Bagle - de chiki a moe

Résolu

Utilisateur anonyme -
Utilisateur anonyme - 8 nov. 2009 à 22:46

Salut moe ,

/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..

/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici

::

ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,

je sais pertinament qu il y a des points a voir , genre kill 04

choses qui a été démarré.. et ensuite a travailler ..

néanmoins je voulais parler avec toi d un point particulier

je pensais dans la prochaine maj faire apparaitre l id windows le sp ,

c est pas vraiment important , mais surtout l av , le firewall et voir l as

et dire si actif ou pas .. (ceci m importe)

bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,

combo , etc (vbs)

en outre j ai aucune notion en vbs , donc si on peut partager c cool

breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill

durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a

peut etre quelque choses a faire

ensuite je sais aussi que ceci n est pas tache evidente

j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi

c est a dire rendre les protections actives apres kill

au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend

je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..

courage pour le taff et encore merci pour les conseils etc

Afficher la suite

A voir également:

Bagle - de chiki a moe
Extreme-down moe - Accueil - Services en ligne
Combien de ko pour 1 mo - Forum Mobile
100 mo internet combien de temps - Forum Mobile
100 mo internet, équivalent en nombre d'heures ✓ - Forum Mobile
1go combien de mo ✓ - Forum Matériel & Système

717 réponses

Résumé de la discussion

Le fil porte sur le développement et les tests d’un outil de nettoyage pour Bagle, avec une bêta qui voit des remplacements de fichiers système (111wfs1intwq.sys → wfsintwq.sys; 11s11ro1s1a2.sys → srosa2.sys) et l’ajout d’un nouveau service, Fyk mis à jour en version 4.732.
L’équipe aborde la détection MD5 et ZIP, mais la lecture des ZIP et les vérifications CRC32 restent problématiques, et l’option crack/keygen a été retirée du menu.
L’objectif central est de rendre l’antivirus et le pare-feu actifs après l’exécution d’un kill pendant les tests, en explorant des méthodes (notamment via des scripts VBScript) et en envisageant le partage des savoir-faire autour des samples et d’outils complémentaires comme Themida_y_Co dans Fyks.
Des échanges mentionnent également la suppression de USBFix, la nécessité d’un compilateur et des aspects liés à la vaccination, tout en valorisant les retours externes et les possibilités d’intégration d’autres outils.

Réponse 141 / 717

Utilisateur anonyme

bonjour à tous

le MD5 et CRC en plus...vraiment bon boulot ! :)

Réponse 142 / 717

Utilisateur anonyme

Salut Olivier ,

Un petit message avant de partir au taff . Hier soir j ai mis en ligne la maj avec les correctifs cités , ainsi que la nouvelle version de SniffC .

J en ai profité pour corriger sniffcrack ;)

Un topic ici

Bonne journée @ tous

Réponse 143 / 717

kevin05 Messages postés 3814 Date d'inscription Statut Contributeur sécurité Dernière intervention 147

ok merci ;)

Réponse 144 / 717

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonjour,

elle n'est pas infectée par Bagle.

Fais une analyse sérieuse de l'état du système (RSIT ou OTL).

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 145 / 717

kevin05 Messages postés 3814 Date d'inscription Statut Contributeur sécurité Dernière intervention 147

Bonjours @ tous

une personne affirme avoir une infection bagle j'ai demandé fyk et il ne trouve rien

Le lien si besoin...

http://www.commentcamarche.net/forum/affich 12781061 infection bagle au secours?#5

Une idée ?

Réponse 146 / 717

moe

Re,

Merci jorginho67 pour ces précisions.
De mon côté j'avais fait quelques recherches en attendant ta confirmation, et sur le forum de la linha par exemple c'est aussi le terme qui revenait à chaque fois pour désigner la corruption d'un fichier...
Parfait donc, la modif a été faite en ce sens et je vous fait passer la version finale de sniffC

Cédric, tu as encore quelques soucis avec la partie :md5 en option fix...
Je te laisse faire toi même la comparaison ligne par ligne avec le code que je t'ai passé hier :
http://www.commentcamarche.net/forum/affich 10626127 bagle de chiki a moe?page=28#731

Sinon le scan en option recherche à crashé et cette fois c'est :SniffMd5 qui est concerné, voilà la correction :

:SniffMd5

if "%~1"=="" goto :eof
if "%~2"=="" goto :eof

set tfa=%~1
set tfa=%tfa:~0,-1%

FOR /f "tokens=1" %%g in ('tools\fsum.exe -s -md5 -jnc -d"%tfa%" "%~2"') do find /i "%%g"<Tools\RefMD5.def>nul &&(
echo.Bagle ! "%tfa%\%~2" >> %Rapport%
echo -^> Size : %%~za ^| Md5 : %%g >> %Rapport%
echo.>> %Rapport%
)

set tfa=
goto :eof

Voilà, une fois ces derniers détails corrigés, ça me semble être une maj du tonnerre :-)

Passez tous une bonne fin de soirée.

