Bagle - de chiki a moe
Résolu
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
Salut moe ,
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
A voir également:
- Bagle - de chiki a moe
- Extreme-down moe - Accueil - Services en ligne
- Combien de ko pour 1 mo - Forum Mobile
- 100 mo internet combien de temps - Forum Mobile
- 100 mo internet, équivalent en nombre d'heures ✓ - Forum Mobile
- 1go combien de mo ✓ - Forum Matériel & Système
717 réponses
Résumé de la discussion
Le fil porte sur le développement et les tests d’un outil de nettoyage pour Bagle, avec une bêta qui voit des remplacements de fichiers système (111wfs1intwq.sys → wfsintwq.sys; 11s11ro1s1a2.sys → srosa2.sys) et l’ajout d’un nouveau service, Fyk mis à jour en version 4.732.
L’équipe aborde la détection MD5 et ZIP, mais la lecture des ZIP et les vérifications CRC32 restent problématiques, et l’option crack/keygen a été retirée du menu.
L’objectif central est de rendre l’antivirus et le pare-feu actifs après l’exécution d’un kill pendant les tests, en explorant des méthodes (notamment via des scripts VBScript) et en envisageant le partage des savoir-faire autour des samples et d’outils complémentaires comme Themida_y_Co dans Fyks.
Des échanges mentionnent également la suppression de USBFix, la nécessité d’un compilateur et des aspects liés à la vaccination, tout en valorisant les retours externes et les possibilités d’intégration d’autres outils.
ok merci je vais essayer(c est vrai que j avoir oublié de faire le rapport en txt sur c:\^^
edit : Marche pas :'
edit : Marche pas :'
Hello
Essaye :
ECHO %TIME% >>Ton rapport
++
quoi que j aimerais bien trouver la commande pour afficher l'heure en debut d'execution ( en batch)
Essaye :
ECHO %TIME% >>Ton rapport
++
sinon bonjour ,
je me demandais si je pouvais me premettre de piquer des lignes dans vos batchs et reg pour me faire un outil perso ?
(pour l'instant j'ai reussi a melanger un peu d'UsbFix(un peu !!!! :)),un peu d'AD-R , et un peu de findykill
quoi que j aimerais bien trouver la commande pour afficher l'heure en debut d'execution ( en batch)
et sur le net y'a pas très grande explixations en profondeur
merci
je me demandais si je pouvais me premettre de piquer des lignes dans vos batchs et reg pour me faire un outil perso ?
(pour l'instant j'ai reussi a melanger un peu d'UsbFix(un peu !!!! :)),un peu d'AD-R , et un peu de findykill
quoi que j aimerais bien trouver la commande pour afficher l'heure en debut d'execution ( en batch)
et sur le net y'a pas très grande explixations en profondeur
merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut Chiquitine, mOe & gen-hackman,
Oui, c'est bien aussi pourquoi il faut réinstaller les protections (antivirale particulièrement, je ne sais pas si le firewall est atteint), et désactiver puis réactiver la restauration système.
Bonne nuit
Al.
Oui, c'est bien aussi pourquoi il faut réinstaller les protections (antivirale particulièrement, je ne sais pas si le firewall est atteint), et désactiver puis réactiver la restauration système.
Bonne nuit
Al.
oui a ce que j'ai Compris Bagle a tendance a faire sauter les protections donc meme si elle est Enable , la commande est contrée par Bagla(comme antivirus et internet)
re
ok donc meme si elle est enable elle ne sert a rien sous Bagle(remarque logique) merci
explique ...
@+
ok donc meme si elle est enable elle ne sert a rien sous Bagle(remarque logique) merci
explique ...
@+
Salut ,
on est plus obligé de la desactyiver avec FDK ?
>> l infection le fait pour pour toi .......
donc si l infection est en place il est inutile de donner la procédure "vista"
@+
on est plus obligé de la desactyiver avec FDK ?
>> l infection le fait pour pour toi .......
donc si l infection est en place il est inutile de donner la procédure "vista"
@+
Salut a tous c'est vrai qu'une protection anti bagle serais pas mal... ;-)
Frenchement chiquitine même si j'te connais pas tu fais du super boulot...
A+
Frenchement chiquitine même si j'te connais pas tu fais du super boulot...
