Bagle - de chiki a moe
Résolu
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
Salut moe ,
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
A voir également:
- Bagle - de chiki a moe
- Extreme-down moe - Accueil - Services en ligne
- Combien de ko pour 1 mo - Forum Mobile
- 100 mo internet combien de temps - Forum Mobile
- 100 mo internet, équivalent en nombre d'heures ✓ - Forum Mobile
- 1go combien de mo ✓ - Forum Matériel & Système
717 réponses
Résumé de la discussion
Le fil porte sur le développement et les tests d’un outil de nettoyage pour Bagle, avec une bêta qui voit des remplacements de fichiers système (111wfs1intwq.sys → wfsintwq.sys; 11s11ro1s1a2.sys → srosa2.sys) et l’ajout d’un nouveau service, Fyk mis à jour en version 4.732.
L’équipe aborde la détection MD5 et ZIP, mais la lecture des ZIP et les vérifications CRC32 restent problématiques, et l’option crack/keygen a été retirée du menu.
L’objectif central est de rendre l’antivirus et le pare-feu actifs après l’exécution d’un kill pendant les tests, en explorant des méthodes (notamment via des scripts VBScript) et en envisageant le partage des savoir-faire autour des samples et d’outils complémentaires comme Themida_y_Co dans Fyks.
Des échanges mentionnent également la suppression de USBFix, la nécessité d’un compilateur et des aspects liés à la vaccination, tout en valorisant les retours externes et les possibilités d’intégration d’autres outils.
Bonsoir Gen
Tu veux parler d'oublis de suppression ou de non détections ?
Si tu veux tu peux poster le rapport ici, ne te gènes pas !
Merci et @++
Tu veux parler d'oublis de suppression ou de non détections ?
Si tu veux tu peux poster le rapport ici, ne te gènes pas !
Merci et @++
pour repondre pour ma part , bonsoir à tous ,
mOe , j ai passé un MBAM apres passage de FYK en MP à Cédric , il t'en parlera , je pense que cela a son importance
bonne soirée
mOe , j ai passé un MBAM apres passage de FYK en MP à Cédric , il t'en parlera , je pense que cela a son importance
bonne soirée
Salut Cédric, Gen
Prends ton temps Cédric ! :-) surtout si tu comptes revoir en profondeur le code de FYK.
L'outil tourne bien pour l'instant et çà devrait te laisser largement le temps de peaufiner une nouvelle version sans pression ni urgence !
Une vidéo ?
Bah je t'avertis, je veux bien mais je sais pas faire court lol !
En voilà une un peu dans le même style que celle de PhilBZ, elle fait 8 minutes pour environ 11 Mo (sic !)
J'ai pas pu la compresser plus sinon la perte de qualité était trop importante et je ne voulais pas non plus changer sa taille d'origine pour pouvoir conserver un bon confort de vision. (800x600)
Grosso modo elle retrace l'infection depuis la mule jusqu'aux symptomes "classiques" une fois exécutée.
Bref, tu verras par toi même si ça t'interesse ou pas !
Lol, tu vas finir par me mettre mal à l'aise à force de me remercier :-) !
Peut importe les connaissances ou le savoir de chacun, c'est pas ce qui compte...
Puis ne serais-ce qu'en ouvrant ce post et sous cette forme il me semble que côté partage tu n'as rien à envier à qui que ce soit lol !
Merci à toi aussi...
Bonne semaine et @++
Prends ton temps Cédric ! :-) surtout si tu comptes revoir en profondeur le code de FYK.
L'outil tourne bien pour l'instant et çà devrait te laisser largement le temps de peaufiner une nouvelle version sans pression ni urgence !
Une vidéo ?
Bah je t'avertis, je veux bien mais je sais pas faire court lol !
En voilà une un peu dans le même style que celle de PhilBZ, elle fait 8 minutes pour environ 11 Mo (sic !)
J'ai pas pu la compresser plus sinon la perte de qualité était trop importante et je ne voulais pas non plus changer sa taille d'origine pour pouvoir conserver un bon confort de vision. (800x600)
Grosso modo elle retrace l'infection depuis la mule jusqu'aux symptomes "classiques" une fois exécutée.
Bref, tu verras par toi même si ça t'interesse ou pas !
Lol, tu vas finir par me mettre mal à l'aise à force de me remercier :-) !
Peut importe les connaissances ou le savoir de chacun, c'est pas ce qui compte...
Puis ne serais-ce qu'en ouvrant ce post et sous cette forme il me semble que côté partage tu n'as rien à envier à qui que ce soit lol !
Merci à toi aussi...
Bonne semaine et @++
Bonjour tout le monde ,
Pascal , merci pour l icone ;) je l ai changé ce matin .
Olivier , j ai fais une maj pour FyK . Comprennant ton correctif de fyk.vbs et la rectif du .def ..
Bon dimanche à toutes & tous .
Pascal , merci pour l icone ;) je l ai changé ce matin .
Olivier , j ai fais une maj pour FyK . Comprennant ton correctif de fyk.vbs et la rectif du .def ..
Bon dimanche à toutes & tous .
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut Olivier ,
Je compte revoir fyk par rapport a usbfix ...
Un taff est envisagé au niveau du code mais bon , on a tous 2 bras ;)
Par rapports au site , bah si tu veux te lacher via une video , peut importe sa taille , fais juste toi plaisir ;)
pour le reste je verrais ça .
Je voulais juste te dire "merci" pour tes connaissance et ton savoir du partage .
c est super agréable de tenir un tel topic en ta compagnie sur ce sujet , J en profite pour remercier les wemasters.
tout ça pour dire merci & viva espagna !!
kissouille .
Je compte revoir fyk par rapport a usbfix ...
Un taff est envisagé au niveau du code mais bon , on a tous 2 bras ;)
Par rapports au site , bah si tu veux te lacher via une video , peut importe sa taille , fais juste toi plaisir ;)
pour le reste je verrais ça .
