Désinfection Bagle
Fermé
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjours à toutes et à tous ,
Hier (ou plutot cette nuit) j ai fais une petite expérience
Je me suis donc "auto infecté" par le ver bagle afin de verifier une méthode d éradiquation plus rapide que celle que nous connaissons tous
donc sur la mule j ai telechargé differents crack (kaspersky AVG as et j ai tapé crack et telechargé un peux de tout)
apres j ai installé tout ça
je me suis retrouvé dans un premier temps en compagnie de vundo puis sur un crack AVG as, bagle a fait son apparition
il fut present sur le rapport hijackthis
j ai continué a cliquer sur mes cracks puis j ai redémarré le pc 3 fois
et surprise antivir neutralisé tout comme windows defender
et bien sur le message "n est pas une appliquation win32 valide"
alors j ai testé une méthode
j ai fait un scan DSS non renomé en MSE (a savoir que hijackthis n est pas necessire car DSS créé un clone en son absence)
puis repéré bagle (+ vundo )et je l ai mis en citation dans otmoveit non renomé en MSE
puis en MSE + reseau j ai telechargé combofix renomé en killbagle et il a démarré
je l ai stoppé puis supprimé et retelechargé non renomé, il a fonctionné
je vous joint les rapports
Donc que pensez vous de cette méthode ??
A noter que l infection était tres récente et le MSE accessible, mais on connait la methode pour le "réparer" si nécessaire
Hijackthis juste avant "n est pas une appliquation win32 valide" (avant les redémarrage)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:55:45, on 28/07/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode
Running processes:
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.conduit.com/...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A148A581-8964-4E4E-B1C9-E7F4D9F1F737} - C:\Users\CDRIC~1\AppData\Local\Temp\nnnnKDTj.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [PowerManager] C:\Program Files\Power Manager\PM.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\Users\CDRIC~1\AppData\Local\Temp\svchost.exe 1
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\efcDWOEU.dll,#1
O4 - HKLM\..\Run: [user32] C:\Users\Cédric\AppData\Roaming\user32.exe
O4 - HKLM\..\Run: [runner1] C:\Windows\mrofinu2000351.exe 61A847B5BBF72810329B385577F801F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D1DC7E4638E8323A15A04FB79DC4617E6FD967002BA754E1C2832211379A26033AAC
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ComRepl] C:\Users\Cédric\AppData\Roaming\comrepl.exe /com /w
O4 - HKCU\..\Run: [wupdate] C:\Users\Cédric\AppData\Roaming\wunauclt.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\CDRIC~1\AppData\Local\Temp\nnnnKDTj.dll,c
O4 - HKCU\..\Run: [BMbf558f71] Rundll32.exe "C:\Users\CDRIC~1\AppData\Local\Temp\fxxieifu.dll",s
O4 - HKCU\..\Run: [bc66bced] rundll32.exe "C:\Users\CDRIC~1\AppData\Local\Temp\aolenlmx.dll",b
O4 - HKCU\..\Run: [drvsyskit] C:\Windows\system32\drivers\hldrrr.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: acaptuser32.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
Hier (ou plutot cette nuit) j ai fais une petite expérience
Je me suis donc "auto infecté" par le ver bagle afin de verifier une méthode d éradiquation plus rapide que celle que nous connaissons tous
donc sur la mule j ai telechargé differents crack (kaspersky AVG as et j ai tapé crack et telechargé un peux de tout)
apres j ai installé tout ça
je me suis retrouvé dans un premier temps en compagnie de vundo puis sur un crack AVG as, bagle a fait son apparition
il fut present sur le rapport hijackthis
j ai continué a cliquer sur mes cracks puis j ai redémarré le pc 3 fois
et surprise antivir neutralisé tout comme windows defender
et bien sur le message "n est pas une appliquation win32 valide"
alors j ai testé une méthode
j ai fait un scan DSS non renomé en MSE (a savoir que hijackthis n est pas necessire car DSS créé un clone en son absence)
puis repéré bagle (+ vundo )et je l ai mis en citation dans otmoveit non renomé en MSE
puis en MSE + reseau j ai telechargé combofix renomé en killbagle et il a démarré
je l ai stoppé puis supprimé et retelechargé non renomé, il a fonctionné
je vous joint les rapports
Donc que pensez vous de cette méthode ??