A+
Bonsoir la gente ,
Olivier, j ai commencé a retaffer sur fyk hier , j ai revu un peux le code , l alléger etc
J y ai ajouté ton vbs , légèrement corrigé , c est a dire par rapport au rapport ...
Tres interessant ce vbs , meme si j y ai pas vraiment taffé etc
comme tu verras j en suis a CleanB
tu verras , y a des corrections a faire (rapport , space etc)
une fois fait , je vais me pencher plus sur zipB ..fsum etc
la beta a été testé sur vista ... C est aussi sa premiere ebauche.
breff , création de down + 1 exe ( le meme si je dis pas de bétise) , c est ce que j ai vu des dernieres variantes.. ensuite j ai pas été plus loin
voila a peux pres pour les nouvelles
Bonne semaine
Chiki
@+
Olivier, j ai commencé a retaffer sur fyk hier , j ai revu un peux le code , l alléger etc
J y ai ajouté ton vbs , légèrement corrigé , c est a dire par rapport au rapport ...
Tres interessant ce vbs , meme si j y ai pas vraiment taffé etc
comme tu verras j en suis a CleanB
tu verras , y a des corrections a faire (rapport , space etc)
une fois fait , je vais me pencher plus sur zipB ..fsum etc
la beta a été testé sur vista ... C est aussi sa premiere ebauche.
breff , création de down + 1 exe ( le meme si je dis pas de bétise) , c est ce que j ai vu des dernieres variantes.. ensuite j ai pas été plus loin
voila a peux pres pour les nouvelles
Bonne semaine
Chiki
@+
Salut à tous,
Cédric, c'est vraiment de mieux en mieux à chaque maj... :)
Merci pour la version beta, je ne la testerais que ce week-end sous XP car je ne peux pas avant, désolé.
J'ai pu faire quelques tests sous XP avec fyk et killb le we dernier et effectivement avec fyk j'ai eu des BSOD assez régulièrement sous XP.
Vu qu'on utilise sensiblement la même méthode, j'ai essayé de voir ou pouvait se situer le soucis dans les différences entre les deux tools puisque avec killb je n'arrivais pas à reproduire le même problème.
A première vue, il ne s'agissait pas du kill des procos, ni de la modif du *.sys qui sont communes.
Par contre j'ai vu qu'avant le premier reboot, tu fais une tentative d'arrêt/delete des services srosa & co et comme c'est la seule différence visible entre les deux outils j'ai modifié fyk en supprimant cette partie.
Résultat, plus de BSOD les tests suivants, donc j'en déduis que le problème se situe plutôt à ce niveau.
Je pense en plus que tu peux te passer de cette partie du code car un sc stop ou delete arrive vraiment trop tôt à cette étape du nettoyage pour être efficace et donc réellement utile...
Donc si tu décide de modifier en conséquence, ce serait interessant de voir si tu as autant de retour ou pas pour les BSOD afin de vérifier si ça confirme ou pas mes tests.
Concernant le VBS, il est basé essentiellement sur des requètes WMI, qui sont bien pratiques et très riches en infos utiles.
D'ailleurs si tu souhaites te familiariser avec Windows Management Instrumentation (WMI) , ces deux tools devraient t'y aider :
http://download.microsoft.com/...
http://www.microsoft.com/downloads/details.aspx?DisplayLang=en&FamilyID=09dfc342-648b-4119-b7eb-783b0f7d1178
Ce sont des générateurs de scripts, capable de produire des VBS à la volée en fonction des classes choisies, et de pouvoir visualiser en plus du code, le résultat du script en retour console.
Par contre je n'ai pas pu tester ce VBS (prévu pour ce we) sous les versions d'XP en dessous d'un pack 2, et notamment la partie concernant Windows FW, mais bon, déjà content de voir qu'il passe correctement sous Vista !
J'ai vu aussi qu'il fallait affiner la partie DD/CD donc ce sera l'occasion de le revoir entièrement en fonction de tes changements .
pour en revenr au cracks\merdouille , j avais ouvert un topic au bureau au titre , findykill kill de crack ou pas ,je suppose que tu l as vu , perso j ai aimé ce topic par rapport aux remarques ..
N'étant pas inscrit, je n'ai pas pu lire ce topic, désolé.
