Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3221 connectés 

 
 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Suivante
Page Précédente
Bas de page 
Auteur Sujet :

Rimouveur: efficace ou dangereux ?

n°1651471
balltrap34
Posté le 21-07-2004 à 21:59:21  profilanswer
 

Reprise du message précédent :
je voudrais rajouter je ne sais plus qui a dit a quoi sert un programme ou il vous faut demander a quelq un de competent de l aide
alors la je repond  
il en est de meme avec hijackthis ou il ne faut rien fixer sans un avis competent
ddlfix idem
et je pourrait en trouver d autres pourqu oi vous n en parlez pas de ceux la pourtant il ont une existence beaucoup plus grande que le rimouver

mood
Publicité
Posté le 21-07-2004 à 21:59:21  profilanswer
 

n°1655249
piouPiouM
insomniak
Posté le 25-07-2004 à 14:06:35  profilanswer
 

AxlRose a écrit :

il y a d'aillyeur quelques commandes dans le rimouveur puisque certaines clefs de démarrage systematiquement ajouter par Agobot(encore lui ...) sont purement et simplement supprimées, toutefois je voit certains venir avec leurs gros sabot je vous arrete de suite j'ai effectivement eu comme info comme quoi certaines applications non virales pouvaient etre a l'origine des clefs RunServices ... je n'ai toujourspas trouver d'applications qui les utilisent hors Agobot

Au risque de te décevoir, Agobot n'est pas le seul à utiliser la bdr afin de se rendre résidant et fréquement un malware ne se limite à la copie d'1 ou 2 fichiers ;)
 
Petite analyse pour l'exemple : (Date de téléchargement de Rimouver : 24/07/04)
J'ai pris au pif une des éradications proposé : celle de KWbot
Rimouver propose comme solution d'éradication de supprimer les fichiers suivant présent dans %SystemRoot%\system32\ :

  • mscidaemon.* (soit mscidaemon.com et mscidaemon.exe)
  • hrdf.dll
  • rgml.dll


Après une courte recherche il s'agit en effet du vers KWbot mais de 2 variantes seulement (W32/KWbot-B et W32/KWbot-H (Sophos)).
Le fichier mscidaemon.dll situé toujours dans le répertoire system de Windows n'est pas pris en compte par Rimouveur, pourtant présent dans les 2 cas.
 
Dans sa version W32/KWbot-H, le vers se copie dans les répertoires partagés de clients p2p sous les noms

  • MakeCash.exe
  • MSCHECK64.EXE
  • TASKMOON.EXE


Pour Rimouveur, ces derniers sont inconnus au bataillon laissant ainsi toute possibilité de propagation (et pourquoi pas de réinfection) [:canaille]
(Il en va de même pour la version W32/KWbot-G)
 
Bien évidement, une clé ajouté dans HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ n'est pas supprimée...
 
Vous affirmez que le Rimouver supprime le vers KWbot (il est nommé de manière générique), je trouve cela bien présomptueux au vu des multiples variantes (toujours en me basant sur Sophos).
En effet, parfois il se trouve que le Rimouver supprime certains éléments caractérisant certaines de ces variantes (2 en fait) mais pas dans ce but précis, il s'agit en fait d'une prise en considération "chanceuse" d'un autre malware.
 
Par exemple, le dossier %SystemRoot%\sCache32 présent dans la variante W32/KWbot-E est bien supprimé mais sera annoncé comme le vers SdBot (vous noterez encore une fois le nommage générique...)
 
Vous pourez dire "tant mieux, c'est mieux que ne rien détecter". Certes mais en fait le fichier %SystemRoot%\System32\xmw32.exe, le vers lui même, n'est pas supprimé donc Rimouver vous rassure en prétextant que vous êtes désinfectés alors que la réalité est toute autre [:mlc]
 
Au fait à quoi servait le dossier sCache32 ?
Un partage est créé au niveau de ce répertoire par le vers afin que les clients p2p le prenne en compte (des clés sont ajoutés dans la base de registre à cet effet) afin de se propager.
 