@++

Réponse 147 / 717

jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169

Hello

Du coup, un doute m' envahi...

En fait, corrompido irà mieux...

Corrupto est plutot a employer pour quelque chose/quelqu'un corrompu dès le début

En l'occurance, pour un fichier ( qui a été modifier sans autorisation ) corrompido sera plus approprié

;-)

Réponse 148 / 717

Utilisateur anonyme

Re Olivier ,

Jo leve le doute ;) : Corrupto

++

Réponse 149 / 717

Utilisateur anonyme

re Olivier ,

J ai mp Jo .....

SniffC fait son taff ;)

Corrupted : C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
[Offset = 00000104 - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
[Offset = 0000010C - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\avguard.exe
[Offset = 00000104 - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\licmgr.exe
[Offset = 00000104 - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\sched.exe
[Offset = 0000010C - Value = 0x0001]

Corrupted : C:\Windows\SoftwareDistribution\Download\a97df28e52d56c468f772bb7aab8028c\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6000.16420_none_55c0ce805b18c568\MSASCui.exe
[Offset = 000000E4 - Value = 0x0001]

Tentative de réparation...
Création sauvegarde : C:\Windows\SoftwareDistribution\Download\a97df28e52d56c468f772bb7aab8028c\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6000.16420_none_55c0ce805b18c568\MSASCui.exe.REN
[Offset = 000000E4 - New Value = 0x4C01]
Fichier réparé avec succès.

Corrupted : C:\Windows\SoftwareDistribution\Download\a97df28e52d56c468f772bb7aab8028c\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6000.20516_none_565b3cf37428e14b\MSASCui.exe
[Offset = 000000E4 - Value = 0x0001]

Tentative de réparation...
Création sauvegarde : C:\Windows\SoftwareDistribution\Download\a97df28e52d56c468f772bb7aab8028c\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6000.20516_none_565b3cf37428e14b\MSASCui.exe.REN
[Offset = 000000E4 - New Value = 0x4C01]
Fichier réparé avec succès.

Corrupted : E:\Virii\VIRUS COLLECTION\VIRUS VB [EXE]\Virus_Maker\Register.exe
[Offset = 000000BC - Value = 0x0001]

là je suis en train de refaire le tuto .

@ + tard

Réponse 150 / 717

moe

Re ! et salut à Jorghino et cyril :-)

Merci pour les trads, elles ont été incluses.

Il me reste juste un doute pour le mot corrompu traduit en Portugais :
Lequel est le plus juste : Corrompido, Subornar ou Corrupto ?

Dès que j'ai la réponse, je compile et t'envoie sniffB version finale.

La trad en portugais sera faite automatiquement lorsque les types de langues suivantes seront détectées :

0416 Portuguese_Brazilian
0816 Portuguese_Standard

Et en français pour :

040c French_Standard
080c French_Belgian
0c0c French_Canadian
100c French_Swiss
140c French_Luxembourg
180c French_Monaco

Pour le reste, se sera in english :-)

@++

Réponse 151 / 717

Utilisateur anonyme

Salut Olivier ,

Tu as le Bonjour de Jorghino et cyril ;)

Je les remercie pour la trad :

##################"

1 Tentative de réparation...
2 Sauvegarde
3 Valeur
4 Nouvelle valeur
5 Erreur lors de la tentative de réparation....
6 Fichier réparé avec succès.
7 Le fichier n'a pas pu être réparé.

#################

1 Attempt of repair...

2 Backup

3 Value

4 New value

5 Error during attempt of repair....

6 File repaired successfully.

7 File cannot be repaired.

##############

1 Tentativa de reparação...

2 Backup

3 Valor

4 Novo Valor

5 Erro ao tentar reparar ....

6 Arquivo reparado com sucesso.

7 O arquivo não foi reparado.

#################

Pour SniffC ça me va parfaitement .

J avais pas fait attention a cette clé ;) honte a moi lol ;)

Merci , je vais l ajouter et attendrait sniffc pour publier la maj

C est vrai qu il serait possible de fusionner sniffB et cleanB , ça represente quelques changements .. mais pourquoi pas .

C est a refléchir ;)

@ Jacques ,

Salut Jacques , je ne vais pas donner le nom du restaurant dans lequel je vais bosser ....j espere que tu comprend pourquoi ;)

@ + tard .

Réponse 152 / 717

moe

Salut Cédric

J'espère que tu as profité au max de ta journée à la plage avec ton amie :-)

La détection à l'air plutôt pas mal en effet et même si izarce complique la tâche quelques fois pour les zips ce n'est pas capital.