Je voulais juste te dire "merci" pour tes connaissance et ton savoir du partage .
c est super agréable de tenir un tel topic en ta compagnie sur ce sujet , J en profite pour remercier les wemasters.
tout ça pour dire merci & viva espagna !!
kissouille .
Salut à tous,
Très sympa la vidéo de PhilBZ, Cédric, et beau boulot pour les réarrangement du site, ça s'affine petit à petit et le résultat pour ma part me plait beaucoup :-)
Je viens de m'apercevoir qu'il y a une rectif à faire à fyk.vbs au niveau de la détection du 64 bit, apparement la version que je t'avais fait passer et qui regroupe tous les vbs n'avait pas été corrigée en ce sens, donc je te fais passer la rectif ici.
J'ai vu aussi qu'il y a un petit soucis avec le fichier refmd5.
Lorsque tu rajoutes des crc et md5 à la liste, pense à aller jusqu'au dernier élément de la liste et à valider avec entrée avant d'enregistrer, sinon lorsque FYK collectera le crc de winupgro, il viendra s'ajouter à côté du dernier md5 de la liste et pas en dessous et donc dans ce cas, le scanner ensuite zappera cette ligne lors de la comparaison, car ne correspondant ni à un crc ni à un md5...
A propos de crc et md5, je ne sais pas si tu as ceux-ci ? :
7786F048
7178F705AAF2D5394FB38D2B255376AF
Si oui, oublis... :-)
Bonne soirée et @++
Très sympa la vidéo de PhilBZ, Cédric, et beau boulot pour les réarrangement du site, ça s'affine petit à petit et le résultat pour ma part me plait beaucoup :-)
Je viens de m'apercevoir qu'il y a une rectif à faire à fyk.vbs au niveau de la détection du 64 bit, apparement la version que je t'avais fait passer et qui regroupe tous les vbs n'avait pas été corrigée en ce sens, donc je te fais passer la rectif ici.
J'ai vu aussi qu'il y a un petit soucis avec le fichier refmd5.
Lorsque tu rajoutes des crc et md5 à la liste, pense à aller jusqu'au dernier élément de la liste et à valider avec entrée avant d'enregistrer, sinon lorsque FYK collectera le crc de winupgro, il viendra s'ajouter à côté du dernier md5 de la liste et pas en dessous et donc dans ce cas, le scanner ensuite zappera cette ligne lors de la comparaison, car ne correspondant ni à un crc ni à un md5...
A propos de crc et md5, je ne sais pas si tu as ceux-ci ? :
7786F048
7178F705AAF2D5394FB38D2B255376AF
Si oui, oublis... :-)
Bonne soirée et @++
Bonsoir tout le monde ,
une nouvelle video ( par PhilBZ de pca ) ici : http://pagesperso-orange.fr/NosTools/info_bagle.html
est a votre disposition .
Je post pour Seb , tu as dis que j étais "réclamés" sur des fofo angophone etc .
Perso j ai pas envi , car deja le\ les fix prennent du temps , alors si en plus je dois faire leur "promo" je m en sors pas ...
En espérant que tu comprend ma position .
Bonne soirée à toutes & à tous .
une nouvelle video ( par PhilBZ de pca ) ici : http://pagesperso-orange.fr/NosTools/info_bagle.html
est a votre disposition .
Je post pour Seb , tu as dis que j étais "réclamés" sur des fofo angophone etc .
Perso j ai pas envi , car deja le\ les fix prennent du temps , alors si en plus je dois faire leur "promo" je m en sors pas ...
En espérant que tu comprend ma position .
Bonne soirée à toutes & à tous .
Salut Olivier ,
Pour FYKS oui c est exactement ça que je voulais , donc rien à changer .
J étais justement en train de terminer 728 , pas grand changements , juste la rectif de l header et de l option 5 pour le changement de lien . Ainsi que le complement apporté au fichier .def et la rectif du fp avec patch.
Donc du coup j y ai ajouté ta nouvelle version du scanner qui me plait beaucoup car il est en harmonie avec fyk .
Je te souhaite bonne nuit alors ;) et certainement a ce soir .
Pour FYKS oui c est exactement ça que je voulais , donc rien à changer .
J étais justement en train de terminer 728 , pas grand changements , juste la rectif de l header et de l option 5 pour le changement de lien . Ainsi que le complement apporté au fichier .def et la rectif du fp avec patch.
Donc du coup j y ai ajouté ta nouvelle version du scanner qui me plait beaucoup car il est en harmonie avec fyk .
Je te souhaite bonne nuit alors ;) et certainement a ce soir .
Salut Cédric
Je passe juste en coup de vent avant d'aller commencer ma nuit...
Je voulais voir avec toi , si t as la possibilité de changer les couleures de FYKS pour rester dans l esprit du scan de fyk ...
Bien sur et tu me diras si cette version correspond au résultat que tu voulais.
Si ce n'est pas le cas, fais moi passer le code hexa des couleurs que tu veux et il me suffira juste de faire la modif.
Passe une bonne journée et @+ tard
ps:
Pour le post avec les "Not deleted", perso je me demande si l'internaute n'avait pas déjà téléchargé/utilisé la version de FYK qui produisait le même message, juste avant que tu ne corriges le bug ?
http://www.commentcamarche.net/forum/affich 10626127 bagle de chiki a moe?page=23#612
Ca expliquerait peut-être le même cas de figure...
Je passe juste en coup de vent avant d'aller commencer ma nuit...
Je voulais voir avec toi , si t as la possibilité de changer les couleures de FYKS pour rester dans l esprit du scan de fyk ...
Bien sur et tu me diras si cette version correspond au résultat que tu voulais.
Si ce n'est pas le cas, fais moi passer le code hexa des couleurs que tu veux et il me suffira juste de faire la modif.