Perso je suis pour la suppression des zip sources de l'infection, mais pas pour une automatisation de la suppression des crack en général.
Enfin si c'est bien ce que suggère le titre "findykill kill de crack ou pas"...
Le risque de FP étant trop élevé d'une part, puis aussi parce qu'avec une option de suppression auto il n'y aurait pas forcément de possibilité ou de moyen de suprimer/discerner ce qui est réellement infecté de ce qui ne l'est pas...
Et là, sans faire cette distinction on rentrerait à mon avis, dans un cadre qui dépasse/outrepasse celui de la désinfection...
Néanmoins, mentionner les cracks présents sur la machine est une bonne chose et qui peut très bien déboucher sur un débat à caractère préventif entre l'aidant et l'internaute, voire sur une suppression d'un commun accord...
perso je pense proposer une methode pour les eviter , c est a dire via un script celui ci , bien sur pourra prendre en compte les "04" vérolé
En fait je vois pas très bien ce que tu veux dire, enfin surtout le rapport entre FP et 04, tu peux préciser ?
Bonne fin de journée ! @++
Cédric, c'est vraiment de mieux en mieux à chaque maj... :)
Merci pour la version beta, je ne la testerais que ce week-end sous XP car je ne peux pas avant, désolé.
J'ai pu faire quelques tests sous XP avec fyk et killb le we dernier et effectivement avec fyk j'ai eu des BSOD assez régulièrement sous XP.
Vu qu'on utilise sensiblement la même méthode, j'ai essayé de voir ou pouvait se situer le soucis dans les différences entre les deux tools puisque avec killb je n'arrivais pas à reproduire le même problème.
A première vue, il ne s'agissait pas du kill des procos, ni de la modif du *.sys qui sont communes.
Par contre j'ai vu qu'avant le premier reboot, tu fais une tentative d'arrêt/delete des services srosa & co et comme c'est la seule différence visible entre les deux outils j'ai modifié fyk en supprimant cette partie.
Résultat, plus de BSOD les tests suivants, donc j'en déduis que le problème se situe plutôt à ce niveau.
Je pense en plus que tu peux te passer de cette partie du code car un sc stop ou delete arrive vraiment trop tôt à cette étape du nettoyage pour être efficace et donc réellement utile...
Donc si tu décide de modifier en conséquence, ce serait interessant de voir si tu as autant de retour ou pas pour les BSOD afin de vérifier si ça confirme ou pas mes tests.
Concernant le VBS, il est basé essentiellement sur des requètes WMI, qui sont bien pratiques et très riches en infos utiles.
D'ailleurs si tu souhaites te familiariser avec Windows Management Instrumentation (WMI) , ces deux tools devraient t'y aider :
http://download.microsoft.com/...
http://www.microsoft.com/downloads/details.aspx?DisplayLang=en&FamilyID=09dfc342-648b-4119-b7eb-783b0f7d1178
Ce sont des générateurs de scripts, capable de produire des VBS à la volée en fonction des classes choisies, et de pouvoir visualiser en plus du code, le résultat du script en retour console.
Par contre je n'ai pas pu tester ce VBS (prévu pour ce we) sous les versions d'XP en dessous d'un pack 2, et notamment la partie concernant Windows FW, mais bon, déjà content de voir qu'il passe correctement sous Vista !
J'ai vu aussi qu'il fallait affiner la partie DD/CD donc ce sera l'occasion de le revoir entièrement en fonction de tes changements .
pour en revenr au cracks\merdouille , j avais ouvert un topic au bureau au titre , findykill kill de crack ou pas ,je suppose que tu l as vu , perso j ai aimé ce topic par rapport aux remarques ..
N'étant pas inscrit, je n'ai pas pu lire ce topic, désolé.
Perso je suis pour la suppression des zip sources de l'infection, mais pas pour une automatisation de la suppression des crack en général.
Enfin si c'est bien ce que suggère le titre "findykill kill de crack ou pas"...
Le risque de FP étant trop élevé d'une part, puis aussi parce qu'avec une option de suppression auto il n'y aurait pas forcément de possibilité ou de moyen de suprimer/discerner ce qui est réellement infecté de ce qui ne l'est pas...
Et là, sans faire cette distinction on rentrerait à mon avis, dans un cadre qui dépasse/outrepasse celui de la désinfection...
