Bagle - de chiki a moe
Résolu
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
Salut moe ,
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
A voir également:
- Bagle - de chiki a moe
- Extreme-down moe - Accueil - Services en ligne
- Combien de ko pour 1 mo - Forum Mobile
- 100 mo internet combien de temps - Forum Mobile
- 100 mo internet, équivalent en nombre d'heures ✓ - Forum Mobile
- 1go combien de mo ✓ - Forum Matériel & Système
717 réponses
Résumé de la discussion
Le fil porte sur le développement et les tests d’un outil de nettoyage pour Bagle, avec une bêta qui voit des remplacements de fichiers système (111wfs1intwq.sys → wfsintwq.sys; 11s11ro1s1a2.sys → srosa2.sys) et l’ajout d’un nouveau service, Fyk mis à jour en version 4.732.
L’équipe aborde la détection MD5 et ZIP, mais la lecture des ZIP et les vérifications CRC32 restent problématiques, et l’option crack/keygen a été retirée du menu.
L’objectif central est de rendre l’antivirus et le pare-feu actifs après l’exécution d’un kill pendant les tests, en explorant des méthodes (notamment via des scripts VBScript) et en envisageant le partage des savoir-faire autour des samples et d’outils complémentaires comme Themida_y_Co dans Fyks.
Des échanges mentionnent également la suppression de USBFix, la nécessité d’un compilateur et des aspects liés à la vaccination, tout en valorisant les retours externes et les possibilités d’intégration d’autres outils.
THANKS C_XX !!!!!
Il faut cependant RESPECTER les choix de chacun!
Bon courage CHIQUITINE29 et surtout merci pour tout...
A plus....(je pense que nous sommes nombreux à le penser)
Il faut cependant RESPECTER les choix de chacun!
Bon courage CHIQUITINE29 et surtout merci pour tout...
A plus....(je pense que nous sommes nombreux à le penser)
Hello ;)
Merci pour les précisions cyril ;)
@Cédric : Bonne continuation dans ta vraie vie ;)
Les outils restent quand même en ligne ( pour le moment )
Merci pour les précisions cyril ;)
@Cédric : Bonne continuation dans ta vraie vie ;)
Hello tout le monde,
Les outils restent quand même en ligne ( pour le moment )
vous pouvez tjrs les utiliser.
++
Les outils restent quand même en ligne ( pour le moment )
vous pouvez tjrs les utiliser.
++
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
dure de tout gerer ... je comprends ! ....
tout se gere ... mais perso j ai d autre priorité .. celle de mr tout le monde ....
C est mon dernier post .
++
@+
tout se gere ... mais perso j ai d autre priorité .. celle de mr tout le monde ....
C est mon dernier post .
++
@+
Salut,
dure de tout gerer ... je comprends ! ....
toujours faire le bon choix ...
A bientôt j'espère ... =)
++
dure de tout gerer ... je comprends ! ....
toujours faire le bon choix ...
A bientôt j'espère ... =)
++
Bonsoir tout le monde ........,
Olivier ...
j annonce mon retrait .........
j arrete fyk et usbfix .............
ma vie perso ne me permet plus de gerer ...... de gerer les fix
j ai connu une belle aventure en ta compagnie mais là c l overdose .....
en meme temps c est le bon moment pour raccrocher .;;
G PAS envie d expliquer ;...................................................................................................................................................................................................................................................................................................................................kIIIISSSOUUILLE comme dis marie ++++++
Olivier ...
j annonce mon retrait .........
j arrete fyk et usbfix .............
ma vie perso ne me permet plus de gerer ...... de gerer les fix
j ai connu une belle aventure en ta compagnie mais là c l overdose .....
en meme temps c est le bon moment pour raccrocher .;;
G PAS envie d expliquer ;...................................................................................................................................................................................................................................................................................................................................kIIIISSSOUUILLE comme dis marie ++++++
Bonjour tout le monde ,
Par contre, je trouve dommage de l'avoir refait en flash, c'est moins pratique (on ne peut pas ouvrir les liens dans un nouvel onglet)
On va le publier en html , je vais voir a ça avec Cyril .
Pour la clé effectivement c est un FP , que je m efforcerai de corriger a la prochaine maj .
++
Par contre, je trouve dommage de l'avoir refait en flash, c'est moins pratique (on ne peut pas ouvrir les liens dans un nouvel onglet)
On va le publier en html , je vais voir a ça avec Cyril .
Pour la clé effectivement c est un FP , que je m efforcerai de corriger a la prochaine maj .
++
Bonjour à tous,
Le look du site est agréable, bravo et merci :)
Par contre, je trouve dommage de l'avoir refait en flash, c'est moins pratique (on ne peut pas ouvrir les liens dans un nouvel onglet)
Concernant FindyKill, un internaute dit ici que FindyKill a détecté la clé suivante :
HKEY-USERS\5-1-5-21-3295790835-607015873-4010841984-1005\software\UBISOFT
Faux-positif à cause du nom contenant bisoft ?
