Bagle - de chiki a moe
Résolu
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
Salut moe ,
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
A voir également:
- Bagle - de chiki a moe
- Extreme-down moe - Accueil - Services en ligne
- Combien de ko pour 1 mo - Forum Mobile
- 100 mo internet combien de temps - Forum Mobile
- 100 mo internet, équivalent en nombre d'heures ✓ - Forum Mobile
- 1go combien de mo ✓ - Forum Matériel & Système
717 réponses
Résumé de la discussion
Le fil porte sur le développement et les tests d’un outil de nettoyage pour Bagle, avec une bêta qui voit des remplacements de fichiers système (111wfs1intwq.sys → wfsintwq.sys; 11s11ro1s1a2.sys → srosa2.sys) et l’ajout d’un nouveau service, Fyk mis à jour en version 4.732.
L’équipe aborde la détection MD5 et ZIP, mais la lecture des ZIP et les vérifications CRC32 restent problématiques, et l’option crack/keygen a été retirée du menu.
L’objectif central est de rendre l’antivirus et le pare-feu actifs après l’exécution d’un kill pendant les tests, en explorant des méthodes (notamment via des scripts VBScript) et en envisageant le partage des savoir-faire autour des samples et d’outils complémentaires comme Themida_y_Co dans Fyks.
Des échanges mentionnent également la suppression de USBFix, la nécessité d’un compilateur et des aspects liés à la vaccination, tout en valorisant les retours externes et les possibilités d’intégration d’autres outils.
;) laissé tombé les suggestions .
Olivier , j ai testé rapido la beta , ça scan encore ...
sinon je pensais revoir un peut fyk pour arriver a quelque chose de ce genre
te fie pas au nom du programme .(meme si tu te feras une idée de mes projets a venir) ;)
mais je pense que ça rendra le scan et delete plus attrayant pour l user.
je te recontact demain soir .
Olivier , j ai testé rapido la beta , ça scan encore ...
sinon je pensais revoir un peut fyk pour arriver a quelque chose de ce genre
te fie pas au nom du programme .(meme si tu te feras une idée de mes projets a venir) ;)
mais je pense que ça rendra le scan et delete plus attrayant pour l user.
je te recontact demain soir .
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
c est pas bete ,
le truc est d insinuer le "win32 non valide" je pense
le tout en english , ma langue préféré lol .
je passe par la sdb puis au dodo , si vous avez des idées ne vous genez pas .
bonne nuit et a demain soir .
Des kiss a tous et toutes , surtout a toutes ;)
le truc est d insinuer le "win32 non valide" je pense
le tout en english , ma langue préféré lol .
je passe par la sdb puis au dodo , si vous avez des idées ne vous genez pas .
bonne nuit et a demain soir .
Des kiss a tous et toutes , surtout a toutes ;)
;)
bavette + frite (patate de papa) et salade de intermarché lol
ça va remplir mon bidon .
bonne nuit .
bavette + frite (patate de papa) et salade de intermarché lol
ça va remplir mon bidon .
bonne nuit .
Salut Olivier ,
Pour la remontées de Denis , je suis tombé sur la meme chose.
pour beta je testerai demain soir .
Pour la section peh , ouais c net va falloir renommer ça , mais elle a son importance ..
Donc je commencerai par cela demain soir .
Mon steack frite est sur le feu , je vous laisse .
merci Olivier , y buenas noches a todos .
Pour la remontées de Denis , je suis tombé sur la meme chose.
pour beta je testerai demain soir .
Pour la section peh , ouais c net va falloir renommer ça , mais elle a son importance ..
Donc je commencerai par cela demain soir .
Mon steack frite est sur le feu , je vous laisse .
merci Olivier , y buenas noches a todos .
RE,
fp a priori ..
Merci à Al et a Lyonnais92 pour leurs commentaires .
Si c'était le cas, le rapport de Combofix devrait être squelettique !
;) c est totalement vrai , Quand Olivier repassera on en discutera peut etre , mais en y refléchissant t as tout fais raison. donc merci.
Bonne semaine.
fp a priori ..
Merci à Al et a Lyonnais92 pour leurs commentaires .
Si c'était le cas, le rapport de Combofix devrait être squelettique !
;) c est totalement vrai , Quand Olivier repassera on en discutera peut etre , mais en y refléchissant t as tout fais raison. donc merci.
Bonne semaine.
Bonsoir à tous,
Cédric, concernant l'option PEH, je pense aussi qu'elle a une utilité puisqu'elle met en avant les programmes ayant été "neutralisés" et peut servir à savoir quoi faire réinstaller par la suite.
Après réflexion, je crois qu'il serait peut-être bien de retravailler l'appellation sur le rapport afin que ce soit "parlant" pour le plus de monde possible et surtout pour éviter l'amalgamme avec une liste de fichiers infectés...
Donc pour ma part je pense que ce serait dommage de se passer de ton idée, alors qu'au départ on pensait même pas que c'était réalisable :-)
Maintenant, tu gères ton outil comme tu le souhaites Cédric et pour ma part inclure cette option ou l'enlever du module, ne pose aucun soucis !
DeNisCoOl, merci pour la remontée.
Faux positif apparement ou plutôt confusion...
Au premier post l'internaute dit "j'ai également fait tourner avz.exe"
AVZ est un antirootkit et on retrouve la trace de son driver dans le rapport RSIT.
Même fichier et entrée dans le registre que dans le rapport MBAM :
S3 uteznza5;AVZ Kernel Driver; \??\C:\WINDOWS\system32\Drivers\uteznza5.sys []
Là ou ça peut être troublant, c'est quant on sait qu'srosa2.sys (SK9OU0S) est en fait une copie bidouillé de ce même drivers AVZ :-)
Cédric, je viens de taffer sur la béta, d'après moi je pense avoir pu isoler le soucis et donc je t'envois de quoi tester dans la foulée :-).
Tu me diras ce que tu en pense...
Bonne soirée et bonne semaine à tous.
Cédric, concernant l'option PEH, je pense aussi qu'elle a une utilité puisqu'elle met en avant les programmes ayant été "neutralisés" et peut servir à savoir quoi faire réinstaller par la suite.
Après réflexion, je crois qu'il serait peut-être bien de retravailler l'appellation sur le rapport afin que ce soit "parlant" pour le plus de monde possible et surtout pour éviter l'amalgamme avec une liste de fichiers infectés...
Donc pour ma part je pense que ce serait dommage de se passer de ton idée, alors qu'au départ on pensait même pas que c'était réalisable :-)
Maintenant, tu gères ton outil comme tu le souhaites Cédric et pour ma part inclure cette option ou l'enlever du module, ne pose aucun soucis !
DeNisCoOl, merci pour la remontée.
Faux positif apparement ou plutôt confusion...
Au premier post l'internaute dit "j'ai également fait tourner avz.exe"
AVZ est un antirootkit et on retrouve la trace de son driver dans le rapport RSIT.
Même fichier et entrée dans le registre que dans le rapport MBAM :
S3 uteznza5;AVZ Kernel Driver; \??\C:\WINDOWS\system32\Drivers\uteznza5.sys []
Là ou ça peut être troublant, c'est quant on sait qu'srosa2.sys (SK9OU0S) est en fait une copie bidouillé de ce même drivers AVZ :-)
Cédric, je viens de taffer sur la béta, d'après moi je pense avoir pu isoler le soucis et donc je t'envois de quoi tester dans la foulée :-).
Tu me diras ce que tu en pense...
Bonne soirée et bonne semaine à tous.