Donc si vous êtes infectés par W32/KWbot-E et que vous pensez en être débarassé suite à un passage de Rimouver, et bien non le vers est encore pleinement fonctionnel [:jofusion]
 
Au fait en se qui concerne la clé HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\, la variante W32/KWbot-A en ajoute justement une...
A oui, le Rimouver ne détecte pas cette variante ainsi qu'une autre et leurs copies partagées dans les répertoires destinés au p2p ;)
 
Je m'arrête là :D
 

balltrap34 a écrit :

mais alors que dire des anti virus qui laisse passer pas mal de choses
vous ne lesz descender pas en fleche

Tu ne m'as pas vu parler de Norton [:ddr555]
 
Certains remarqueront peut être que mon ancien post n'est plus. En effet hier je me suis apperçu que certains éléments étaient pris en compte par Rimouver alors que lors de ma recherche je ne les avaient pas vu (gt un peu occupé au même moment :P). D'où cette nouvelle version :D


Message édité par piouPiouM le 25-07-2004 à 17:09:13

---------------
o(^_^o) Gimp4you : tutoriels pour Gimp 2 | Galerie (o^_^)o
n°1665064
Mihai
Posté le 03-08-2004 à 05:29:35  profilanswer
 

Bonjour,
 
C'est quoi ce délire! Les auteurs et défenseurs de ce Rimouver, vous avez perdu tout bon sens!
 
De la lecture du fil de discussion, après avoir examiné le fichier bat, je retiens qu'il vaudrait mieux considérer ce programme comme un utilitaire dangereux, à ne surtout pas utiliser. Il est infiniment plus dangereux que les malveillances qu'il est supposé éradiquer. C'est un vrai Virus.bat
 
J'y vois un gros défaut de conception: la suppression pure et simple des fichiers soit-disant "suspects" sans aucune vérification de leur contenu, en se basant uniquement sur leur nom et leur localisation. Il aurait été bien plus intelligent de les renommer sur place en établissant une liste des fichiers renommés, de sorte que l'utilisateur puisse annuler l'opération pour certains fichiers qu'il trouverait légitimes.
 
Le contrôle d'un MD5 pour chaque fichier comme indiqué par un des auteurs de message est ridicule, parce que:
- il faudrait connaître les MD5 de tous les fichiers légitimes sous toutes les versions existantes,En,Fr,etc. ce qui est imposssible.
- ou connaître les MD5 de tous les fichiers "viraux" à supprimer.  
La seule modification d'un octet dans une zone inutilisée du fichier rendrait le MD5 inutilisable. Si vous avez déjà examiné le code hexa d'un fichier exe quelconque vous verrez que c'est bourré de zones inutilisées remplies de 00 hexa. Modifier un de ces octets ne changera rien à l'exécution du programme, mais modifiera le MD5. A oublier de toute façon!
 
Et je vais citer ici intégralement l'avis d'un expert en matière de sécurité, membre de l'ASAP:
 
"Je n'ai pas approfondi du tout la question car un batch, déjà, me semble pathétique. Aligner des "deltree" ou des rd et des del de fichiers, sans aucune possibilité de tests, comparaisons, vérifications, contrôles, confirmations manuelles, sauvegardes, droit à l'erreur etc. ... simplement basés sur l'emplacement et les noms des fichiers, parce que, lorsque le virus machin s'installe, il fait comme ça, me semble délirant. Collectionner les noms de fichiers et répertoires à supprimer et les mettre dans un batch, en écumant les bases de connaissances des éditeurs d'antivirus est une folie. Prétendre suppléer ces antivirus incapables de détruire ces fichiers en lançant le rimouver en mode sans échec alors que l'on se tue à dire qu'il faut lancer les antivirus et les anti-trojans en mode sans échec est un enfantillage. Le tout me semble un enfantillage.
 
On ne se base pas sur un nom de fichier mais sur son contenu pour déterminer son appartenance à un groupe ou à un autre. Se comparer à un antivirus est puant d'orgueil.
 
Ce truc est à proscrire absolument car même si le travail en lui-même mérite le respect, le résultat et le risque sont cataclysmiques."
 
Pour info, l'expert et moi-même sommes dans l'informatique depuis bien avant l'arrivée des premiers ordis individuels et forcément des PCs.
 