Passe une bonne journée et @+ tard
ps:
Pour le post avec les "Not deleted", perso je me demande si l'internaute n'avait pas déjà téléchargé/utilisé la version de FYK qui produisait le même message, juste avant que tu ne corriges le bug ?
http://www.commentcamarche.net/forum/affich 10626127 bagle de chiki a moe?page=23#612
Ca expliquerait peut-être le même cas de figure...
& Re ;) ,
Comme vous le savez les pages persos de fyk et ad ont changés : https://pages.perso.orange.fr/pages-perso-error&r=403
Il y a eu l ajout de usbfix .
Ad : http://pagesperso-orange.fr/NosTools/ad_remover.html
FyK : http://pagesperso-orange.fr/NosTools/findykill.html
UsbFix : http://pagesperso-orange.fr/NosTools/usbfix.html
Vous pouvez telecharger les canned mis a jours .
Les videos elles, seront revu (car trop lourdes) et une video sera faite pour usbfix .
Olivier , la prochaine etape sera la prise d un domaine car je suis "ric rac" au niveau de l espace ;)
Je pense que je ferais ça avec orange , a voir ..
Bonne apres midi @ tous .
Comme vous le savez les pages persos de fyk et ad ont changés : https://pages.perso.orange.fr/pages-perso-error&r=403
Il y a eu l ajout de usbfix .
Ad : http://pagesperso-orange.fr/NosTools/ad_remover.html
FyK : http://pagesperso-orange.fr/NosTools/findykill.html
UsbFix : http://pagesperso-orange.fr/NosTools/usbfix.html
Vous pouvez telecharger les canned mis a jours .
Les videos elles, seront revu (car trop lourdes) et une video sera faite pour usbfix .
Olivier , la prochaine etape sera la prise d un domaine car je suis "ric rac" au niveau de l espace ;)
Je pense que je ferais ça avec orange , a voir ..
Bonne apres midi @ tous .
Re Olivier ,
j ai fais un test Vista car j avais un peut oublié qu il était infecté ;)
############################## [ FindyKill V4.727 ]
# User : Cedric (Administrateurs) # PC-DE-CEDRIC
# Update on 27/04/09 by Chiquitine29
# Start at: 12:48:14 | 30/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
# AMD Turion(tm) 64 X2 Mobile Technology TL-52
# Microsoft® Windows Vista™ Édition Intégrale (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# C:\ # Disque fixe local # 155,29 Go (72,2 Go free) [Vista Intégrale] # NTFS
# D:\ # Disque fixe local # 50,43 Go (50,34 Go free) [Seven] # NTFS
# E:\ # Disque fixe local # 27,16 Go (27,08 Go free) [Bordel Organisé] # NTFS
# F:\ # Disque CD-ROM
# G:\ # Disque fixe local # 232,88 Go (86,46 Go free) [Vidéothèque] # NTFS
# H:\ # Disque amovible # 953,73 Mo (908,62 Mo free) [FINDYKILL] # FAT
############################## [ Active Processes ]
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\PresentationSettings.exe
################## [ Infected Files \ Folders ]
Deleted ! C:\Windows\Prefetch\222551.EXE-6761A8DE.pf
Deleted ! C:\Windows\Prefetch\31292302.EXE-1A012C57.pf
Deleted ! C:\Windows\Prefetch\331096.EXE-CBA58D77.pf
Deleted ! C:\Windows\Prefetch\827148.EXE-62AA143F.pf
Deleted ! C:\Windows\Prefetch\952292.EXE-B1EE09B2.pf
Deleted ! C:\Windows\Prefetch\FLEC006.EXE-348C38F3.pf
Deleted ! C:\Windows\Prefetch\INSTALL_PATCH.EXE-48434B20.pf
Deleted ! C:\Windows\Prefetch\WINTEMS.EXE-9889BB0E.pf
Deleted ! C:\Windows\Prefetch\WINUPGRO.EXE-9A93231C.pf
Deleted ! C:\Windows\Prefetch\WINUPGRO.EXE-CCC1740C.pf
Deleted ! C:\Windows\system32\ban_list.txt
Deleted ! C:\Windows\system32\mdelk.exe
Deleted ! C:\Windows\system32\wintems.exe
Deleted ! "C:\Users\Cedric\AppData\Roaming\drivers\srosa2.sys"
Deleted ! "C:\Users\Cedric\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! "C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe"
Deleted ! "C:\Users\Cedric\AppData\Roaming\m\data.oct"
Deleted ! "C:\Users\Cedric\AppData\Roaming\m\flec006.exe"
Deleted ! "C:\Users\Cedric\AppData\Roaming\m\list.oct"
Deleted ! "C:\Users\Cedric\AppData\Roaming\m\srvlist.oct"
Deleted ! "C:\Users\Cedric\AppData\Roaming\drivers\downld"
Deleted ! "C:\Users\Cedric\AppData\Roaming\drivers"
Deleted ! "C:\Users\Cedric\AppData\Roaming\m\shared"
Deleted ! "C:\Users\Cedric\AppData\Roaming\m"
################## [ Infected Temp Files ]
Deleted ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\1197M3GA\file[1].txt
Deleted ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JRN3QC0Y\file[1].txt
Deleted ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\KQVCMNCH\b64[1].jpg
Deleted ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\KQVCMNCH\file[1].txt
################## [ Registry / Infected keys ]
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\DateTime4
Deleted ! HKEY_CURRENT_USER\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\FFC
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\install_patch
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-1939844710-2399798063-3847317880-1000\Software\FFC
Deleted ! HKEY_USERS\S-1-5-21-1939844710-2399798063-3847317880-1000\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
################## [ Cleaning Removable drives ]
# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# H:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
Deleted ! C:\Avenger
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
File ... : C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : a1f7a07d
MD5 .... : 1fc635eea11997dfaa632a6055d7ae9e
Deleted ! : C:\$Recycle.Bin\S-1-5-21-1939844710-2399798063-3847317880-1000\$R0NYB28\install_patch.exe
# Taille : 864256 # MD5 : 1FC635EEA11997DFAA632A6055D7AE9E
Suspect ! : C:\$Recycle.Bin\S-1-5-21-1939844710-2399798063-3847317880-1000\$REY3PND\serial.exe
# Taille : 835584 # MD5 : 008B746E7895CA2F4B6350606690C9ED
File was renamed : serial.exe.REN
Deleted ! : C:\Program Files\Windows Live\Messenger\msnmsgr.exe
# Taille : 864256 # MD5 : 1FC635EEA11997DFAA632A6055D7AE9E
Deleted ! : C:\Users\Cedric\Desktop\28042009_2\install_patch.exe
# Taille : 864256 # MD5 : 1FC635EEA11997DFAA632A6055D7AE9E
Suspect ! : C:\Users\Cedric\Desktop\290409(2)\crac.exe
# Taille : 847872 # MD5 : 5F80FC1D689D438E201A9D426AF31E06
File was renamed : crac.exe.REN
Suspect ! : C:\Users\Cedric\Desktop\Anti DSO exploit 1.0\key_gen.exe
# Taille : 847872 # MD5 : 5F80FC1D689D438E201A9D426AF31E06
File was renamed : key_gen.exe.REN
Suspect ! : C:\Users\Cedric\Documents\290409\key_gen.exe
# Taille : 835584 # MD5 : 008B746E7895CA2F4B6350606690C9ED
File was renamed : key_gen.exe.REN
################## [ Corrupted files # Re-Installation required ]
C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\licmgr.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
################################### [ Cracks / Keygens / Serials ]
C:\Users\Cedric\Desktop\Timeline Maker Professional 2.0.0 (Patch).zip
################## [ ! End of Report # FindyKill V4.727 ! ]
Je voulais voir avec toi , si t as la possibilité de changer les couleures de FYKS pour rester dans l esprit du scan de fyk ...