SniffC à l'air d'avoir bien fonctionné chez toi, mis à part le "Aucun fichier corrompu détecté" dans le rapport. :-)
Je viens donc d'apporter quelques corrections à cette version de démo pour que tu puisses l'intégrer plus facilement.
Le fichier $PEC sera le fichier rapport qui sera crée dans le même dossier que sniffC en cas de détection positive et j'ai retiré son ouverture avec notepad en fin de scan car c'était juste pour faciliter les tests.
Ensuite j'ai bridé volontairement les réparations aux exe corrompus situés dans C:\windows et ses sous-dossiers afin d'éviter la réparation de ceux liés aux progs de sécurité qu'il vaut mieux faire réinstaller.
Disons que c'est le meilleur compromis que j'ai pu trouver après reflexion.
Je ne sais pas si tu as pu tester la réparation et si elle s'est bien passé, mais si tu as du mal à avoir un exe corrompu dans %windir%, avant de lancer l'infection place une copie d'un exe d'antivir dans un sous-dossier de c:\windows histoire d'avoir un aperçu.

Concernant la trad, je peux détecter la langue qui est utilisée sur le pc et adapter les termes en fonction, mais pour celà il me faudrait leur traduction dans les langues que tu souhaites...
Voilà les termes qui peuvent être rencontrés :

Tentative de réparation...
Sauvegarde
Valeur
Nouvelle valeur
Erreur lors de la tentative de réparation....
Fichier réparé avec succès.
Le fichier n'a pas pu être réparé.

T'es pas obligé de les garder tel quel Cédric et tu peux adapter en fonction de la facilité de traduction.
L'affichage dans le rapport d'une réparation donne ceci pour l'instant:

Corrompu : C:\WINDOWS\system32\dllcache\sysinfo.exe
[Offset = 000000E4 - Valeur = 0x0001]

Tentative de réparation...
Sauvegarde : C:\WINDOWS\system32\dllcache\sysinfo.exe.REN
[Offset = 000000E4 - Nouvelle Valeur = 0x4C01]
Fichier réparé avec succès.

Si cet affichage te va, fais moi passer les traducs dans les différentes langues des termes ci-dessus, sinon dis-moi comment toi tu le vois et avec quels termes.
Ensuite j'adapterais et te ferais passer la version de sniffC finale.

Concernant la recherche de 04 & co dans l option 1, c'est vrai que ça impliquerait un double scan en cas d'infection et que effectivement ça peut-être très long à chaques fois.
La solution pourrait être alors de prévoir dans une future maj, la fusion du mode recherche et suppression, c'est à dire un seul passage avec reboot et nettoyage que si nécessaire...
Dans ce cas toutes les infos sans exceptions serait visibles dans le rapport et en un seul scan...
Merci pour la version corrigée en tout cas,je vais la regarder de plus près cet aprem.

Au fait est-ce que tu traite cette clé, car il ne me semble pas l'avoir vue mentionnée ?
HKEY_CURRENT_USER\Software\Microsoft\Windows\UI | KEY540534

Je te remercie pour m authoriser a exploiter fyks.exe , c est super sympa ;)
Arff...J'autorise rien du tout lol...En ce qui me concerne ça coule de source :-), il a été crée uniquement pour fyk et c'est tout à fait normal que le code et son exploitation te revienne.
J'en profite d'ailleurs pour remercier Crash Daemonicus pour les sources qu'il a diffusé publiquement et desquelles je me suis largement inspiré pour l'ossature de ce mini-scanner...Thanks for sharing :-)

Passe un bon dimanche.
@+ tard...

Réponse 153 / 717

jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618

Chiquitine29 bonjour, rien à voir avec les remontées mais il me semble avoir lu que tu étais cuisinier alors chapeau car si tu cuisines aussi bien que tu nous mijotes des outils donnes nous l'adresse de ton restaurant !!!

jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169

Olà ;-)

Alors là Jacques, je te met uña estrella ;-)))

ps) Hello Moe, hello tout le monde ;-)

La traduc' est partie :-)

Je vais vais faire tester FK dans mon entourage ( Lusophone ), s'il y a des améliorations a faire, pas de soucis ...
J'apporterais les corrections ;-)

Réponse 154 / 717

Utilisateur anonyme

Bonjour tout le monde ,

@ Pascal , oui c est le cas .