A noter que l infection était tres récente et le MSE accessible, mais on connait la methode pour le "réparer" si nécessaire
Hijackthis juste avant "n est pas une appliquation win32 valide" (avant les redémarrage)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:55:45, on 28/07/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode
Running processes:
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.conduit.com/...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A148A581-8964-4E4E-B1C9-E7F4D9F1F737} - C:\Users\CDRIC~1\AppData\Local\Temp\nnnnKDTj.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [PowerManager] C:\Program Files\Power Manager\PM.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\Users\CDRIC~1\AppData\Local\Temp\svchost.exe 1
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\efcDWOEU.dll,#1
O4 - HKLM\..\Run: [user32] C:\Users\Cédric\AppData\Roaming\user32.exe
O4 - HKLM\..\Run: [runner1] C:\Windows\mrofinu2000351.exe 61A847B5BBF72810329B385577F801F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D1DC7E4638E8323A15A04FB79DC4617E6FD967002BA754E1C2832211379A26033AAC
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ComRepl] C:\Users\Cédric\AppData\Roaming\comrepl.exe /com /w
O4 - HKCU\..\Run: [wupdate] C:\Users\Cédric\AppData\Roaming\wunauclt.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\CDRIC~1\AppData\Local\Temp\nnnnKDTj.dll,c
O4 - HKCU\..\Run: [BMbf558f71] Rundll32.exe "C:\Users\CDRIC~1\AppData\Local\Temp\fxxieifu.dll",s
O4 - HKCU\..\Run: [bc66bced] rundll32.exe "C:\Users\CDRIC~1\AppData\Local\Temp\aolenlmx.dll",b
O4 - HKCU\..\Run: [drvsyskit] C:\Windows\system32\drivers\hldrrr.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: acaptuser32.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
A voir également:
- Désinfection Bagle
- Désinfection du linge - Guide
- Demande de désinfection SVP !!! - Forum Virus
- Prévention et désinfection ✓ - Forum Virus
- Aide pour désinfection pc ✓ - Forum Virus
- [XP] Desinfection smitfraud ✓ - Forum Virus
89 réponses
Soir missterrr chiqui ;-))
Et franchement t'es un dingo ;) respect à toi et merci pour tout tes conseils.
@++
Et franchement t'es un dingo ;) respect à toi et merci pour tout tes conseils.
@++
Bonsoir,
Chiquitine,
ici : http://www.commentcamarche.net/forum/affich 8985455 clavier et souris bloques sur portable?page=3#47
le rapport Combofix montre que FindyKill a laissé Legacy_SROSA
C'est structurel ou lié à la dernière variante ?
Chiquitine,
ici : http://www.commentcamarche.net/forum/affich 8985455 clavier et souris bloques sur portable?page=3#47
le rapport Combofix montre que FindyKill a laissé Legacy_SROSA
C'est structurel ou lié à la dernière variante ?
Bonsoir lyonnais ,
en effet certaines clés peuvent subsister apres passage de l outil:
HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
a noter que une fois l infection éradiquée ces clés ont plus que tendance a disparaitre d elle meme
logiquement si l user du topic cité repasse combo tu reverras:
-------\Legacy_SROSA
en sommes ça n a rien a voir avec le derniere variantes
celle ci comme on l a dit ajoute C:\Windows\system32\drivers\winfilse.exe remplaçant de C:\Windows\system32\drivers\hldrrr.exe
plus de nouvelles clé :
HKEY_CURRENT_USER\Software\bisoft
HKEY_CURRENT_USER\Software\FR79732423
HKEY_CURRENT_USER\Software\FFC
HKEY_CURRENT_USER\Software\CHKPTR
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
HKEY_USERS\?????????????\Software\Local AppWizard-Generated Applications\winfilse
les startup quand a elle ne change pas , seul le nom du fichiers a changé (winfilse.exe)
exemple :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"drvsyskit" REG_SZ C:\Windows\system32\drivers\winfilse.exe
bref le tout est surveillé (pas de changements constaté aujourd hui)
bonne soirée
en effet certaines clés peuvent subsister apres passage de l outil:
HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
a noter que une fois l infection éradiquée ces clés ont plus que tendance a disparaitre d elle meme
logiquement si l user du topic cité repasse combo tu reverras:
-------\Legacy_SROSA
en sommes ça n a rien a voir avec le derniere variantes
celle ci comme on l a dit ajoute C:\Windows\system32\drivers\winfilse.exe remplaçant de C:\Windows\system32\drivers\hldrrr.exe
plus de nouvelles clé :
HKEY_CURRENT_USER\Software\bisoft
HKEY_CURRENT_USER\Software\FR79732423
HKEY_CURRENT_USER\Software\FFC
HKEY_CURRENT_USER\Software\CHKPTR
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
HKEY_USERS\?????????????\Software\Local AppWizard-Generated Applications\winfilse
les startup quand a elle ne change pas , seul le nom du fichiers a changé (winfilse.exe)
exemple :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"drvsyskit" REG_SZ C:\Windows\system32\drivers\winfilse.exe
bref le tout est surveillé (pas de changements constaté aujourd hui)
bonne soirée
Re,
il me semble que la suppression des clés
HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
ne doit pas être compliqué à intégrer.