Dans mon esprit ça donnerai :
path : en vert
files : en rouge
les deleted : en rouge sur fond noir
les corrupted : en vert sur fond noir
@++
j ai fais un test Vista car j avais un peut oublié qu il était infecté ;)
############################## [ FindyKill V4.727 ]
# User : Cedric (Administrateurs) # PC-DE-CEDRIC
# Update on 27/04/09 by Chiquitine29
# Start at: 12:48:14 | 30/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
# AMD Turion(tm) 64 X2 Mobile Technology TL-52
# Microsoft® Windows Vista™ Édition Intégrale (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# C:\ # Disque fixe local # 155,29 Go (72,2 Go free) [Vista Intégrale] # NTFS
# D:\ # Disque fixe local # 50,43 Go (50,34 Go free) [Seven] # NTFS
# E:\ # Disque fixe local # 27,16 Go (27,08 Go free) [Bordel Organisé] # NTFS
# F:\ # Disque CD-ROM
# G:\ # Disque fixe local # 232,88 Go (86,46 Go free) [Vidéothèque] # NTFS
# H:\ # Disque amovible # 953,73 Mo (908,62 Mo free) [FINDYKILL] # FAT
############################## [ Active Processes ]
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\PresentationSettings.exe
################## [ Infected Files \ Folders ]
Deleted ! C:\Windows\Prefetch\222551.EXE-6761A8DE.pf
Deleted ! C:\Windows\Prefetch\31292302.EXE-1A012C57.pf
Deleted ! C:\Windows\Prefetch\331096.EXE-CBA58D77.pf
Deleted ! C:\Windows\Prefetch\827148.EXE-62AA143F.pf
Deleted ! C:\Windows\Prefetch\952292.EXE-B1EE09B2.pf
Deleted ! C:\Windows\Prefetch\FLEC006.EXE-348C38F3.pf
Deleted ! C:\Windows\Prefetch\INSTALL_PATCH.EXE-48434B20.pf
Deleted ! C:\Windows\Prefetch\WINTEMS.EXE-9889BB0E.pf
Deleted ! C:\Windows\Prefetch\WINUPGRO.EXE-9A93231C.pf
Deleted ! C:\Windows\Prefetch\WINUPGRO.EXE-CCC1740C.pf
Deleted ! C:\Windows\system32\ban_list.txt
Deleted ! C:\Windows\system32\mdelk.exe
Deleted ! C:\Windows\system32\wintems.exe
Deleted ! "C:\Users\Cedric\AppData\Roaming\drivers\srosa2.sys"
Deleted ! "C:\Users\Cedric\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! "C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe"
Deleted ! "C:\Users\Cedric\AppData\Roaming\m\data.oct"
Deleted ! "C:\Users\Cedric\AppData\Roaming\m\flec006.exe"
Deleted ! "C:\Users\Cedric\AppData\Roaming\m\list.oct"
Deleted ! "C:\Users\Cedric\AppData\Roaming\m\srvlist.oct"
Deleted ! "C:\Users\Cedric\AppData\Roaming\drivers\downld"
Deleted ! "C:\Users\Cedric\AppData\Roaming\drivers"
Deleted ! "C:\Users\Cedric\AppData\Roaming\m\shared"
Deleted ! "C:\Users\Cedric\AppData\Roaming\m"
################## [ Infected Temp Files ]
Deleted ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\1197M3GA\file[1].txt
Deleted ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JRN3QC0Y\file[1].txt
Deleted ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\KQVCMNCH\b64[1].jpg
Deleted ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\KQVCMNCH\file[1].txt
################## [ Registry / Infected keys ]
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\DateTime4
Deleted ! HKEY_CURRENT_USER\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\FFC
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\install_patch
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-1939844710-2399798063-3847317880-1000\Software\FFC
Deleted ! HKEY_USERS\S-1-5-21-1939844710-2399798063-3847317880-1000\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
################## [ Cleaning Removable drives ]
# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# H:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
Deleted ! C:\Avenger
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
File ... : C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : a1f7a07d
MD5 .... : 1fc635eea11997dfaa632a6055d7ae9e
Deleted ! : C:\$Recycle.Bin\S-1-5-21-1939844710-2399798063-3847317880-1000\$R0NYB28\install_patch.exe
# Taille : 864256 # MD5 : 1FC635EEA11997DFAA632A6055D7AE9E
Suspect ! : C:\$Recycle.Bin\S-1-5-21-1939844710-2399798063-3847317880-1000\$REY3PND\serial.exe
# Taille : 835584 # MD5 : 008B746E7895CA2F4B6350606690C9ED
File was renamed : serial.exe.REN
Deleted ! : C:\Program Files\Windows Live\Messenger\msnmsgr.exe
# Taille : 864256 # MD5 : 1FC635EEA11997DFAA632A6055D7AE9E
Deleted ! : C:\Users\Cedric\Desktop\28042009_2\install_patch.exe
# Taille : 864256 # MD5 : 1FC635EEA11997DFAA632A6055D7AE9E
Suspect ! : C:\Users\Cedric\Desktop\290409(2)\crac.exe
# Taille : 847872 # MD5 : 5F80FC1D689D438E201A9D426AF31E06
File was renamed : crac.exe.REN