Néanmoins, mentionner les cracks présents sur la machine est une bonne chose et qui peut très bien déboucher sur un débat à caractère préventif entre l'aidant et l'internaute, voire sur une suppression d'un commun accord...
perso je pense proposer une methode pour les eviter , c est a dire via un script celui ci , bien sur pourra prendre en compte les "04" vérolé
En fait je vois pas très bien ce que tu veux dire, enfin surtout le rapport entre FP et 04, tu peux préciser ?
Bonne fin de journée ! @++
Bonjour à chacun,
Effectivement Chiquitine, la philosophie ouverte de Jeff nous autorise au partage, au sens large du terme.
Nous l'avons toujours remercié pour cet état d'esprit.
Tu peux soigner ton poussin de FindyKill avec une grande fièreté.
C'est vrai que nous ne pouvons y participer qu'à notre mesure; mais ce sera toujours avec enthousiasme et bon cœur.
Un grand respect à mOe pour sa contribution spécialisée.
mOe, à ce propos: « le plus souvent "- Mode FONCTIONNALITES REDUITES -"
c'est dû soit à un problème de date, soit à l'utilisation d'une version obsolète de l'outil. »; effectivement, lors de l'application, un message CF indique que l'horloge est mise temporairement hors service.
Merci pour l'explication.
Bon week-end à tous.
Albert
Effectivement Chiquitine, la philosophie ouverte de Jeff nous autorise au partage, au sens large du terme.
Nous l'avons toujours remercié pour cet état d'esprit.
Tu peux soigner ton poussin de FindyKill avec une grande fièreté.
C'est vrai que nous ne pouvons y participer qu'à notre mesure; mais ce sera toujours avec enthousiasme et bon cœur.
Un grand respect à mOe pour sa contribution spécialisée.
mOe, à ce propos: « le plus souvent "- Mode FONCTIONNALITES REDUITES -"
c'est dû soit à un problème de date, soit à l'utilisation d'une version obsolète de l'outil. »; effectivement, lors de l'application, un message CF indique que l'horloge est mise temporairement hors service.
Merci pour l'explication.
Bon week-end à tous.
Albert
Bonsoir JFK,
Il est certains que ça prend du temps , c est aussi un investissement .
Comme t as pu le constater FyK est parti de rien , il a parcouru son bonhomme de chemin ,
via le net bien entendu , il a su traverser les frontieres etc
ok j avoue , il avait un faux passeport -;)
Il est vrai que le temps manque , dans l élaboration du fix , des maj , des recherches etc
il y a aussi , une confiance a maintenir ,, entre l user , l aidant et le createur ..
ceci n est pas simple , puisque tu dois etre a jours etc
Le forum CCM fait du bien dans ce sens puisque tout le monde peut suivre l evolution du fix , les discussions , les projets , et peut meme prendre part .
Pour cela je remercie comment ça marche pour ça largesse d esprit .
@+
Il est certains que ça prend du temps , c est aussi un investissement .
Comme t as pu le constater FyK est parti de rien , il a parcouru son bonhomme de chemin ,
via le net bien entendu , il a su traverser les frontieres etc
ok j avoue , il avait un faux passeport -;)
Il est vrai que le temps manque , dans l élaboration du fix , des maj , des recherches etc
il y a aussi , une confiance a maintenir ,, entre l user , l aidant et le createur ..
ceci n est pas simple , puisque tu dois etre a jours etc
Le forum CCM fait du bien dans ce sens puisque tout le monde peut suivre l evolution du fix , les discussions , les projets , et peut meme prendre part .
Pour cela je remercie comment ça marche pour ça largesse d esprit .
@+
Bonsoir chiki -;)
Je viens de voir le post ,merci pour cette nouvelle option (4) !
et surtout merci de l'avoir remis en service en sachant le temps que cela doit te prendre ......
@+ Bon courage pour la suite .
Je viens de voir le post ,merci pour cette nouvelle option (4) !
et surtout merci de l'avoir remis en service en sachant le temps que cela doit te prendre ......
@+ Bon courage pour la suite .
re,
oui et vu , mais ce n est pas cela ..
Y a d autres cas existants
apres expliquer ce mode , perso je connais pas assez le fix , surement que moe en dira plus .