Elle évitera des réflexions du genre "il n'enlève pas tout".
il me semble que la suppression des clés
HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
ne doit pas être compliqué à intégrer.
Elle évitera des réflexions du genre "il n'enlève pas tout".
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour à tous,
Chiquitine, sur la dernière variante, tu as été plus réactif que la concurrence !
Sur les clés , j'espère que tu pourras intégrer la proposition de moe( au passage, bonjour, c'est toujours un plaisir de te lire, et c'est toujours instructif). C'est un tout petit détail. Mais c'est le genre de détail qui font ou défont la réputation de l'outil.
Tous les experts que j'ai lu disent que c'est l'outil le plus efficace sur le marché. Autant assurer son succès (dès lors qu'il y a des solutions techniques possibles sans coût prohibitif).
Chiquitine, sur la dernière variante, tu as été plus réactif que la concurrence !
Sur les clés , j'espère que tu pourras intégrer la proposition de moe( au passage, bonjour, c'est toujours un plaisir de te lire, et c'est toujours instructif). C'est un tout petit détail. Mais c'est le genre de détail qui font ou défont la réputation de l'outil.
Tous les experts que j'ai lu disent que c'est l'outil le plus efficace sur le marché. Autant assurer son succès (dès lors qu'il y a des solutions techniques possibles sans coût prohibitif).
Salut Olivier , Lyonnais
olivier merci pour le bout de code , je vais m y coller dès ce soir
Lyonnais , il est vrai que j ai eu quelques echos plus que positif sur le fix
Bref il faut rester reactifs, suivre l evolution etc
en tout cas merci a tous les deux
je vais voir tout ça -;)
bonne apres midi
@+
olivier merci pour le bout de code , je vais m y coller dès ce soir
Lyonnais , il est vrai que j ai eu quelques echos plus que positif sur le fix
Bref il faut rester reactifs, suivre l evolution etc
en tout cas merci a tous les deux
je vais voir tout ça -;)
bonne apres midi
@+
Salut Cédric, Lyonnais
Lyonnais, à propos de détails qui peuvent avoir leur importance, perso je suis étonné que pratiquement aucun outil encore, n'intègre la détection des 04 infectées par Bagle !
Mis à part Eli, certes, mais toujours avec un temps de retard et à condition d'avoir dans ses bases la version du ver concernée.
Dommage car il y a des méthodes relativement simples qui existent depuis longtemps et qui sont non exploitées pour l'instant.
Bref, sur ce point pratiquement tout le monde est sur le même pied d'égalité, et donc concernant les détails qui peuvent défaire des réputations, non ? :-)
Bon week-end à vous deux, et bonne continuation Cédric pour la traque :-).
@++
Lyonnais, à propos de détails qui peuvent avoir leur importance, perso je suis étonné que pratiquement aucun outil encore, n'intègre la détection des 04 infectées par Bagle !
Mis à part Eli, certes, mais toujours avec un temps de retard et à condition d'avoir dans ses bases la version du ver concernée.
Dommage car il y a des méthodes relativement simples qui existent depuis longtemps et qui sont non exploitées pour l'instant.
Bref, sur ce point pratiquement tout le monde est sur le même pied d'égalité, et donc concernant les détails qui peuvent défaire des réputations, non ? :-)
Bon week-end à vous deux, et bonne continuation Cédric pour la traque :-).
