Bonjours à toutes et à tous , Hier (ou plutot cette nuit) j ai fais une petite expérience Je me suis donc "auto infecté" par le ver bagle afin de verifier une méthode d éradiquation plus rapide que celle que nous connaissons tous donc sur la mule j ai telechargé differents crack (kaspersky AVG as et j ai tapé crack et telechargé un peux de tout) apres j ai installé tout ça je me suis retrouvé dans un premier temps en compagnie de vundo puis sur un crack AVG as, bagle a fait son apparition il fut present sur le rapport hijackthis j ai continué a cliquer sur mes cracks puis j ai redémarré le pc 3 fois et surprise antivir neutralisé tout comme windows defender et bien sur le message "n est pas une appliquation win32 valide" alors j ai testé une méthode j ai fait un scan DSS non renomé en MSE (a savoir que hijackthis n est pas necessire car DSS créé un clone en son absence) puis repéré bagle (+ vundo )et je l ai mis en citation dans otmoveit non renomé en MSE puis en MSE + reseau j ai telechargé combofix renomé en killbagle et il a démarré je l ai stoppé puis supprimé et retelechargé non renomé, il a fonctionné je vous joint les rapports Donc que pensez vous de cette méthode ?? A noter que l infection était tres récente et le MSE accessible, mais on connait la methode pour le "réparer" si nécessaire Hijackthis juste avant "n est pas une appliquation win32 valide" (avant les redémarrage) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 05:55:45, on 28/07/2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Safe mode Running processes: C:\Windows\SYSTEM32\WISPTIS.EXE C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe C:\Windows\Explorer.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.conduit.com/... R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {A148A581-8964-4E4E-B1C9-E7F4D9F1F737} - C:\Users\CDRIC~1\AppData\Local\Temp\nnnnKDTj.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [PowerManager] C:\Program Files\Power Manager\PM.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Elements 6.0\apdproxy.exe" O4 - HKLM\..\Run: [WindowsServicesStartup] C:\Users\CDRIC~1\AppData\Local\Temp\svchost.exe 1 O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\efcDWOEU.dll,#1 O4 - HKLM\..\Run: [user32] C:\Users\Cédric\AppData\Roaming\user32.exe O4 - HKLM\..\Run: [runner1] C:\Windows\mrofinu2000351.exe 61A847B5BBF72810329B385577F801F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D1DC7E4638E8323A15A04FB79DC4617E6FD967002BA754E1C2832211379A26033AAC O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ComRepl] C:\Users\Cédric\AppData\Roaming\comrepl.exe /com /w O4 - HKCU\..\Run: [wupdate] C:\Users\Cédric\AppData\Roaming\wunauclt.exe O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\CDRIC~1\AppData\Local\Temp\nnnnKDTj.dll,c O4 - HKCU\..\Run: [BMbf558f71] Rundll32.exe "C:\Users\CDRIC~1\AppData\Local\Temp\fxxieifu.dll",s O4 - HKCU\..\Run: [bc66bced] rundll32.exe "C:\Users\CDRIC~1\AppData\Local\Temp\aolenlmx.dll",b O4 - HKCU\..\Run: [drvsyskit] C:\Windows\system32\drivers\hldrrr.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU') O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - AppInit_DLLs: acaptuser32.dll O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Salut moe, Si ton déménagement s'est bien passé :-) je suppose que tu dois encore bosser sur la détection des 04 pour findykill le demenagement s est bien passé meme si le temps n était pas de la partie. je n ai pas encore retravaillé sur l outil par manque de temps.. je vois que toi de ton coté .... sniffb -;) est plus qu interessant t as fais du super taf comme toujours je vais regarder tout ça ce soir surement -;) en te remerciant de tes efforts, je te tiens au courant @+

Désinfection Bagle

Réponse 81 / 89

E..T Messages postés 6565 Statut Contributeur 437

Soir missterrr chiqui ;-))
Et franchement t'es un dingo ;) respect à toi et merci pour tout tes conseils.
@++

Réponse 82 / 89

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonsoir,

Chiquitine,

ici : http://www.commentcamarche.net/forum/affich 8985455 clavier et souris bloques sur portable?page=3#47

le rapport Combofix montre que FindyKill a laissé Legacy_SROSA

C'est structurel ou lié à la dernière variante ?