Olivier , j ai refais des tests hier soir :

############################## | FindyKill V5.001 |

# User : Cedric (Administrateurs) # PC-DE-CEDRIC
# Update on 04/06/09 by Chiquitine29
# Start at: 20:50:20 | 06/06/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# AMD Turion(tm) 64 X2 Mobile Technology TL-52
# Microsoft® Windows Vista™ Édition Intégrale (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16830
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# C:\ # Disque fixe local # 232,88 Go (178,2 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 953,73 Mo (897,48 Mo free) [FINDYKILL] # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\PresentationSettings.exe

################## | C: |

################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\144940.EXE-5CAD1FF7.pf
Supprimé ! C:\Windows\Prefetch\82196.EXE-B3895CB3.pf
Supprimé ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-3499FC44.pf
Supprimé ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-4B3C7055.pf
Supprimé ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-55227434.pf
Supprimé ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-60292666.pf
Supprimé ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-BE0A22D8.pf
Supprimé ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-D478E968.pf
Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-FEC4B87E.pf

################## | C:\Windows\system32 |

Supprimé ! C:\Windows\system32\mdelk.exe
Supprimé ! C:\Windows\system32\wintems.exe

################## | C:\Windows\system32\drivers |

################## | C:\Users\Cedric\AppData\Roaming |

Supprimé ! C:\Users\Cedric\AppData\Roaming\drivers\111wfs1intwq.sys
Supprimé ! C:\Users\Cedric\AppData\Roaming\drivers\11s11ro1s1a2.sys
Supprimé ! C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe
Supprimé ! C:\Users\Cedric\AppData\Roaming\m\data.oct
Supprimé ! C:\Users\Cedric\AppData\Roaming\m\flec006.exe
Supprimé ! C:\Users\Cedric\AppData\Roaming\m\list.oct
Supprimé ! C:\Users\Cedric\AppData\Roaming\m\srvlist.oct
Supprimé ! C:\Users\Cedric\AppData\Roaming\drivers\downld
Supprimé ! C:\Users\Cedric\AppData\Roaming\drivers
Supprimé ! C:\Users\Cedric\AppData\Roaming\m\shared
Supprimé ! C:\Users\Cedric\AppData\Roaming\m

################## | Autres ... |

# Références de comparaison Bagle MD5 :

File : C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe
-> Crc32 : 79aabc53 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Supprimé ! "C:\Users\Cedric\AppData\Local\Temp\Rar$EX00.243\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Supprimé ! "C:\Users\Cedric\AppData\Local\Temp\Rar$EX00.713\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Supprimé ! "C:\Users\Cedric\AppData\Local\Temp\Rar$EX00.903\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Supprimé ! "C:\Users\Cedric\AppData\Local\Temp\Rar$EX01.132\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Supprimé ! "C:\Program Files\Windows Live\Messenger\"msnmsgr.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Supprimé ! "C:\Users\Cedric\Downloads\eMule\Incoming\Kernel_Exchange_OST_Recovery_Software_7.05.01_[With_Crack].zip"
-> Contain run.exe [868352] | with Bagle Crc32 : 48cae4e4

Supprimé ! "C:\Users\Cedric\Downloads\eMule\Incoming\Tweak O Matic 1.4.0.0 (With Crack).zip"
-> Contain setup.exe [868352] | with Bagle Crc32 : 48cae4e4

################## | Temporary Internet Files |

Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JAWYDMGD\b64_3[1].jpg
Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JAWYDMGD\b64_6[1].jpg
Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JAWYDMGD\file[1].txt
Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\N8ASFM9G\b64_1[1].jpg
Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\N8ASFM9G\b64_3[1].jpg
Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\OA4WH8M4\b64[1].jpg
Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\OA4WH8M4\b64_3[1].jpg
Supprimé ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\PYC90E6B\b64_1[1].jpg

################## | Registre / Clés infectieuses |

Supprimé ! [HKCU\Software\bisoft]
Supprimé ! [HKCU\Software\DateTime4]
Supprimé ! [HKCU\Software\MuleAppData]
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Supprimé ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\FFC]
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\key_generator]
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat / Services / Informations |

# Mode sans echec : OK

# Affichage des fichiers cachés : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

# Présent ! E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## | Test SniffC |

Corrupted : C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
[Offset = 00000104 - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
[Offset = 0000010C - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\avguard.exe
[Offset = 00000104 - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\licmgr.exe
[Offset = 00000104 - Value = 0x0001]

Corrupted : C:\Program Files\Avira\AntiVir Desktop\sched.exe
[Offset = 0000010C - Value = 0x0001]

Aucun fichier corrompu détecté.

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # FindyKill V5.001 ! |

Je te passe FyK avec les rectifs .

Pour sniffC , perso moi ça me vas ainsi , sauf qu il faudrait que l exe affiche les infos en anglais ..

Pour le scan des O4 & co dans l option1 , j ai exclu winupgro et flec et %windir% ....

Enfin voila .

Bonne fete aux mamans & Bonne journée .

Réponse 155 / 717

Utilisateur anonyme

bonjour à tous

une question me tarabuste l'esprit :

tu as cliqué 9 fois sur le K_G ou il s'est surmultiplié dans le prefetch Cédric ?

Réponse 156 / 717

Utilisateur anonyme

Salut Olivier ,

J ai attaqué les modifs . J hesite à a jouter la recherche de 04 & co dans l option 1 car la vitesse d execution , chez moi , n est pas vraiment bonne .