Ceci dis , l utilisation d un autre fix, dans ce cas ( combo ) qui est aussi la majorité des cas .
Nous connaissons bien evidemment tous les repercutions de l utilisation de ce fix ,
perso je veux pas dire conbo = plantage , loin de là mais , quitte a l eviter dans ce style d infection , tant meiux .
voila .
@+
oui et vu , mais ce n est pas cela ..
Y a d autres cas existants
apres expliquer ce mode , perso je connais pas assez le fix , surement que moe en dira plus .
Ceci dis , l utilisation d un autre fix, dans ce cas ( combo ) qui est aussi la majorité des cas .
Nous connaissons bien evidemment tous les repercutions de l utilisation de ce fix ,
perso je veux pas dire conbo = plantage , loin de là mais , quitte a l eviter dans ce style d infection , tant meiux .
voila .
@+
Salut Al, Chiquitine
C'est quoi cette mention "- Mode FONCTIONNALITES REDUITES -" ?
Sous réserve que l'auteur ait inclus d'autres paramètres pour la déclencher, le plus souvent c'est du soit à un problème de date ou à l'utilisation d'une version obsolète de l'outil.
Dans les deux cas, l'outil renvois ce message à l'utilisateur, qui peut accepter ou refuser une utilisation en mode fonctionnalitées réduites.
http://cjoint.com/data/ccjMDAeKb8_Combo_Modred.jpeg
D'ou ensuite la mention dans le rapport et les restrictions d'utilisation.
@+ tard !
C'est quoi cette mention "- Mode FONCTIONNALITES REDUITES -" ?
Sous réserve que l'auteur ait inclus d'autres paramètres pour la déclencher, le plus souvent c'est du soit à un problème de date ou à l'utilisation d'une version obsolète de l'outil.
Dans les deux cas, l'outil renvois ce message à l'utilisateur, qui peut accepter ou refuser une utilisation en mode fonctionnalitées réduites.
http://cjoint.com/data/ccjMDAeKb8_Combo_Modred.jpeg
D'ou ensuite la mention dans le rapport et les restrictions d'utilisation.
@+ tard !
(suite)
Par rapport au précédent lien rapporté de thibo62 .
Ici, un cas ComboFix avec cette mention inédite "- Mode FONCTIONNALITES REDUITES -"
http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=5#148
Lyonnais92 émet un avis ici http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=5#150 ;
il annonce: « En mode réduit, le CFScript ne fonctionne pas.
Supprime Combofix.exe sur ton Bureau et fais ceci : télécharge combofix (par sUBs) ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe ; etc. »
Est-cela qui expliquerait l'inefficacité (l'efficacité incomplète) de ComboFix dans le cas rapporté de thibo62 ?
C'est quoi cette mention "- Mode FONCTIONNALITES REDUITES -" ?
Réponse en MP ? (si trop "confidentiel") ;)
Al.
Par rapport au précédent lien rapporté de thibo62 .
Ici, un cas ComboFix avec cette mention inédite "- Mode FONCTIONNALITES REDUITES -"
http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=5#148
Lyonnais92 émet un avis ici http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=5#150 ;
il annonce: « En mode réduit, le CFScript ne fonctionne pas.
Supprime Combofix.exe sur ton Bureau et fais ceci : télécharge combofix (par sUBs) ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe ; etc. »
Est-cela qui expliquerait l'inefficacité (l'efficacité incomplète) de ComboFix dans le cas rapporté de thibo62 ?
C'est quoi cette mention "- Mode FONCTIONNALITES REDUITES -" ?
Réponse en MP ? (si trop "confidentiel") ;)
Al.
re moe , Gen ,
@ gen :
et une protection residente anti-Bagle , ce serait possile ?
ça pourrais etre limite envisageble mais l outil en ai pas encore là -;)
@ moe :
Si tu la prends pour une option à part entière va falloir alors que tu prévois des backups de l'infection, sinon ça risque d'être difficile de récupérer un CRC32 de fichiers qui n'existent plus :-)
Oui , on peut partir de ce principe , c est a dire relever les valeurs dès le scan option 1 et les conserver , l idéal étant d avoir une base de données.
Pourquoi ? Tu as eu beaucoups de remontées sur des BSOD ?
Sur un OS en particulier ?