Suspect ! : C:\Users\Cedric\Desktop\Anti DSO exploit 1.0\key_gen.exe
# Taille : 847872 # MD5 : 5F80FC1D689D438E201A9D426AF31E06
File was renamed : key_gen.exe.REN
Suspect ! : C:\Users\Cedric\Documents\290409\key_gen.exe
# Taille : 835584 # MD5 : 008B746E7895CA2F4B6350606690C9ED
File was renamed : key_gen.exe.REN
################## [ Corrupted files # Re-Installation required ]
C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\licmgr.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
################################### [ Cracks / Keygens / Serials ]
C:\Users\Cedric\Desktop\Timeline Maker Professional 2.0.0 (Patch).zip
################## [ ! End of Report # FindyKill V4.727 ! ]
Je voulais voir avec toi , si t as la possibilité de changer les couleures de FYKS pour rester dans l esprit du scan de fyk ...
Dans mon esprit ça donnerai :
path : en vert
files : en rouge
les deleted : en rouge sur fond noir
les corrupted : en vert sur fond noir
@++
Salut Olivier ,
des not deleted
J ai fais un test en milieu de matinée sur xp et c est good chez moi aussi .
M et shared ont repointé le bout de leur nez aussi ;)
T as un avis sur le topic ?
++
des not deleted
J ai fais un test en milieu de matinée sur xp et c est good chez moi aussi .
M et shared ont repointé le bout de leur nez aussi ;)
T as un avis sur le topic ?
++
Re cédric,
Tu veux dire qu'il y a eu des "oublis" ou bien des fichiers "Not deleted" ?
De mon côté j'ai aussi refais quelques tests (XP) et tout s'est déroulé sans accros.
Idem avec ce second sample de la journée :-)
@+ tard !
############################## [ Active Processes ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
################## [ Infected Files \ Folders ]
Deleted ! C:\WINDOWS\Prefetch\640125.EXE-396B0019.pf
Deleted ! C:\WINDOWS\Prefetch\727062.EXE-327A4D6A.pf
Deleted ! C:\WINDOWS\Prefetch\837515.EXE-0555C4BC.pf
Deleted ! C:\WINDOWS\Prefetch\872671.EXE-17134A06.pf
Deleted ! C:\WINDOWS\Prefetch\FLEC006.EXE-3A442301.pf
Deleted ! C:\WINDOWS\Prefetch\KEY_GEN.EXE-1A3C0715.pf
Deleted ! C:\WINDOWS\Prefetch\MDELK.EXE-1D176F91.pf
Deleted ! C:\WINDOWS\Prefetch\WINTEMS.EXE-2A563F9B.pf
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-308B905D.pf
Deleted ! C:\WINDOWS\system32\ban_list.txt
Deleted ! C:\WINDOWS\system32\mdelk.exe
Deleted ! C:\WINDOWS\system32\wintems.exe
Deleted ! "C:\Documents and Settings\bOo\Application Data\drivers\srosa2.sys"
Deleted ! "C:\Documents and Settings\bOo\Application Data\drivers\wfsintwq.sys"
Deleted ! "C:\Documents and Settings\bOo\Application Data\drivers\winupgro.exe"
Deleted ! "C:\Documents and Settings\bOo\Application Data\m\data.oct"
Deleted ! "C:\Documents and Settings\bOo\Application Data\m\flec006.exe"
Deleted ! "C:\Documents and Settings\bOo\Application Data\m\list.oct"
Deleted ! "C:\Documents and Settings\bOo\Application Data\m\srvlist.oct"
Deleted ! "C:\Documents and Settings\bOo\Application Data\drivers\downld"
Deleted ! "C:\Documents and Settings\bOo\Application Data\drivers"
Deleted ! "C:\Documents and Settings\bOo\Application Data\m\shared"
Deleted ! "C:\Documents and Settings\bOo\Application Data\m"
################## [ Infected Temp Files ]
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\0L3HND0N\b64_1[1].jpg
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\0L3HND0N\mxd[1].jpg
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\ALM3FZ7J\b64[1].jpg
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\AY7BYXCG\b64_1[1].jpg
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\AY7BYXCG\b64_3[1].jpg
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\AY7BYXCG\file[1].txt
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\PAXEID4P\mxd[1].jpg
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\PAXEID4P\servernames[1].htm
################## [ Registry / Infected keys ]
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\DateTime4
Deleted ! HKEY_CURRENT_USER\Software\VB and VBA Program Settings\x
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\key_gen
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-1390067357-1767777339-725345543-1004\Software\FFC
Deleted ! HKEY_USERS\S-1-5-21-1390067357-1767777339-725345543-1004\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
################## [ Cleaning Removable drives ]
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# Ip6Fw -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# Safe boot mode restored !