Réponse 83 / 89

Utilisateur anonyme

Bonsoir lyonnais ,

en effet certaines clés peuvent subsister apres passage de l outil:

HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA

a noter que une fois l infection éradiquée ces clés ont plus que tendance a disparaitre d elle meme

logiquement si l user du topic cité repasse combo tu reverras:

-------\Legacy_SROSA

en sommes ça n a rien a voir avec le derniere variantes

celle ci comme on l a dit ajoute C:\Windows\system32\drivers\winfilse.exe remplaçant de C:\Windows\system32\drivers\hldrrr.exe

plus de nouvelles clé :

HKEY_CURRENT_USER\Software\bisoft
HKEY_CURRENT_USER\Software\FR79732423
HKEY_CURRENT_USER\Software\FFC
HKEY_CURRENT_USER\Software\CHKPTR
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
HKEY_USERS\?????????????\Software\Local AppWizard-Generated Applications\winfilse

les startup quand a elle ne change pas , seul le nom du fichiers a changé (winfilse.exe)

exemple :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"drvsyskit" REG_SZ C:\Windows\system32\drivers\winfilse.exe

bref le tout est surveillé (pas de changements constaté aujourd hui)

bonne soirée

Réponse 84 / 89

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Re,

il me semble que la suppression des clés

HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA

ne doit pas être compliqué à intégrer.

Elle évitera des réflexions du genre "il n'enlève pas tout".

Réponse 85 / 89

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonjour à tous,

Chiquitine, sur la dernière variante, tu as été plus réactif que la concurrence !

Sur les clés , j'espère que tu pourras intégrer la proposition de moe( au passage, bonjour, c'est toujours un plaisir de te lire, et c'est toujours instructif). C'est un tout petit détail. Mais c'est le genre de détail qui font ou défont la réputation de l'outil.

Tous les experts que j'ai lu disent que c'est l'outil le plus efficace sur le marché. Autant assurer son succès (dès lors qu'il y a des solutions techniques possibles sans coût prohibitif).

Réponse 86 / 89

Utilisateur anonyme

Salut Olivier , Lyonnais

olivier merci pour le bout de code , je vais m y coller dès ce soir

Lyonnais , il est vrai que j ai eu quelques echos plus que positif sur le fix

Bref il faut rester reactifs, suivre l evolution etc

en tout cas merci a tous les deux

je vais voir tout ça -;)

bonne apres midi

@+

moe

Salut Cédric, Lyonnais

Lyonnais, à propos de détails qui peuvent avoir leur importance, perso je suis étonné que pratiquement aucun outil encore, n'intègre la détection des 04 infectées par Bagle !
Mis à part Eli, certes, mais toujours avec un temps de retard et à condition d'avoir dans ses bases la version du ver concernée.
Dommage car il y a des méthodes relativement simples qui existent depuis longtemps et qui sont non exploitées pour l'instant.
Bref, sur ce point pratiquement tout le monde est sur le même pied d'égalité, et donc concernant les détails qui peuvent défaire des réputations, non ? :-)

Bon week-end à vous deux, et bonne continuation Cédric pour la traque :-).

@++

Réponse 87 / 89

Utilisateur anonyme

Salut Olivier ,

j espere que tu vas bien

c est justement le point sur lequel je travail tout en traquant ... -;)

mais ta remarque est tout a fait fondée .

bref y a encore beaucoup a faire.

J y vais etape par etape.

en tout cas merci pour tout ce que as deja fait pour l outils

Bon week end egalement

moe

Bonsoir,

Je sais que tu y travaille, Cédric, rien à voir avec une critique y a pas d'soucis, d'ailleurs tu en avais déjà parlé ici :-)

En fait je voulais juste réagir sur l'aspect "sanction" par le milieu, que laissait entrevoir Lyonnais.
C'est vrai qu'il est très facile de juger un outil, crée qui plus est par un inconnu et sur un détail, mais çà l'est moins lorsqu'il faut appliquer ce même genre de sanction hative à tout les autres outils déjà en place qui ont chacun leur propres lacunes concernant le traitement de Bagle.
Pour les uns comme pour les autres, je ne crois pas qu'une Epée de Damoclès soit vraiment une pression positive..
Ceci dit, c'est bien qu'il y ait des remontées constructives sur les outils, qu'elles soit positives ou négatives, car ça permet le plus souvent de faire évoluer le fix dans le bon sens.

@++

ps:
Arrête de me remercier lol, c'est toi qui te tape le boulot, pas moi :-)

Réponse 88 / 89

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonsoir,

moe, quelle lecture !

Mais en une semaine, bien des choses ont changé. Désormais, "l'outil se défend tout seul".

Je veux dire que, désormais, "le milieu" l'analyse sans a priori.

Ce qui, comme tu le dis, n'empêche pas que l'outil doit évoluer et bénéficier des remontées des utilisateurs.

Réponse 89 / 89

Utilisateur anonyme

re

bonsoir a tous les deux ,

il est certains que les remontées sont les bienvenue ...

personnellement je suis ouvert

l outils est "jeune" encore et son auteur aussi bref il y a du travail a efectuer encore et encore

de plus il faut suivre l infection de pret ...

quand je relis lle topic bien du chemin a passé , je ne pensais pas aboutir a ce resultat

en tout les cas je fait des efforts pour tenir le fix a jours et surtout l améliorer/ le completer

comme je l ai dis a Lyonnais en MP il y a aussi le point de la Trad a voir ....

bonne soirée

Désinfection Bagle - Page 5

Discussions similaires

Newsletters