Néanmoins , avec les modifs la detection est tres correct ;)

Rapport

Réponse 157 / 717

Utilisateur anonyme

Salut Olivier , je suis en train d effectuer les modifs sur fyk

Pour la recherche des 04 & co dans l option 1, j hesite un peut car chez moi la vitesse d execution n est pas vraiment bonne ...

néanmoin avec les modifs , la detection est tres correct ;)

############################## | FindyKill V5.001 |

# User : Cedric (Administrateurs) # PC-DE-CEDRIC
# Update on 04/06/09 by Chiquitine29
# Start at: 18:12:36 | 06/06/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# AMD Turion(tm) 64 X2 Mobile Technology TL-52
# Microsoft® Windows Vista™ Édition Intégrale (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16830
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# C:\ # Disque fixe local # 232,88 Go (179,09 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 953,73 Mo (897,48 Mo free) [FINDYKILL] # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\svchost.exe
C:\Program Files\filehippo.com\UpdateChecker.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\eMule\emule.exe
C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\conime.exe
C:\Users\Cedric\AppData\Roaming\m\flec006.exe
C:\Windows\system32\wintems.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchFilterHost.exe

############################## | Processus infectieux stoppés |

"C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe" (2436)
"C:\Users\Cedric\AppData\Roaming\m\flec006.exe" (4036)
"C:\Windows\system32\wintems.exe" (1488)

################## | C: |

################## | C:\Windows |

Présent ! C:\Windows\Prefetch\549919.EXE-D3ACB982.pf
Présent ! C:\Windows\Prefetch\FLEC006.EXE-348C38F3.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-1DD71F4D.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-416579F5.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-50E77395.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-69568E06.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-9ED86039.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-A4957157.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-DB2B4DAB.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-DCCE7987.pf
Présent ! C:\Windows\Prefetch\KEY_GENERATOR.EXE-F039A35F.pf
Présent ! C:\Windows\Prefetch\WINTEMS.EXE-9889BB0E.pf

################## | C:\Windows\system32 |

Présent ! C:\Windows\system32\ban_list.txt
Présent ! C:\Windows\system32\mdelk.exe
Présent ! C:\Windows\system32\wintems.exe

################## | C:\Windows\system32\drivers |

################## | C:\Users\Cedric\AppData\Roaming |

Présent ! C:\Users\Cedric\AppData\Roaming\drivers
Présent ! C:\Users\Cedric\AppData\Roaming\drivers\111wfs1intwq.sys
Présent ! C:\Users\Cedric\AppData\Roaming\drivers\11s11ro1s1a2.sys
Présent ! C:\Users\Cedric\AppData\Roaming\drivers\downld
Présent ! C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe
Présent ! C:\Users\Cedric\AppData\Roaming\m
Présent ! C:\Users\Cedric\AppData\Roaming\m\data.oct
Présent ! C:\Users\Cedric\AppData\Roaming\m\flec006.exe
Présent ! C:\Users\Cedric\AppData\Roaming\m\list.oct
Présent ! C:\Users\Cedric\AppData\Roaming\m\srvlist.oct
Présent ! C:\Users\Cedric\AppData\Roaming\m\shared

################## | Autres ... |

# Références de comparaison Bagle MD5 :

File : C:\Users\Cedric\AppData\Roaming\drivers\winupgro.exe
-> Crc32 : 79aabc53 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\AppData\Local\Temp\Rar$EX00.120\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\AppData\Local\Temp\Rar$EX00.387\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\AppData\Local\Temp\Rar$EX00.747\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\Desktop\Xilisoft MP4 Converter 5.1.23.0515\"keygen.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\derB\NOD32 Antivirus System v2.51.8 + manuals and Crack\"serial.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\derB\"key_generator.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Advanced Call Center 6.0.1.701 Crack\"install_crack.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Advanced_CSV_To_PDF_Table_Converter_1.1_(With_Crack)\"install_crack.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Aom_iPod_Video_Converter_1.20_(Crack)\"install.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\AptiStock_1.06_(Crack)\"install.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Bay_Reflections_Screen_Saver_1.0_With_Crack\"crac.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Citisoft_Outlook_Express_Backup_2_[Crack]\"install_patch.exe""
-> Size : 864256 | Md5 : 9a542cbb28329de541edbbc6888d272c

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\COMM-DRV++_1.0_[With_Crack]\"patch.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\DV_Mixer_Pro_1.1_[Crack]\"install_crack.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\EZ UnZIP 2.0.2 [Crack]\"crac.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\FlexCell_Grid_Control_for_.NET_2.0_2.4.0_[Crack]\"setup.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Fontastic_2.40_[With_Crack]\"install.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Go-Go_Quotations_1.203_(With_Crack)\"install_crack.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\IISxpress_2.0_(With_Crack)\"patch.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\KeyDB_1.50.03_(With_Crack)\"install.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\La Boss Key 2.3 With Crack\"install_patch.exe""
-> Size : 864256 | Md5 : 9a542cbb28329de541edbbc6888d272c