Allez les auteurs, retournez faire joujou avec vos consoles Nintendo et laissez donc les grands travailler en paix.
 
@+


Message édité par Mihai le 03-08-2004 à 19:24:06
n°1665960
Krapaud
Modérateur
Posté le 03-08-2004 à 20:59:00  profilanswer
 

fermeture du sujet pour cause de publicité concernant un logiciel effectivement reconnu comme néfaste.

n°1672513
Krapaud
Modérateur
Posté le 10-08-2004 à 15:38:40  profilanswer
 

réouverture pour cause de modifications du logiciel.
 

n°1672524
gatsusat
Posté le 10-08-2004 à 15:45:50  profilanswer
 

mdr, aller on ferme, aller on ouvre

n°1672525
tonypc03
Posté le 10-08-2004 à 15:47:08  profilanswer
 

gatsusat a écrit :

mdr, aller on ferme, aller on ouvre


c'est la fête  :lol:

n°1672526
Krapaud
Modérateur
Posté le 10-08-2004 à 15:47:34  profilanswer
 

hihi trop lol [:krapaud]
 
quelque chose à redire?

n°1672527
Ravana
Posté le 10-08-2004 à 15:48:07  profilanswer
 

Salut à tous !
 
Comme promis et en avance, voici une version amélioré du Rimouveur.exe :)
 
 - Ajout d'un Disclaimer :)
 - Déplacement et non Suppression des fichiers litigieux
 - Ajout d'un Module de téléchargement d'Update (avec wget pour ceux qui connaissent :))
 - et d'autre petites fonctionnalités :D
 
Voulant faire plaisir à tous le monde, nous avons essayé de rester le plus fidèle à vos remarques :D
 
Effectivement, nous n'avons pas inclut de hachage MD5... (le débat reste entier :D: )
 
Voici le code du Disclaimer.bat (qui installe le Rimouveur.exe)
 
 

