Désinfection Bagle - Page 5

Fermé
Précédent
  • 1
  • 2
  • 3
  • 4
  • 5
  1. E..T Messages postés 6565 Statut Contributeur 437
     
    Soir missterrr chiqui ;-))
    Et franchement t'es un dingo ;) respect à toi et merci pour tout tes conseils.
    @++
    -1
  2. Utilisateur anonyme
     
    Bonsoir lyonnais ,

    en effet certaines clés peuvent subsister apres passage de l outil:

    HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA

    a noter que une fois l infection éradiquée ces clés ont plus que tendance a disparaitre d elle meme

    logiquement si l user du topic cité repasse combo tu reverras:

    -------\Legacy_SROSA

    en sommes ça n a rien a voir avec le derniere variantes

    celle ci comme on l a dit ajoute C:\Windows\system32\drivers\winfilse.exe remplaçant de C:\Windows\system32\drivers\hldrrr.exe

    plus de nouvelles clé :

    HKEY_CURRENT_USER\Software\bisoft
    HKEY_CURRENT_USER\Software\FR79732423
    HKEY_CURRENT_USER\Software\FFC
    HKEY_CURRENT_USER\Software\CHKPTR
    HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
    HKEY_USERS\?????????????\Software\Local AppWizard-Generated Applications\winfilse

    les startup quand a elle ne change pas , seul le nom du fichiers a changé (winfilse.exe)

    exemple :

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    "drvsyskit" REG_SZ C:\Windows\system32\drivers\winfilse.exe

    bref le tout est surveillé (pas de changements constaté aujourd hui)

    bonne soirée
    0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    il me semble que la suppression des clés

    HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGAC­Y_SROSA
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SRO­SA
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SRO­SA
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SRO­SA

    ne doit pas être compliqué à intégrer.

    Elle évitera des réflexions du genre "il n'enlève pas tout".
    -1
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour à tous,

    Chiquitine, sur la dernière variante, tu as été plus réactif que la concurrence !

    Sur les clés , j'espère que tu pourras intégrer la proposition de moe( au passage, bonjour, c'est toujours un plaisir de te lire, et c'est toujours instructif). C'est un tout petit détail. Mais c'est le genre de détail qui font ou défont la réputation de l'outil.

    Tous les experts que j'ai lu disent que c'est l'outil le plus efficace sur le marché. Autant assurer son succès (dès lors qu'il y a des solutions techniques possibles sans coût prohibitif).
    0
  6. Utilisateur anonyme
     
    Salut Olivier , Lyonnais

    olivier merci pour le bout de code , je vais m y coller dès ce soir

    Lyonnais , il est vrai que j ai eu quelques echos plus que positif sur le fix

    Bref il faut rester reactifs, suivre l evolution etc

    en tout cas merci a tous les deux

    je vais voir tout ça -;)

    bonne apres midi

    @+

    0
    1. moe
       
      Salut Cédric, Lyonnais

      Lyonnais, à propos de détails qui peuvent avoir leur importance, perso je suis étonné que pratiquement aucun outil encore, n'intègre la détection des 04 infectées par Bagle !
      Mis à part Eli, certes, mais toujours avec un temps de retard et à condition d'avoir dans ses bases la version du ver concernée.
      Dommage car il y a des méthodes relativement simples qui existent depuis longtemps et qui sont non exploitées pour l'instant.
      Bref, sur ce point pratiquement tout le monde est sur le même pied d'égalité, et donc concernant les détails qui peuvent défaire des réputations, non ? :-)

      Bon week-end à vous deux, et bonne continuation Cédric pour la traque :-).

      @++
      0
  7. Utilisateur anonyme
     
    Salut Olivier ,

    j espere que tu vas bien

    c est justement le point sur lequel je travail tout en traquant ... -;)

    mais ta remarque est tout a fait fondée .

    bref y a encore beaucoup a faire.

    J y vais etape par etape.

    en tout cas merci pour tout ce que as deja fait pour l outils

    Bon week end egalement
    0
    1. moe
       
      Bonsoir,

      Je sais que tu y travaille, Cédric, rien à voir avec une critique y a pas d'soucis, d'ailleurs tu en avais déjà parlé ici :-)

      En fait je voulais juste réagir sur l'aspect "sanction" par le milieu, que laissait entrevoir Lyonnais.
      C'est vrai qu'il est très facile de juger un outil, crée qui plus est par un inconnu et sur un détail, mais çà l'est moins lorsqu'il faut appliquer ce même genre de sanction hative à tout les autres outils déjà en place qui ont chacun leur propres lacunes concernant le traitement de Bagle.
      Pour les uns comme pour les autres, je ne crois pas qu'une Epée de Damoclès soit vraiment une pression positive..
      Ceci dit, c'est bien qu'il y ait des remontées constructives sur les outils, qu'elles soit positives ou négatives, car ça permet le plus souvent de faire évoluer le fix dans le bon sens.

      @++

      ps:
      Arrête de me remercier lol, c'est toi qui te tape le boulot, pas moi :-)
      0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    moe, quelle lecture !

    Mais en une semaine, bien des choses ont changé. Désormais, "l'outil se défend tout seul".

    Je veux dire que, désormais, "le milieu" l'analyse sans a priori.

    Ce qui, comme tu le dis, n'empêche pas que l'outil doit évoluer et bénéficier des remontées des utilisateurs.

    0
  9. Utilisateur anonyme
     
    re

    bonsoir a tous les deux ,

    il est certains que les remontées sont les bienvenue ...

    personnellement je suis ouvert

    l outils est "jeune" encore et son auteur aussi bref il y a du travail a efectuer encore et encore

    de plus il faut suivre l infection de pret ...

    quand je relis lle topic bien du chemin a passé , je ne pensais pas aboutir a ce resultat

    en tout les cas je fait des efforts pour tenir le fix a jours et surtout l améliorer/ le completer

    comme je l ai dis a Lyonnais en MP il y a aussi le point de la Trad a voir ....

    bonne soirée

    0
Précédent
  • 1
  • 2
  • 3
  • 4
  • 5