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\MailBee WebMail Lite ASP 4.0 [Crack]\"install.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\N'keybDrum_1.2.6_Crack\"key_generator.exe""
-> Size : 864256 | Md5 : 9a542cbb28329de541edbbc6888d272c

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Network_Malware_Cleaner_1.9_[Crack]\"install.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\New_York_Times_Reader_1.0.1.0_(With_Crack)\"run.exe""
-> Size : 868352 | Md5 : a4ab9353936fc50279daaa3db23ab02f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\NOD32.Anti-Virus.System.Personal.v.2.51.26.Spanish.+.Crack.NOD.Fix.v.2.1\"serial.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\NoD32_All.language_for.XP_3.22.Vers+.CrAcK.by.LupUs\"crac.exe""
-> Size : 864256 | Md5 : 9a542cbb28329de541edbbc6888d272c

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\PDF_Image_Extract_Software_7.0_[With_Crack]\"key_generator.exe""
-> Size : 864256 | Md5 : d3dd0655727e061ad8746edeae7a5d8a

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\PhotoUtil_1.1_(Crack)\"serial.exe""
-> Size : 864256 | Md5 : 31b7f995bc2a18ebb5df9c74a5e9d85f

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\PortelloBasic Online SiteEditor 1.10.0003 (Crack)\"install_crack.exe""
-> Size : 864256 | Md5 : 9a542cbb28329de541edbbc6888d272c

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\RamActive_2.5_(Crack)\"patch.exe""
-> Size : 864256 | Md5 : 9a542cbb28329de541edbbc6888d272c

Bagle ! "C:\Program Files\Windows Live\Messenger\"msnmsgr.exe""
-> Size : 851968 | Md5 : 0e0065fdfe4fdaa440062db8846d34dc

Bagle ! "C:\Users\Cedric\Desktop\derB.zip"
-> Contain keygen.exe [851968] | with Bagle Crc32 : 79aabc53

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\bG_Monitor_XM_2.0.105_(Crack).zip"
-> Contain key_gen.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Flash Retriever 1.01 [With Crack].zip"
-> Contain install.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Network Console 7.10.156 With Crack.zip"
-> Contain key_gen.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\PostShield 2.0.0.9 Crack.zip"
-> Contain key_gen.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Roleplaying_Assistant_7.13_(Crack).zip"
-> Contain patch.exe [864256] | with Bagle Crc32 : ae0e5dcf

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\SpotFTP Password Recover 1.2 (With Crack).zip"
-> Contain setup.exe [864256] | with Bagle Crc32 : 08f4e291

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\VDAFS_TO_DXF_Converter_&_Viewer_1.4_[Crack].zip"
-> Contain crac.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\VideoCharge_3.9.1.06_[Crack].zip"
-> Contain run.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Visual_Job_Manager_1.0.0.1_(Crack).zip"
-> Contain run.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Wallpaper Recycler 3.5.0 ES Crack.zip"
-> Contain run.exe [868352] | with Bagle Crc32 : 1aeb07b8

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\derB\NOD32 Antivirus System v2.51.8 + manuals and Crack\NOD32 Antivirus System v2.51.8 + manuals and Crack.zip"
-> Contain serial.exe [851968] | with Bagle Crc32 : 79aabc53

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Aom_iPod_Video_Converter_1.20_(Crack)\Aom_iPod_Video_Converter_1.20_(Crack).zip"
-> Contain install.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\AptiStock_1.06_(Crack)\AptiStock_1.06_(Crack).zip"
-> Contain install.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Bay_Reflections_Screen_Saver_1.0_With_Crack\Bay_Reflections_Screen_Saver_1.0_With_Crack.zip"
-> Contain crac.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\COMM-DRV++_1.0_[With_Crack]\COMM-DRV++_1.0_[With_Crack].zip"
-> Contain patch.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\EZ UnZIP 2.0.2 [Crack]\EZ UnZIP 2.0.2 [Crack].zip"
-> Contain crac.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\FlexCell_Grid_Control_for_.NET_2.0_2.4.0_[Crack]\FlexCell_Grid_Control_for_.NET_2.0_2.4.0_[Crack].zip"
-> Contain setup.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Fontastic_2.40_[With_Crack]\Fontastic_2.40_[With_Crack].zip"
-> Contain install.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\IISxpress_2.0_(With_Crack)\IISxpress_2.0_(With_Crack).zip"
-> Contain patch.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Intervention_Assistant_1.0_(With_Crack)\Intervention_Assistant_1.0_(With_Crack).zip"
-> Contain key_gen.exe [868352] | with Bagle Crc32 : 1aeb07b8