Code :
  1. @ECHO Off
  2. CLS
  4. TITLE Rimouveur 1.2.4
  5. COLOR 2F
  7. REM -------------------------------------------------------------------------------------------------------- Disclaimer -----
  9. :debut
  10. cls
  11. echo.
  12. echo                                  RIMOUVEUR
  13. echo.
  14. echo Avant propos :
  15. echo --------------
  16. echo Cet outil est la propriete intellectuelle de RAVEL (http://www.renonce.com),
  17. echo nous declinons toutes responsabilites dans le cas ou des dommages seraient
  18. echo cause a votre systeme. Le but de cet outil est de nettoyer votre PC des
  19. echo infections d'origine virale dont vous pourriez etre victime. Les fichiers,
  20. echo dossiers que nous enlevons de votre systeme ne sont pas supprime a l'exception
  21. echo des elements temporaires, tout autre element detecter par le Rimouveur sera
  22. echo deplacer dans le dossier quarantaine qui se trouve dans le repertoire
  23. echo d'installation. En acceptant ces conditions, vous prenez connaissance que le
  24. echo Rimouveur est un programme et qu'il s'installera sur votre PC dans le dossier
  25. echo X:\Program Files\Rimouveur. Si vous constatez des dysfonctionnements, des
  26. echo erreurs ou des ameliorations a y apporter, merci de nous ecrire a :
  27. echo                             bugtraq@renonce.com
  28. echo.
  29. echo Compatibilite :
  30. echo ---------------
  31. echo Cet outil est compatible UNIQUEMENT avec :
  32. echo   Windows XP (toutes versions Francaises)
  33. echo   Windows 2000 (toutes versions Francaises)
  34. echo.
  35. echo A ne pas utiliser avec les systemes suivants :
  36. echo   Windows 3.x
  37. echo   Windows 9x
  38. echo   Windows Me
  39. echo   Windows NTx
  40. echo   Linux, Unix, MacOS ... :o)
  41. echo Autres versions serveur et versions n'etant pas en Francais
  42. echo.
  43. echo Utilisation :
  44. echo -------------
  45. echo Vous devez lancer cet outil en mode normal avec une connexion Internet activee,
  46. echo suivez ensuite les instructions que vous aurrez a l'ecran.
  47. echo.
  48. echo.
  50. SET choice=/p choice
  51. SET %choice%=Acceptez-vous les conditions ? (o/n) :
  52. if "%choice%"=="o" goto install
  53. if "%choice%"=="n" goto denied
  54. goto debut
  55. :denied
  56. rd /S /Q Rimouveur
  57. del Rimouveur.exe
  58. exit
  60. REM ------------------------------------------------------------------------------------------------------ Installation -----
  62. :install
  63. cls
  64. SET Rimouveur="%ProgramFiles%\Rimouveur"
  66. if exist %Rimouveur% goto maj
  67. goto Setup
  68. :maj
  69. RD /S /Q %Rimouveur%
  70. RD /S /Q "%SystemDrive%\Docume~1\AllUse~1\MenuDm~1\Progra~1\Rimouveur"
  71. :fin
  73. :Setup
  74. mkdir %Rimouveur%
  75. copy /Y Rimouveur "%ProgramFiles%\Rimouveur\"
  76. mkdir "%SystemDrive%\Docume~1\AllUse~1\MenuDm~1\Progra~1\Rimouveur"
  77. copy /Y "Rimouveur\Rimouveur" "%SystemDrive%\Docume~1\AllUse~1\MenuDm~1\Progra~1\Rimouveur\"
  78. rd /S /Q Rimouveur
  79. del /F Rimouveur.exe
  80. :fin
  82. :demande
  83. cls
  84. echo.
  85. echo.
  86. echo *******************************************************************************
  87. echo *                                                                             *
  88. echo *                       Installation faite avec succes !                      *
  89. echo *                                                                             *
  90. echo *******************************************************************************
  91. echo.
  92. echo.
  93. goto rimouveur
  94. SET choice=/p choice
  95. SET %choice%=Voulez-vous lancer le fichier lisez-moi.htm ? (o/n) :
  96. if "%choice%"=="o" goto lisezmoi
  97. if "%choice%"=="n" goto rimouveur
  98. goto demande
  99. :lisezmoi
  100. START /I "%ProgramFiles%\Rimouveur\Lisez-moi.htm"
  102. :rimouveur
  103. echo.
  104. SET choice=/p choice
  105. SET %choice%=Voulez-vous lancer le Rimouveur ? (o/n) :
  106. if "%choice%"=="o" goto execute
  107. if "%choice%"=="n" goto end
  108. goto rimouveur
  109. :execute
  110. CD \
  111. CD %ProgramFiles%
  112. CD Rimouveur
  113. START /I Lanceur.bat
  114. :end
  115. exit


 
Voici le nouveau lanceur :
 