Le look du site est agréable, bravo et merci :)
Par contre, je trouve dommage de l'avoir refait en flash, c'est moins pratique (on ne peut pas ouvrir les liens dans un nouvel onglet)
Concernant FindyKill, un internaute dit ici que FindyKill a détecté la clé suivante :
HKEY-USERS\5-1-5-21-3295790835-607015873-4010841984-1005\software\UBISOFT
Faux-positif à cause du nom contenant bisoft ?
Bonsoir tout le monde ,
Cyril , good taff que t as fais avec le site , je viens de le visiter ...
Désolé de ne pas avoir pu t assister dans sa publication mais je viens seulement d arriver du taff ..
Je t ai mis un mp ;)
Olivier , thanks pour la modif de sniffc et de ces expliquations . Je l ajouterai a la recherche dans le courant de la semaine .
J aurai surement des questions pour themida ... a l occasion :) mais il faut que je fasse des tests avant ...
Bonne nuit @ tous .
Cyril , good taff que t as fais avec le site , je viens de le visiter ...
Désolé de ne pas avoir pu t assister dans sa publication mais je viens seulement d arriver du taff ..
Je t ai mis un mp ;)
Olivier , thanks pour la modif de sniffc et de ces expliquations . Je l ajouterai a la recherche dans le courant de la semaine .
J aurai surement des questions pour themida ... a l occasion :) mais il faut que je fasse des tests avant ...
Bonne nuit @ tous .
Hello C_XX et encore merci pour tout ce taf...(Enorme)
Juste un petit "UP"
pour les "news" visiteurs :
http://pagesperso-orange.fr/NosTools/findykill.html
a+
Juste un petit "UP"
pour les "news" visiteurs :
http://pagesperso-orange.fr/NosTools/findykill.html
a+
Hello mOe, Gen et tout le monde,
Juste pour vous dire que le site à été re-stylisé ;)
J'attends tout avi, suggestions ... ( a votre gré bien sur ;) )
Merci !
++
Juste pour vous dire que le site à été re-stylisé ;)
J'attends tout avi, suggestions ... ( a votre gré bien sur ;) )
Merci !
++
salut à tous......
non non d'habitude je me sers de FYKS pour virer les bagle qu'on a deja de incoming afin d'eviter de perdre du temps dans la collecte mais lui ne fait pas le meme travail apparement
non non d'habitude je me sers de FYKS pour virer les bagle qu'on a deja de incoming afin d'eviter de perdre du temps dans la collecte mais lui ne fait pas le meme travail apparement
Bonsoir à tous,
Rulez ! :-)
Voilà qui est fait, je profite de l'occase pour expliquer certains aspects du fonctionnement de cette version de SniffC:
Tools\sniffc.exe = Recherche uniquement.
Tools\sniffc.exe /R = Recherche + réparation (uniquement si le fichier se trouve dans %windir% ou un de ses sous-dossier.)
Pendant son exécution et lors d'une réparation :
- Si une copie de sauvegarde du fichier ne peut être effectuée, la procédure de réparation sera annulée.
- Cette sauvegarde portera le nom du fichier+l'extention 'REN' et se situera dans le même dossier ou se trouve le fichier à réparer.
- Après la tentative de réparation, le PEHM de l'exe sera recontrôlé et ce n'est qu'après ce contrôle que le résultat sera mentionné dans le fichier rapport $PEH.
Voilà pour l'essentiel.
Si jamais des corrections devaient être faites suite à des remontées, bah n'hésites pas car je continuerais de passer ici durant quelques temps au moins une fois par semaine, pour voir s'il y a besoin d'un suivi.
Ouep, ça va laisser pas mal de temps pour autre chose comme tu dis et pour ma part il est temps je crois, non pas de prendre mon envol, mais plutôt d'atterrir lol...
Je tiens à te remercier sincèrement d'avoir crée ce post Cédric et d'y avoir pleinement joué le jeu durant ces quelques mois.
C'était à la fois un des topic les plus enrichissant, bon enfant et studieux, auquel j'ai pu participer depuis quelques années sur ce forum V/S !
J'espère que la majorité des personnes qui l'auront suivi de près ou de loin, auront pris (et prendront encore !) autant de plaisir à le parcourir que toi, moi et tous les intervenants auront eu, à taper le bout de gras sur l'infection et l'évolution de ton outil.
FOR %%A IN ( Findykill ) do (
echo.Muchas gracias per todos...^& Many, many, many thanks for sharing :-^)
echo.
echo.Bonne continuation à toi, cyril et Jorginho pour la suite...
echo.
echo.Mais surtout...Bons vents pour tes projets hors de la toile et le succès d'estime vers lequel se dirigent tes outils.
echo.
echo.@ 12C4 ^& Have Fun !
)
ping localhost -n 3 > nul & Exit :-)
@++
PS:
Gen, bah si tu as fait le test sur un pc clean, oui c'est normal qu'il ne se soit rien passé de particulier :-)
Rulez ! :-)
Voilà qui est fait, je profite de l'occase pour expliquer certains aspects du fonctionnement de cette version de SniffC:
Tools\sniffc.exe = Recherche uniquement.