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\KeyDB_1.50.03_(With_Crack)\KeyDB_1.50.03_(With_Crack).zip"
-> Contain install.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\MailBee WebMail Lite ASP 4.0 [Crack]\MailBee WebMail Lite ASP 4.0 [Crack].zip"
-> Contain install.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\Network_Malware_Cleaner_1.9_[Crack]\Network_Malware_Cleaner_1.9_[Crack].zip"
-> Contain install.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\New_York_Times_Reader_1.0.1.0_(With_Crack)\New_York_Times_Reader_1.0.1.0_(With_Crack).zip"
-> Contain run.exe [868352] | with Bagle Crc32 : 48cae4e4

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\NOD32.Anti-Virus.System.Personal.v.2.51.26.Spanish.+.Crack.NOD.Fix.v.2.1\NOD32.Anti-Virus.System.Personal.v.2.51.26.Spanish.+.Crack.NOD.Fix.v.2.1.zip"
-> Contain serial.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\NoD32_All.language_for.XP_3.22.Vers+.CrAcK.by.LupUs\NoD32_All.language_for.XP_3.22.Vers+.CrAcK.by.LupUs.zip"
-> Contain crac.exe [864256] | with Bagle Crc32 : ae0e5dcf

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\PhotoUtil_1.1_(Crack)\PhotoUtil_1.1_(Crack).zip"
-> Contain serial.exe [864256] | with Bagle Crc32 : 4ca9d3ab

Bagle ! "C:\Users\Cedric\Downloads\eMule\Incoming\Recolte mulienne\RamActive_2.5_(Crack)\RamActive_2.5_(Crack).zip"
-> Contain patch.exe [864256] | with Bagle Crc32 : ae0e5dcf

################## | C:\Users\Cedric\Temporary Internet Files |

Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JAWYDMGD\b64_1[1].jpg
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JAWYDMGD\b64_1[2].jpg
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JAWYDMGD\b64_3[1].jpg
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\JAWYDMGD\file[1].txt
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\N8ASFM9G\b64[1].jpg
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\N8ASFM9G\b64_3[1].jpg
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\OA4WH8M4\b64_3[1].jpg
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\PYC90E6B\b64_3[1].jpg
Présent ! C:\Users\Cedric\Local Settings\Temporary Internet Files\Content.IE5\PYC90E6B\b64_6[1].jpg

################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\DateTime4]
Présent ! [HKCU\Software\MuleAppData]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\bisoft]
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\DateTime4]
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\FFC]
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\MuleAppData]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\key_generator]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\Local AppWizard-Generated Applications\key_generator]
Présent ! [HKU\S-1-5-21-1441434289-1321824199-1881768077-1001\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# (!) Uac = 0x0

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) windefend -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

# Présent ! E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## | ! Fin du rapport # FindyKill V5.001 ! |

Réponse 158 / 717

Utilisateur anonyme

Re Olivier ,

Thanks pour les remontées ;)

Comme tu le signale , izarce est mal branlé ( oué je sais , j suis vulgaire .;)) il est difficile a travailler mais est tres interessant ..

Je vais modifier des demain les chemin etc pour les detections .....

Demain j ai prevu une journée plage avec une amie histoire de profiter, avant new taff ;)

Mais je ferai les rectif en rentrant ..

Bonne idée que tu as eu en filtrant la taille des exe ça va raccourcir le temps de scan et c est tant meiux :)

Je te remercie pour m authoriser a exploiter fyks.exe , c est super sympa ;)

Pour sniffc , il faut que je fasse des tets mais si on peut arriver a une reparation je crois que , "la boucle sera bouclée" ;)

Je sais pas si je posterai demain soir mais au pire des cas dimanche apres midi .

Je te remercie pour tout ,.

Tu m a fais profiter de tes talents , peut etre qu un jours je te ferais profiter des miens (cuisinier)

Good night .

Réponse 159 / 717

moe

Salut à tous

Cédric, je viens de regarder de plus près aux procédures md5 et zip.
J'ai rencontré quelques soucis plus ou moins importants selon le type de test, le plus délicat à résoudre pour les *.exe étant un crash systématique de l'outil lorsqu'il rencontrait pendant le scan, des exe dont le nom contenait des parenthèses.