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
File ... : C:\Documents and Settings\bOo\Application Data\drivers\winupgro.exe
CRC32 .. : dcdf2aaf
MD5 .... : 008b746e7895ca2f4b6350606690c9ed
Deleted ! : C:\Documents and Settings\bOo\Bureau\Batch It! 4.87\key_gen.exe
# Taille : 835584 # MD5 : 008B746E7895CA2F4B6350606690C9ED
Deleted ! : C:\Documents and Settings\bOo\Bureau\Batch It! 4.87.zip
Contain key_gen.exe [835584] with Bagle CRC32 : DCDF2AAF
Suspect ! : C:\Documents and Settings\bOo\Bureau\Haiku 1.0\crac.exe
# Taille : 847872 # MD5 : 5F80FC1D689D438E201A9D426AF31E06
File was renamed : crac.exe.REN
Deleted ! : C:\My_App.exe
# Taille : 835584 # MD5 : 008B746E7895CA2F4B6350606690C9ED
################## [ Corrupted files # Re-Installation required ]
C:\Program Files\Alwil Software\Avast4\ashAvast.exe
C:\Program Files\Alwil Software\Avast4\ashChest.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashEnhcd.exe
C:\Program Files\Alwil Software\Avast4\ashLogV.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashPopWz.exe
C:\Program Files\Alwil Software\Avast4\ashQuick.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashSimp2.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Alwil Software\Avast4\ashSkPcc.exe
C:\Program Files\Alwil Software\Avast4\ashSkPck.exe
C:\Program Files\Alwil Software\Avast4\ashUpd.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\aswRegSvr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\sched.exe
C:\Program Files\Alwil Software\Avast4\VisthLic.exe
C:\Program Files\Alwil Software\Avast4\VisthUpd.exe
C:\Program Files\hijackthis\HijackThis.exe
C:\Program Files\Mozilla Firefox\uninstall\helper.exe
C:\Program Files\trend micro\hijackthis.exe
C:\WINDOWS\$hf_mig$\KB898461\update\update.exe
C:\WINDOWS\$hf_mig$\KB915865\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\149dffda614674463c33ccf79c4404f3\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\25d2944aaaf33a4374138c46bc7ed2cd\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\2ae0551b81457e76c13969a941d90294\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\442c24b5f603da215f4cc19400b58b29\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\4b869f18ffa23590ab9b302aa268b77f\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\6896ed82e6aab6036fbd799d3fd4f042\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\8d17487b466e9059513420ef8f573de1\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\9c06474eecd82d62769df810138d093c\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\b36c7ee8fdde6b71de76c51647bccbb6\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\bcc75bbd6d803d1a0d93a2bbd1f88841\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\ce5be003a2bf8d73308ed1db60259a46\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\e327b8ca99bcc79887eb783061b30a46\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\e4432b4388f0c801748823e67356ba62\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\eb84f97221f3377515f23c379375ad66\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\fb0faa128362fdadcb1300a59dbc6dc9\update\update.exe
C:\WINDOWS\system32\dllcache\register.exe
################################### [ Cracks / Keygens / Serials ]
# -> Nothing found !
################## [ ! End of Report # FindyKill V4.727 ! ]
Tu veux dire qu'il y a eu des "oublis" ou bien des fichiers "Not deleted" ?
De mon côté j'ai aussi refais quelques tests (XP) et tout s'est déroulé sans accros.
Idem avec ce second sample de la journée :-)
@+ tard !
############################## [ Active Processes ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
################## [ Infected Files \ Folders ]
Deleted ! C:\WINDOWS\Prefetch\640125.EXE-396B0019.pf
Deleted ! C:\WINDOWS\Prefetch\727062.EXE-327A4D6A.pf
Deleted ! C:\WINDOWS\Prefetch\837515.EXE-0555C4BC.pf
Deleted ! C:\WINDOWS\Prefetch\872671.EXE-17134A06.pf
Deleted ! C:\WINDOWS\Prefetch\FLEC006.EXE-3A442301.pf
Deleted ! C:\WINDOWS\Prefetch\KEY_GEN.EXE-1A3C0715.pf
Deleted ! C:\WINDOWS\Prefetch\MDELK.EXE-1D176F91.pf
Deleted ! C:\WINDOWS\Prefetch\WINTEMS.EXE-2A563F9B.pf
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-308B905D.pf
Deleted ! C:\WINDOWS\system32\ban_list.txt
Deleted ! C:\WINDOWS\system32\mdelk.exe
Deleted ! C:\WINDOWS\system32\wintems.exe
Deleted ! "C:\Documents and Settings\bOo\Application Data\drivers\srosa2.sys"
Deleted ! "C:\Documents and Settings\bOo\Application Data\drivers\wfsintwq.sys"
Deleted ! "C:\Documents and Settings\bOo\Application Data\drivers\winupgro.exe"
Deleted ! "C:\Documents and Settings\bOo\Application Data\m\data.oct"
Deleted ! "C:\Documents and Settings\bOo\Application Data\m\flec006.exe"
Deleted ! "C:\Documents and Settings\bOo\Application Data\m\list.oct"
Deleted ! "C:\Documents and Settings\bOo\Application Data\m\srvlist.oct"
Deleted ! "C:\Documents and Settings\bOo\Application Data\drivers\downld"
Deleted ! "C:\Documents and Settings\bOo\Application Data\drivers"
Deleted ! "C:\Documents and Settings\bOo\Application Data\m\shared"
Deleted ! "C:\Documents and Settings\bOo\Application Data\m"
################## [ Infected Temp Files ]
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\0L3HND0N\b64_1[1].jpg
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\0L3HND0N\mxd[1].jpg
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\ALM3FZ7J\b64[1].jpg
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\AY7BYXCG\b64_1[1].jpg
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\AY7BYXCG\b64_3[1].jpg
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\AY7BYXCG\file[1].txt
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\PAXEID4P\mxd[1].jpg
Deleted ! C:\Documents and Settings\bOo\Local Settings\Temporary Internet Files\Content.IE5\PAXEID4P\servernames[1].htm
################## [ Registry / Infected keys ]
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\DateTime4
Deleted ! HKEY_CURRENT_USER\Software\VB and VBA Program Settings\x
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\key_gen
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-1390067357-1767777339-725345543-1004\Software\FFC
Deleted ! HKEY_USERS\S-1-5-21-1390067357-1767777339-725345543-1004\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
################## [ Cleaning Removable drives ]
################## [ Registry / Mountpoint2 ]