Tools\sniffc.exe /R = Recherche + réparation (uniquement si le fichier se trouve dans %windir% ou un de ses sous-dossier.)
Pendant son exécution et lors d'une réparation :
- Si une copie de sauvegarde du fichier ne peut être effectuée, la procédure de réparation sera annulée.
- Cette sauvegarde portera le nom du fichier+l'extention 'REN' et se situera dans le même dossier ou se trouve le fichier à réparer.
- Après la tentative de réparation, le PEHM de l'exe sera recontrôlé et ce n'est qu'après ce contrôle que le résultat sera mentionné dans le fichier rapport $PEH.
Voilà pour l'essentiel.
Si jamais des corrections devaient être faites suite à des remontées, bah n'hésites pas car je continuerais de passer ici durant quelques temps au moins une fois par semaine, pour voir s'il y a besoin d'un suivi.
Ouep, ça va laisser pas mal de temps pour autre chose comme tu dis et pour ma part il est temps je crois, non pas de prendre mon envol, mais plutôt d'atterrir lol...
Je tiens à te remercier sincèrement d'avoir crée ce post Cédric et d'y avoir pleinement joué le jeu durant ces quelques mois.
C'était à la fois un des topic les plus enrichissant, bon enfant et studieux, auquel j'ai pu participer depuis quelques années sur ce forum V/S !
J'espère que la majorité des personnes qui l'auront suivi de près ou de loin, auront pris (et prendront encore !) autant de plaisir à le parcourir que toi, moi et tous les intervenants auront eu, à taper le bout de gras sur l'infection et l'évolution de ton outil.
FOR %%A IN ( Findykill ) do (
echo.Muchas gracias per todos...^& Many, many, many thanks for sharing :-^)
echo.
echo.Bonne continuation à toi, cyril et Jorginho pour la suite...
echo.
echo.Mais surtout...Bons vents pour tes projets hors de la toile et le succès d'estime vers lequel se dirigent tes outils.
echo.
echo.@ 12C4 ^& Have Fun !
)
ping localhost -n 3 > nul & Exit :-)
@++
PS:
Gen, bah si tu as fait le test sur un pc clean, oui c'est normal qu'il ne se soit rien passé de particulier :-)
Salut à tous
Impec :-)
Faudra attendre de voir plusieurs utilisations encore avant de crier victoire, mais apparemment ça semble bien partis !
Concernant SniffC, est-ce que tu souhaite éventuellement pouvoir le faire tourner en option 1 ?
Si oui, il faudra juste que le modifie pour qu'il ne répare que lors de l'option 2 car sinon, si l'infection est active les fichiers réparés seront à nouveau corrompus dans la seconde suivante.
Passe une bonne journée et bon courage pour ton taf !
@++
Impec :-)
Faudra attendre de voir plusieurs utilisations encore avant de crier victoire, mais apparemment ça semble bien partis !
Concernant SniffC, est-ce que tu souhaite éventuellement pouvoir le faire tourner en option 1 ?
Si oui, il faudra juste que le modifie pour qu'il ne répare que lors de l'option 2 car sinon, si l'infection est active les fichiers réparés seront à nouveau corrompus dans la seconde suivante.
Passe une bonne journée et bon courage pour ton taf !
@++
Salut Olivier ,
Première journée de taff effectuée o_O , ça c est bien passé , c cool :)
En effet il va falloir maintenant "scruté" google etc pour les remontées et voir comment le baby se comporte face au mechant garçon bagle :)
Ca va laisser du temps pour faire autre choses :)
De mon coté j ai passé les commandes du site a cyril , comme ça a deux ça ira plus vite et ça sera plus constructif :)
J ai parlé à Jo en mp , et il s est proposé de traduire le canned speech .... et voir aller poster sur les fofo qui vont bien ... ça aidera surement l outil a s exporter .
Pour SniffC , ouep ça me va , il faudrait une commande :
SniiffB : Tools\sniffc /S
CleanB : Tools\Sniffc /R
Je te laisse voir ça ;)
Encore merci à toi Olivier :)
Bonne soirée à toutes & tous .
Première journée de taff effectuée o_O , ça c est bien passé , c cool :)
En effet il va falloir maintenant "scruté" google etc pour les remontées et voir comment le baby se comporte face au mechant garçon bagle :)
Ca va laisser du temps pour faire autre choses :)
De mon coté j ai passé les commandes du site a cyril , comme ça a deux ça ira plus vite et ça sera plus constructif :)
J ai parlé à Jo en mp , et il s est proposé de traduire le canned speech .... et voir aller poster sur les fofo qui vont bien ... ça aidera surement l outil a s exporter .
Pour SniffC , ouep ça me va , il faudrait une commande :
SniiffB : Tools\sniffc /S
CleanB : Tools\Sniffc /R
Je te laisse voir ça ;)
Encore merci à toi Olivier :)
Bonne soirée à toutes & tous .
