande s'il ne faut pas mieux dire infectés plutôt que infectieux.

Je sais : mes remarques sont un peu pipi de chat.

:D

Aller ! Je repars !

Bonne continuation !

Dl.
0
Réponse 75 / 89
Utilisateur anonyme
11 oct. 2008 à 20:48
Salut DllD,

Bien vue pour la faute d'orthographe ;) javais pas preté attention et je corrigerai

cool que tu veuille te lancer danc cette activité

tu verras c est tres prenant/interessant

en effet j ai beaucoup de chances que moe se soit interessé a l outil

surtout pour tout ce qu il m a apporté

donc encore merci moe

tu vas nous sortir DlldFix ?

@+
0
Réponse 76 / 89
Utilisateur anonyme
11 oct. 2008 à 22:19
B'soir a vous trois !

J'espere que vous vous portez a merveille ^^

Ds le meme cas que DllD je suis cette discussion mais arf comprend pas grand chose snirf! Tres bon fix, ou as-t/avez-vous appris la programmation, est-ce dur/long ? ca m'interresse fortement mais quand je vois les premiers exo de debutants de prog sur le siteduzero ou autre lol je me dis que ds 10 ans j'aurais peut-etre crée ma premiere fenetre 0.o

Quels sont les logiciels de prog les plus interressant/pratique pour un gro noob comme moi ? j'avais code blocks mais bon....sniiiffff


Merci d'avance pour vos reponses et puis chÂpOo pour vos talents







0
Réponse 77 / 89
Utilisateur anonyme
17 oct. 2008 à 14:14
Salut Olivier

Non aucune pression. mais je ne suis pas au courant de tout ce qu il se dit sur la toile , sur des forums obscurs ...

content que toi aussi tu ais apprécié les moments passés. FindyKill a été une aventure formidable surtout quand tu vois le point de depart

donc voila beaucoup de satisfaction

je te remercie encore une fois d y avoir participé

et surement @+ par là lol

Cédric
0
Réponse 78 / 89
Utilisateur anonyme
17 oct. 2008 à 14:49
Salut TLM,

Je vois qu'il y a du remue-ménage en ce moment. Bon...toutes les bonnes choses ont une fin.

Cédric je pense te recroiser sur CCM. Si tel n'est pas le cas restons en contact radio ;)
Oui je souhaite créer un petit programme. Mais pas un fix, un outils d'analyse : aucune suppression possible avec. C'est moins dangereux :-)
Mais pour l'instant, et bien... c'est pas pour tout de suite.
Bref, c'est pas gagné ;)

Quand j'aurais plongé les mains dans le camboui je t'en toucherai deux mots.


Au plaisir.
Bye.

Ludo.
0
Réponse 79 / 89
Utilisateur anonyme
19 oct. 2008 à 02:38
Salut Olivier,


apres avoir discuté avec plusieures personnes j ai finalement remis le fix en circulation

alors je réouvre aussi ce topic -;)


j ai remis le fix a jours , ça bouge du coté de notre amis bagle

nouvel icone (je l ai pris d ailleurs lol)

et nouvelle clé :

HKEY_CURRENT_USER\Software\FR79732423

bref je surveille -;)

bon dimanche

Cédric

ps : DllD je t ai mp
0
moe
19 oct. 2008 à 11:34
Salut Cédric,

Bonne nouvelle, ça aurait été dommage de voir findykill partir aux oubliettes après tout le mal que tu t'es donné pour le réaliser !

Effectivement l'infection bouge pas mal depuis deux jours... du moins au niveau de la déco du package du faux crack lol.

Pour ma part en plus de la clé que tu cites et de l'icône, j'ai noté ceci :

C:\WINDOWS\system32\drivers\winfilse.exe semble maintenant remplacer hldrrr.exe
et les clés suivantes sont venues se greffer aux autres habituellement rencontrées :
HKEY_CURRENT_USER\Software\FFC
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse

Autre chose avant que j'oublie !
Petite astuce pour neutraliser srosa.sys sans outils tiers ou modifs dans le registre :
type bye_bye > %systemroot%\system32\drivers\srosa.sys (<- tel quel)
(/!\ pour que l'astuce fonctionne il ne faut pas de ">nul" en fin de commande)
Malgré le message d'erreur retourné par la commande (le fichier n'existe pas), srosa est totalement vidé de son contenu et donc rendu inutilisable :-)
Un seul redémarrage en runonce suffit ensuite pour neutraliser le reste de l'infection.
Disons que ça peut te faire économiser un reboot si ça fonctionne aussi sous vista :-)
Voilou !