Quelques unes en effet , mais surtout sur xp , une ce soir encore , l user m a mp :
http://www.commentcamarche.net/forum/affich 10782648 2 virus antivirus bloques dem sans e imposs?
perso , je crois pas que le kil des procs soit fautifs , je dirais plutot que le ".sys" est chatouilleux -;)
apres etablir des certitudes n est pas simple puisque rarement des tests a faire
dans ces cas là , une autre solutions est adpaté , l utilisation d un autre outil ..
le but de fyk étant justement d éviter l utilisation d un autre outil , donc je reste perplexe sur ce sujet
breff y a du taff , pour toucher au but , meme si je pense qu il est proche .
pour en revenr au cracks\merdouille , j avais ouvert un topic au bureau au titre , findykill kill de crack ou pas ,
je suppose que tu l as vu , perso j ai aimé ce topic par rapport aux remarques ..
celles ci concernaient les fp , perso je pense proposer une methode pour les eviter , c est a dire via un script
celui ci , bien sur pourra prendre en compte les "04" vérolé
c est juste une pensée , puisque aucun test n a été fait .
Breff , cette phase aussi pourrait quasiment terminer le processus
Qu en penses tu ?
++
@ gen :
et une protection residente anti-Bagle , ce serait possile ?
ça pourrais etre limite envisageble mais l outil en ai pas encore là -;)
@ moe :
Si tu la prends pour une option à part entière va falloir alors que tu prévois des backups de l'infection, sinon ça risque d'être difficile de récupérer un CRC32 de fichiers qui n'existent plus :-)
Oui , on peut partir de ce principe , c est a dire relever les valeurs dès le scan option 1 et les conserver , l idéal étant d avoir une base de données.
Pourquoi ? Tu as eu beaucoups de remontées sur des BSOD ?
Sur un OS en particulier ?
Quelques unes en effet , mais surtout sur xp , une ce soir encore , l user m a mp :
http://www.commentcamarche.net/forum/affich 10782648 2 virus antivirus bloques dem sans e imposs?
perso , je crois pas que le kil des procs soit fautifs , je dirais plutot que le ".sys" est chatouilleux -;)
apres etablir des certitudes n est pas simple puisque rarement des tests a faire
dans ces cas là , une autre solutions est adpaté , l utilisation d un autre outil ..
le but de fyk étant justement d éviter l utilisation d un autre outil , donc je reste perplexe sur ce sujet
breff y a du taff , pour toucher au but , meme si je pense qu il est proche .
pour en revenr au cracks\merdouille , j avais ouvert un topic au bureau au titre , findykill kill de crack ou pas ,
je suppose que tu l as vu , perso j ai aimé ce topic par rapport aux remarques ..
celles ci concernaient les fp , perso je pense proposer une methode pour les eviter , c est a dire via un script
celui ci , bien sur pourra prendre en compte les "04" vérolé
c est juste une pensée , puisque aucun test n a été fait .
Breff , cette phase aussi pourrait quasiment terminer le processus
Qu en penses tu ?
++
bjr (enfin la il est 1h du mat ^^) , bjr Chiquitine29
moi je viens de m'apercevoir que mon antivirus ne voulait plus se lancer du moins application win32 non valide
j'ai un peu fouiner internet j'ai o moins réussi au bout de plus de 4heure a trouver mbam qui m'a permis de retrouver mon son déjà sur skype etc, mais findykill pa trop envie de faire de bourde ^^ vu que tout mes logiciel de sécurité ne veulent tjr pas se lancer je pose le rapport de recherche:
Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers"
Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers\downld"
avec malwarebytes anti-malware dans (disk racine)Documents and Settings\Administrateur\Application Data\drivers il y avait un truc qui s'était installer il restait srosa2.sys il a été supprimer et la j'ai un autre juste un document vide , tss si je le supprime ^^ non car drivers dans application data logiquement il y'en as pas ?