En modifiant ton code de cette façon, le problème semble résolu :

Ligne 922 : Call :Md5 "%%~dpa" "%%~nxa" >nul 2>nul )

Ensuite pour le label Md5 (les modifs sont en gras):

:Md5

if "%~1"=="" goto :eof
if "%~2"=="" goto :eof

set tfa=%~1
set tfa=%tfa:~0,-1%

FOR /f "tokens=1" %%g in ('tools\fsum.exe -s -md5 -jnc -d"%tfa%" "%~2"') do find /i "%%g"<Tools\RefMD5.def>nul &&(

del /F /Q /S "%tfa%\%~2"

if not exist "%tfa%\%~2" (
echo %Del% "%tfa%\%~2" >> %Rapport%
echo -^> Size : %%~za ^| Md5 : %%g >> %Rapport%
echo.>> %Rapport%
)
if exist "%tfa%\%~2" (
echo ^(!^) %NoDel% "%tfa%\%~2" >> %Rapport%
echo -^> Size : %%~za ^| Md5 : %%g >> %Rapport%
echo.>> %Rapport%
))

set tfa=
goto :eof

Concernant les zip j'ai bien peur que le problème dont je viens de m'apercevoir soit vraiment plus délicat à résoudre avec izarce.
Déjà première chose avant d'aborder ce sujet, vu que tu n'utilises plus le fichier $zip3, le lablel :CheckCrc32 devient inutile ainsi que l'appel ligne 924 qu'il lui ait fait et qu'il te faut modifier comme ceci :

Ligne 924 : if %%~za LEQ 5242880 ( Call :Crc32 "%%a" ))

Ensuite pour le label :Crc32 :

:Crc32

for /f "tokens=1,2,8" %%g in ('tools\IZARCE.exe -v "%~1" *.exe ^|find /i ".exe"') do (
find /i "%%i"<Tools\RefMD5.def>nul &&(
del /F /Q /S "%~1"
if not exist "%~1" (
echo.%Del%" %~1" >>%Rapport%
echo.-^> Contain %%g [%%h] ^| with Bagle Crc32 : %%i >>%Rapport%
echo.>>%Rapport%
) else (
echo.^(!^) %NoDel% "%~1" >>%Rapport%
echo.-^> Contain %%g [%%h] ^| with Bagle Crc32 : %%i >>%Rapport%
echo.>>%Rapport%
)
))
goto :eof

Sinon aucun zip ne pourra être détecté :-)

Ensuite, lorsque le nom de l'exe contenu dans l'archive dépasse un certain nombre de caractères, izarce affiche les infos sur deux lignes au lieu d'une, ce qui rends quasi impossible la récup simultanée du crc/taille/nom de l'exe et fausse donc la détection.
Fais un test chez toi avec des zip contenant key_generator.exe, install_crack.exe ou install_patch.exe ce sera plus parlant et tu verras que la détection échoue.

Bah sinon je n'ai rien remarqué d'autre qui puisse poser problème pour l'instant,
Plus généralement, ce serait peut-être pas mal d'avoir la détection des zip/04 aussi bien pendant le mode recherche que le mode suppression, non ?.
Concernant la/les 04, tu sais comme moi que c'est une copie de winupgro et que la taille de l'exe sera identique donc si tu veux mon avis, je pense que tu devrais filtrer les exe de plus de deux 1mo/2mo lorsque tu récupère leur chemin, ça t'éviterais de faire chauffer fsum pour rien :-) et tu y gagnerais aussi en temps global d'exécution.

Autre chose Cédric, hier je t'ai fait passer la source d'fyks et sache que si tu veux continuer de l'exploiter, il est à toi.
Tel quel et en alimentant le *.def régulièrement il fera le job pour les zip/rar et 04 sans soucis, idem pour les fichiers corrompus.

Je voulais voir avec toi , au sujet des fichiers corrompu , crois tu que nous pouvons incorporer un exe a cette maj pour soit signaler les exe ou mieux .... ou alors outrepasser ..

Bah je te fais passer SniffC là ou j'en suis resté...
C'est à dire détection+tentative de réparation auto des fichiers trouvés dans %windir%
Fais quelques tests sous vista et dis moi ça te conviens.
Il est possible ensuite, soit d'intégrer la réparation dans fyks ou soit de le laisser tel quel dans un module indépendant, à toi de voir.

Bonne fin de soirée et @++

Réponse 160 / 717

Utilisateur anonyme

Bonsoir tout le monde ,

Olivier ,

Oui j ai oser echox , c est trop génial ;)

Apres c est sur il faut pas en abuser .

Franchement je suis satisfait de cette maj , il y a surement des points a améliorer , mais dans l ensemble elle me plait .

Je te laisse lire le code et me donner ton avis , si tu vois des choses a corriger , bah dis le moi

Je voulais voir avec toi , au sujet des fichiers corrompu , crois tu que nous pouvons incorporer un exe a cette maj pour soit signaler les exe ou mieux .... ou alors outrepasser ..

Qu en penses tu ?

Bonne soire @ toutes & tous .

Discussions similaires

Traduction MOE/MOA

A quoi correspond 1GB de mémoire en MO ?

1 go = ? Mo

1 Mo, c'est combien de KO ?

1 mo fait combien de ko

Bagle - de chiki a moe

717 réponses

Votre réponse

Discussions similaires

Newsletters