Bon dimanche et bonne continuation !
0
Réponse 80 / 89
Utilisateur anonyme
19 oct. 2008 à 16:10
Salut Olivier ,


effectivement j ai aussi rencontré winfilse.exe hier soir enfin cette nuit -;)


je l avais isolé :


Résultat: 7/36 (19.45%)




Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.18.0 2008.10.18 -
AntiVir 7.9.0.5 2008.10.17 -
Authentium 5.1.0.4 2008.10.19 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.18 Win32/Themida
BitDefender 7.2 2008.10.19 -
CAT-QuickHeal 9.50 2008.10.18 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.10.19 -
DrWeb 4.44.0.09170 2008.10.19 Trojan.Packed.650
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6154 2008.10.17 -
Ewido 4.0 2008.10.19 -
F-Prot 4.4.4.56 2008.10.19 -
F-Secure 8.0.14332.0 2008.10.19 -
Fortinet 3.113.0.0 2008.10.19 PossibleThreat
GData 19 2008.10.19 -
Ikarus T3.1.1.44.0 2008.10.19 -
K7AntiVirus 7.10.498 2008.10.18 -
Kaspersky 7.0.0.125 2008.10.19 -
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.19 -
NOD32 3535 2008.10.18 -
Norman 5.80.02 2008.10.17 -
Panda 9.0.0.4 2008.10.19 -
PCTools 4.4.2.0 2008.10.19 -
Prevx1 V2 2008.10.19 Worm
Rising 20.66.62.00 2008.10.19 -
SecureWeb-Gateway 6.7.6 2008.10.18 Win32.Malware.gen (suspicious)
Sophos 4.34.0 2008.10.19 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.19 -
TheHacker 6.3.1.0.119 2008.10.18 W32/Behav-Heuristic-064
TrendMicro 8.700.0.1004 2008.10.17 -
VBA32 3.12.8.7 2008.10.18 -
ViRobot 2008.10.18.1426 2008.10.18 -
VirusBuster 4.5.11.0 2008.10.18 -
Information additionnelle
File size: 839688 bytes
MD5...: b57d4adc54469e220d7c08ae4e1c3c16
SHA1..: 77dc2d17e2d33cdb3e0afb7abb2c60cc1cf4cff3
SHA256: e3a0fd36f978877d964449890bae1d7e0df26e9650bcc0d852058d0e87ed7d8f
SHA512: 54c1d903f207204dab10677e0f6f5fce988d68680779c6ae909757d95eeef761
b4e8a9d3e896086bf699b6c533ab06b6d9aff618b772e57dce2d530808339665
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x47e014
timedatestamp.....: 0x48f97d13 (Sat Oct 18 06:07:15 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x75000 0x36000 7.97 ae9270c22663d37d2ffe854deebcbebd
.rsrc 0x76000 0x6240 0x3000 5.51 57d214d0d8ed84044412cf994983f653
.idata 0x7d000 0x1000 0x1000 0.24 993b47a7c2805f4d6e6d22607a2cd71a
Themida 0x7e000 0x14f000 0x92000 7.89 51a8a54927b83deb92c7fc3fcf47e073

( 2 imports )
> KERNEL32.dll: CreateFileA, ExitProcess
> COMCTL32.dll: InitCommonControls

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=BF074A82083CD578D0500C103C635400BE179C8D
packers (F-Prot): Themida


c est cool que tu confirmes

bref je file mettre a jours -;) etc...


bon dimanche egalement
0
moe
20 oct. 2008 à 23:52
Salut Cédric

Oui c'est exact, winfilse.exe a bien envoyé hldrrr.exe à la retraite depuis vendredi :-)
Elibagla mis à jour aujourd'hui ne le détecte toujours pas d'ailleurs :-(
Pas plus que les deux autres variantes (voire trois) qui ont apparues depuis....
Bref, tout çà pour te dire que depuis ce w-e, une nouvelle clé vient se rajouter à la liste :
HKEY_CURRENT_USER\Software\CHKPTR
Perso je pense que je vais arrêter là avec Bagle, je commence un peu à saturer depuis les quelques mois ou je le traque quotidiennement et donc je lâche l'affaire.
Je te laisse pour la "curiosité", un exemplaire de KillB, que je viens juste de terminer :-)

Voilà...Bonne continuation à toi et peut-être à un de ces 4....
0

Discussions similaires

Désinfection
Pic hach -
Xileh -

9 réponses
desinfection
puce56 -
Malekal_morte- -

9 réponses
Demande de desinfection
Marshall216 -
jmdepise -

19 réponses
Demande de désinfection!
72hubert -
Malekal_morte- -

1 réponse
Aide pour désinfection
Phanouman -
yoann090 -

11 réponses