@++
Salut Olivier ,
j espere que tu vas bien
c est justement le point sur lequel je travail tout en traquant ... -;)
mais ta remarque est tout a fait fondée .
bref y a encore beaucoup a faire.
J y vais etape par etape.
en tout cas merci pour tout ce que as deja fait pour l outils
Bon week end egalement
j espere que tu vas bien
c est justement le point sur lequel je travail tout en traquant ... -;)
mais ta remarque est tout a fait fondée .
bref y a encore beaucoup a faire.
J y vais etape par etape.
en tout cas merci pour tout ce que as deja fait pour l outils
Bon week end egalement
Bonsoir,
Je sais que tu y travaille, Cédric, rien à voir avec une critique y a pas d'soucis, d'ailleurs tu en avais déjà parlé ici :-)
En fait je voulais juste réagir sur l'aspect "sanction" par le milieu, que laissait entrevoir Lyonnais.
C'est vrai qu'il est très facile de juger un outil, crée qui plus est par un inconnu et sur un détail, mais çà l'est moins lorsqu'il faut appliquer ce même genre de sanction hative à tout les autres outils déjà en place qui ont chacun leur propres lacunes concernant le traitement de Bagle.
Pour les uns comme pour les autres, je ne crois pas qu'une Epée de Damoclès soit vraiment une pression positive..
Ceci dit, c'est bien qu'il y ait des remontées constructives sur les outils, qu'elles soit positives ou négatives, car ça permet le plus souvent de faire évoluer le fix dans le bon sens.
@++
ps:
Arrête de me remercier lol, c'est toi qui te tape le boulot, pas moi :-)
Je sais que tu y travaille, Cédric, rien à voir avec une critique y a pas d'soucis, d'ailleurs tu en avais déjà parlé ici :-)
En fait je voulais juste réagir sur l'aspect "sanction" par le milieu, que laissait entrevoir Lyonnais.
C'est vrai qu'il est très facile de juger un outil, crée qui plus est par un inconnu et sur un détail, mais çà l'est moins lorsqu'il faut appliquer ce même genre de sanction hative à tout les autres outils déjà en place qui ont chacun leur propres lacunes concernant le traitement de Bagle.
Pour les uns comme pour les autres, je ne crois pas qu'une Epée de Damoclès soit vraiment une pression positive..
Ceci dit, c'est bien qu'il y ait des remontées constructives sur les outils, qu'elles soit positives ou négatives, car ça permet le plus souvent de faire évoluer le fix dans le bon sens.
@++
ps:
Arrête de me remercier lol, c'est toi qui te tape le boulot, pas moi :-)
Bonsoir,
moe, quelle lecture !
Mais en une semaine, bien des choses ont changé. Désormais, "l'outil se défend tout seul".
Je veux dire que, désormais, "le milieu" l'analyse sans a priori.
Ce qui, comme tu le dis, n'empêche pas que l'outil doit évoluer et bénéficier des remontées des utilisateurs.
moe, quelle lecture !
Mais en une semaine, bien des choses ont changé. Désormais, "l'outil se défend tout seul".
Je veux dire que, désormais, "le milieu" l'analyse sans a priori.
Ce qui, comme tu le dis, n'empêche pas que l'outil doit évoluer et bénéficier des remontées des utilisateurs.
re
bonsoir a tous les deux ,
il est certains que les remontées sont les bienvenue ...
personnellement je suis ouvert
l outils est "jeune" encore et son auteur aussi bref il y a du travail a efectuer encore et encore
de plus il faut suivre l infection de pret ...
quand je relis lle topic bien du chemin a passé , je ne pensais pas aboutir a ce resultat
en tout les cas je fait des efforts pour tenir le fix a jours et surtout l améliorer/ le completer
comme je l ai dis a Lyonnais en MP il y a aussi le point de la Trad a voir ....
bonne soirée
bonsoir a tous les deux ,
il est certains que les remontées sont les bienvenue ...
personnellement je suis ouvert
l outils est "jeune" encore et son auteur aussi bref il y a du travail a efectuer encore et encore
de plus il faut suivre l infection de pret ...
quand je relis lle topic bien du chemin a passé , je ne pensais pas aboutir a ce resultat
en tout les cas je fait des efforts pour tenir le fix a jours et surtout l améliorer/ le completer
comme je l ai dis a Lyonnais en MP il y a aussi le point de la Trad a voir ....
bonne soirée