tout ça pour avoir voulu trouver un patch fr pour conqueror expansion grr marre des malin qui ... mette des mauvais truc=)
ben j'espère avoir une repose très rapidement stp (connait les passionner d'ordi jamais sans son ordi xd) ^^
moi je viens de m'apercevoir que mon antivirus ne voulait plus se lancer du moins application win32 non valide
j'ai un peu fouiner internet j'ai o moins réussi au bout de plus de 4heure a trouver mbam qui m'a permis de retrouver mon son déjà sur skype etc, mais findykill pa trop envie de faire de bourde ^^ vu que tout mes logiciel de sécurité ne veulent tjr pas se lancer je pose le rapport de recherche:
############################## [ FindyKill V4.721 ] # User : Administrateur (Administrateurs) # TITANIUM # Update on 29/03/09 by Chiquitine29 # Start at: 00:42:29 | 31/03/2009 # Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/ # AMD Athlon(tm) XP 2000+ # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2 # Internet Explorer 6.0.2900.2180 # Windows Firewall Status : Enabled # C:\ # Disque fixe local # 40,13 Go (11,25 Go free) # NTFS # D:\ # Disque fixe local # 1,5 Go (996,53 Mo free) [XP GOLD] # FAT32 # E:\ # Disque fixe local # 53,3 Go (21,75 Go free) # NTFS # F:\ # Disque fixe local # 47,96 Go (18,2 Go free) [DOC MYK] # FAT32 # G:\ # Disque fixe local # 46,98 Go (25,08 Go free) [EMULE] # FAT32 # H:\ # Disque CD-ROM # I:\ # Disque fixe local # 465,76 Go (40,24 Go free) [Externe 500] # NTFS # J:\ # Disque CD-ROM # K:\ # Disque CD-ROM # L:\ # Disque CD-ROM # M:\ # Disque CD-ROM # N:\ # Disque CD-ROM ############################## [ Processus actifs ] E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\csrss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Program Files\TGTSoft\StyleXP\StyleXPService.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\SOUNDMAN.EXE E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe E:\WINDOWS\system32\RUNDLL32.EXE E:\Program Files\Java\jre6\bin\jqs.exe E:\Program Files\Java\jre6\bin\jusched.exe E:\Program Files\Skype\Phone\Skype.exe E:\WINDOWS\system32\nvsvc32.exe E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe E:\Program Files\DAEMON Tools Lite\daemon.exe E:\Program Files\TGTSoft\StyleXP\StyleXP.exe F:\EA GAMES\Need for Speed Undercover\PB\PnkBstrA.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\wdfmgr.exe E:\WINDOWS\System32\alg.exe E:\WINDOWS\system32\wscntfy.exe E:\Program Files\Skype\Plugin Manager\skypePM.exe E:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe E:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe E:\Program Files\Mozilla Firefox\firefox.exe E:\WINDOWS\system32\wbem\wmiprvse.exe ################## [ Fichiers / Dossiers infectieux E:\ ] ################## [ E:\WINDOWS & E:\WINDOWS\Prefetch ] ################## [ E:\WINDOWS\system32 ] ################## [ E:\WINDOWS\system32\drivers ] ################## [ E:\.. Application Data ... ] Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers" Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers\downld" ################## [ E:\Users...\Temp Files... ] ################## [ Registre / Clés infectieuses ] Found ! - HKEY_USERS\S-1-5-21-299502267-573735546-725345543-500\Software\Local AppWizard-Generated Applications\MsnMsgr Found ! - HKEY_USERS\S-1-5-21-299502267-573735546-725345543-500\Software\bisoft Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\MsnMsgr Found ! - HKEY_CURRENT_USER\Software\bisoft ################## [ Recherche dans supports amovibles] # Présence des fichiers : ################## [ Registre / Mountpoint2 ] # -> Not found ! ################## [ ! Fin du rapport # FindyKill V4.721 ! ]
Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers"
Found ! - "E:\Documents and Settings\Administrateur\Application Data\drivers\downld"
avec malwarebytes anti-malware dans (disk racine)Documents and Settings\Administrateur\Application Data\drivers il y avait un truc qui s'était installer il restait srosa2.sys il a été supprimer et la j'ai un autre juste un document vide , tss si je le supprime ^^ non car drivers dans application data logiquement il y'en as pas ?
tout ça pour avoir voulu trouver un patch fr pour conqueror expansion grr marre des malin qui ... mette des mauvais truc=)
ben j'espère avoir une repose très rapidement stp (connait les passionner d'ordi jamais sans son ordi xd) ^^
Mais si ça marche ;)
N'oublie pas le ' Echo ' devant la variable.
++