# -> Not found !
################## [ States / Restarting of services ]
# Services : [ Auto=2 / Request=3 / Disable=4 ]
# Ndisuio -> # Type of startup =3
# Ip6Fw -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# Safe boot mode restored !
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
File ... : C:\Documents and Settings\bOo\Application Data\drivers\winupgro.exe
CRC32 .. : dcdf2aaf
MD5 .... : 008b746e7895ca2f4b6350606690c9ed
Deleted ! : C:\Documents and Settings\bOo\Bureau\Batch It! 4.87\key_gen.exe
# Taille : 835584 # MD5 : 008B746E7895CA2F4B6350606690C9ED
Deleted ! : C:\Documents and Settings\bOo\Bureau\Batch It! 4.87.zip
Contain key_gen.exe [835584] with Bagle CRC32 : DCDF2AAF
Suspect ! : C:\Documents and Settings\bOo\Bureau\Haiku 1.0\crac.exe
# Taille : 847872 # MD5 : 5F80FC1D689D438E201A9D426AF31E06
File was renamed : crac.exe.REN
Deleted ! : C:\My_App.exe
# Taille : 835584 # MD5 : 008B746E7895CA2F4B6350606690C9ED
################## [ Corrupted files # Re-Installation required ]
C:\Program Files\Alwil Software\Avast4\ashAvast.exe
C:\Program Files\Alwil Software\Avast4\ashChest.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashEnhcd.exe
C:\Program Files\Alwil Software\Avast4\ashLogV.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashPopWz.exe
C:\Program Files\Alwil Software\Avast4\ashQuick.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashSimp2.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Alwil Software\Avast4\ashSkPcc.exe
C:\Program Files\Alwil Software\Avast4\ashSkPck.exe
C:\Program Files\Alwil Software\Avast4\ashUpd.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\aswRegSvr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\sched.exe
C:\Program Files\Alwil Software\Avast4\VisthLic.exe
C:\Program Files\Alwil Software\Avast4\VisthUpd.exe
C:\Program Files\hijackthis\HijackThis.exe
C:\Program Files\Mozilla Firefox\uninstall\helper.exe
C:\Program Files\trend micro\hijackthis.exe
C:\WINDOWS\$hf_mig$\KB898461\update\update.exe
C:\WINDOWS\$hf_mig$\KB915865\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\149dffda614674463c33ccf79c4404f3\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\25d2944aaaf33a4374138c46bc7ed2cd\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\2ae0551b81457e76c13969a941d90294\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\442c24b5f603da215f4cc19400b58b29\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\4b869f18ffa23590ab9b302aa268b77f\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\6896ed82e6aab6036fbd799d3fd4f042\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\8d17487b466e9059513420ef8f573de1\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\9c06474eecd82d62769df810138d093c\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\b36c7ee8fdde6b71de76c51647bccbb6\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\bcc75bbd6d803d1a0d93a2bbd1f88841\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\ce5be003a2bf8d73308ed1db60259a46\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\e327b8ca99bcc79887eb783061b30a46\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\e4432b4388f0c801748823e67356ba62\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\eb84f97221f3377515f23c379375ad66\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\fb0faa128362fdadcb1300a59dbc6dc9\update\update.exe
C:\WINDOWS\system32\dllcache\register.exe
################################### [ Cracks / Keygens / Serials ]
# -> Nothing found !
################## [ ! End of Report # FindyKill V4.727 ! ]
Bonsoir à tous,
*** Merci moe pour les précisions ! ***
Courage Chiquitine pour le site, d'autant que tu es demandé "là où on parle anglais" ! :p
--> Pour ceux qui ne connaissent pas : https://tuts4you.com/
Bonne nuit !
*** Merci moe pour les précisions ! ***
Courage Chiquitine pour le site, d'autant que tu es demandé "là où on parle anglais" ! :p
on est pas à l'abris de l'utilisation d'un autre prog que Themida pour "crypter" le fichier
--> Pour ceux qui ne connaissent pas : https://tuts4you.com/
Bonne nuit !
Re ,
Merci Olivier pour le sample , j apprécie car pas trop le temps d infecter etc cette semaine .
De mon coté j ai pas matté les clé etc mais en tout cas je te remerci pour ce post .;)
Pour le site , ça prend un peut de temps tout simplement . Si ( tu \ vous ) veux \ voulez suivre l'evolution , c est ici :
https://pages.perso.orange.fr/pages-perso-error&r=403 >> aux helpeurs , merci de ne pas donner les liens dans vos tutos car rien n est fixe etc .
Les news canned vous seront communiqué .
Donc oui Olivier je prend les nouveaux samples quand dispo et je t en remerci .
C est toujour idem pour flec et shared ?
Bonne soirée @ tous & todas ;)
Merci Olivier pour le sample , j apprécie car pas trop le temps d infecter etc cette semaine .
De mon coté j ai pas matté les clé etc mais en tout cas je te remerci pour ce post .;)
Pour le site , ça prend un peut de temps tout simplement . Si ( tu \ vous ) veux \ voulez suivre l'evolution , c est ici :
https://pages.perso.orange.fr/pages-perso-error&r=403 >> aux helpeurs , merci de ne pas donner les liens dans vos tutos car rien n est fixe etc .
Les news canned vous seront communiqué .
Donc oui Olivier je prend les nouveaux samples quand dispo et je t en remerci .
C est toujour idem pour flec et shared ?
Bonne soirée @ tous & todas ;)
Bonjour toute le monde ,
Seb oui c est effectivement une recherche faite par mot clé et aussi par extensions (.zip .rar .exe) mais il est encore possible de cibler un peut plus . je verrais ça ce week end normalement . J en profiterais pour jeter un oeil a Avenger et aux clés que tu m as signalé .
Cette semaine j ai decidé de faire avancer le site , peut etre que vous avez deja remarqué qu il n est + dispo .
Il le sera ce week end ou peut etre avant suivant l avancement .
Olivier , comme je me concentre sur le site cette semaine j apprécierai si t as des samples a me faire passer ;)
L' adresse du site va changer , donc les liens des tutos aussi , tout cela sera rectifié .
Bonne apres midi a tous & thanks Seb ;)
Seb oui c est effectivement une recherche faite par mot clé et aussi par extensions (.zip .rar .exe) mais il est encore possible de cibler un peut plus . je verrais ça ce week end normalement . J en profiterais pour jeter un oeil a Avenger et aux clés que tu m as signalé .
Cette semaine j ai decidé de faire avancer le site , peut etre que vous avez deja remarqué qu il n est + dispo .
Il le sera ce week end ou peut etre avant suivant l avancement .
Olivier , comme je me concentre sur le site cette semaine j apprécierai si t as des samples a me faire passer ;)
L' adresse du site va changer , donc les liens des tutos aussi , tout cela sera rectifié .
Bonne apres midi a tous & thanks Seb ;)
Salut à tous(tes)
Cédric, suffisait presque de demander :-)
Je t'ai uploadé le sample du jour.
Au menu d'aujourd'hui: Pas grand chose de nouveau...
Peut-être que le chef de cuisine est en train d'élaborer une nouvelle recette, qui sait ! :-P
Wawaseb, concernant la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache ou HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MUICache sous vista, perso je trouve que ça peut avoir une importance de la laisser tel quel et de ne pas y toucher, d'autant plus que les entrées qu'elle contient ne sont pas crées par l'infection et ne portent pas à conséquenses.
Pour faire court, lorqu'une 04 clean se fait écraser par l'infection et qu'elle s'exécute lors du redémarrage provoqué par l'infection, tu peux retrouver la trace du nom du fichier écrasé sous cette clé.
Par exemple, imaginons que msnmsgr.exe se soit fait shooter, donc au lieu de :
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="WindowsLive Messenger"
tu trouveras sous cette clé, l'entrée :
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="Bi soft"
Le truc, consistant à repérer une description identique à celle de winupgro, description qui est "Bi soft" pour les dernières variantes ou Grosoft, Bisoft pour les plus anciennes.
Disons que se serait dommage d'effacer systématiquement cette trace qui pourrait "demain" devenir une cartouche :-) ou un élément de confirmation de suspicion supplémentaire.
Car s'il est relativement facile aujourd'hui d'identifier une 04 écrasée, on est pas à l'abris de l'utilisation d'un autre prog que Themida pour "crypter" le fichier et donc, de rendre plus délicat son repérage.
Il existe d'ailleurs au moins deux samples (assez anciens) qui échappent à une recherche du mot "Themida" dans leur code et c'est d'ailleurs pour cette raison qu'à l'époque ou circulaient ces samples, l'idée d'une comparaison md5 à fait son chemin pour apporter depuis un élément supplémentaire de détection.
Mais bon, ce n'est que mon opinion et il sera toujours possible de revenir en arrière au besoin si Cédric décide de supprimer les entrées sous cette clé.
Cédric, bon courage pour le site, c'est vrai que ça doit représenter pas mal de boulot pour tout mettre en place, de mon côté je tacherais d'aller vérifier l'arrivée de nouveaux samples au moins une fois par jour et te les enverrais dans la foulée.
Bonne semaine, @++
Cédric, suffisait presque de demander :-)
Je t'ai uploadé le sample du jour.
Au menu d'aujourd'hui: Pas grand chose de nouveau...
Peut-être que le chef de cuisine est en train d'élaborer une nouvelle recette, qui sait ! :-P
Wawaseb, concernant la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache ou HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MUICache sous vista, perso je trouve que ça peut avoir une importance de la laisser tel quel et de ne pas y toucher, d'autant plus que les entrées qu'elle contient ne sont pas crées par l'infection et ne portent pas à conséquenses.
Pour faire court, lorqu'une 04 clean se fait écraser par l'infection et qu'elle s'exécute lors du redémarrage provoqué par l'infection, tu peux retrouver la trace du nom du fichier écrasé sous cette clé.
Par exemple, imaginons que msnmsgr.exe se soit fait shooter, donc au lieu de :
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="WindowsLive Messenger"
tu trouveras sous cette clé, l'entrée :
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="Bi soft"
Le truc, consistant à repérer une description identique à celle de winupgro, description qui est "Bi soft" pour les dernières variantes ou Grosoft, Bisoft pour les plus anciennes.
Disons que se serait dommage d'effacer systématiquement cette trace qui pourrait "demain" devenir une cartouche :-) ou un élément de confirmation de suspicion supplémentaire.
Car s'il est relativement facile aujourd'hui d'identifier une 04 écrasée, on est pas à l'abris de l'utilisation d'un autre prog que Themida pour "crypter" le fichier et donc, de rendre plus délicat son repérage.
Il existe d'ailleurs au moins deux samples (assez anciens) qui échappent à une recherche du mot "Themida" dans leur code et c'est d'ailleurs pour cette raison qu'à l'époque ou circulaient ces samples, l'idée d'une comparaison md5 à fait son chemin pour apporter depuis un élément supplémentaire de détection.
Mais bon, ce n'est que mon opinion et il sera toujours possible de revenir en arrière au besoin si Cédric décide de supprimer les entrées sous cette clé.
Cédric, bon courage pour le site, c'est vrai que ça doit représenter pas mal de boulot pour tout mettre en place, de mon côté je tacherais d'aller vérifier l'arrivée de nouveaux samples au moins une fois par jour et te les enverrais dans la foulée.
Bonne semaine, @++