Code :
  1. @ECHO Off
  3. TITLE Rimouveur 1.2.4
  4. COLOR 2F
  6. REM ------------------------------------------------------------------------------------------------------ Préparation -----
  8. CD \
  9. del /S /F Disclaimer.bat
  10. CD "%ProgramFiles%\Rimouveur"
  12. mkdir "DAT_File"
  13. mkdir "Quarantaine\Documents and Settings"
  14. mkdir "Quarantaine\Program Files"
  15. mkdir "Quarantaine\Windows\System32\Config\SystemProfile\Local Settings\Temporary Internet Files\Content.IE5"
  16. mkdir "Quarantaine\Windows\Downloaded Program Files"
  17. mkdir "Quarantaine\Windows\Fonts"
  18. mkdir "Quarantaine\Windows\LastGood"
  19. mkdir "Quarantaine\Windows\Medias"
  20. mkdir "Quarantaine\Windows\Msagent"
  21. mkdir "Quarantaine\Windows\Prefetch"
  22. mkdir "Quarantaine\Windows\System"
  23. mkdir "Quarantaine\Windows\System32\Wins"
  24. mkdir "Quarantaine\Windows\System32\Drivers\etc"
  25. mkdir "Quarantaine\Windows\tasks"
  27. if exist %SystemRoot%\Prefetch goto XP
  28. goto next
  30. :XP
  31. sc stop srservice
  32. sc config srservice start= disabled
  33. goto next
  35. :next
  36. regedit.exe /s Rimouve.reg
  37. copy /Y msconfig.exe %SystemRoot%\system32
  38. del /F msconfig.exe
  40. reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices /FORCE
  41. reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices /FORCE
  43. REM -------------------------------------------------------------------------------------------- Mise à jour du Rimouveur ---
  45. cls
  46. echo Mise a jour en cours ...
  47. echo.
  48. echo ***********************************************************************
  49. echo.
  51. wget -c ftp://www.renonce.com/pub/renonce [...] mfiles.dat -P DAT_File
  52. cls
  53. echo Mise a jour en cours ...
  54. echo.
  55. echo Fichier DAT programfiles.dat OK.
  56. echo.
  57. echo ***********************************************************************
  58. echo.
  60. wget -c ftp://www.renonce.com/pub/renonce/DAT_File/system.dat -P DAT_File
  61. cls
  62. echo Mise a jour en cours ...
  63. echo.
  64. echo Fichier DAT programfiles.dat OK.
  65. echo Fichier DAT system.dat OK.
  66. echo.
  67. echo ***********************************************************************
  68. echo.
  70. wget -c ftp://www.renonce.com/pub/renonce [...] stem32.dat -P DAT_File
  71. cls
  72. echo Mise a jour en cours ...
  73. echo.
  74. echo Fichier DAT programfiles.dat OK.
  75. echo Fichier DAT system.dat OK.
  76. echo Fichier DAT system32.dat OK.
  77. echo.
  78. echo ***********************************************************************
  79. echo.
  81. wget -c ftp://www.renonce.com/pub/renonce [...] mdrive.dat -P DAT_File
  82. cls
  83. echo Mise a jour en cours ...
  84. echo.
  85. echo Fichier DAT programfiles.dat OK.
  86. echo Fichier DAT system.dat OK.
  87. echo Fichier DAT system32.dat OK.
  88. echo Fichier DAT systemdrive.dat OK.
  89. echo.
  90. echo ***********************************************************************
  91. echo.
  93. wget -c ftp://www.renonce.com/pub/renonce [...] emroot.dat -P DAT_File
  94. cls
  95. echo Mise a jour en cours ...
  96. echo.
  97. echo Fichier DAT programfiles.dat OK.
  98. echo Fichier DAT system.dat OK.
  99. echo Fichier DAT system32.dat OK.
  100. echo Fichier DAT systemdrive.dat OK.
  101. echo Fichier DAT systemroot.dat OK.
  102. echo.
  103. echo ***********************************************************************
  104. echo.
  106. wget -c ftp://www.renonce.com/pub/renonce [...] rofile.dat -P DAT_File
  107. cls
  108. echo Mise a jour en cours ...
  109. echo.
  110. echo Fichier DAT programfiles.dat OK.
  111. echo Fichier DAT system.dat OK.
  112. echo Fichier DAT system32.dat OK.
  113. echo Fichier DAT systemdrive.dat OK.
  114. echo Fichier DAT systemroot.dat OK.
  115. echo Fichier DAT userprofile.dat OK.
  116. echo.
  117. echo ***********************************************************************
  118. echo.
  119. echo Mise a jour OK.
  120. echo.
  121. echo.
  122. echo Le PC vas s'eteindre tout seul, veuillez le relancer en mode sans echec !
  123. echo Pour acceder au mode sans echec :
  124. echo Demarrer le PC, puis tapoter sur la touche [F8]
  125. echo.
  126. echo.
  127. PAUSE
  128. shutdown -s -f -t 00
  129. exit


 
et voilà le moteur :
 
 

Code :
  1. @echo off
  3. TITLE Rimouveur 1.2.4
  4. COLOR 2F
  6. REM ----------------------------------------------------------------------------------------------------------- Variables ---
  8. C:
  9. CD \
  10. CD "%ProgramFiles%\Rimouveur"
  12. SET Move="%ProgramFiles%\Rimouveur\Quarantaine\"
  13. SET Move2="%ProgramFiles%\Rimouveur\Quarantaine\Windows\"
  14. SET Move3="%ProgramFiles%\Rimouveur\Quarantaine\Windows\System32\"
  15. SET Move4="%ProgramFiles%\Rimouveur\Quarantaine\Documents and Settings\"
  16. SET Move5="%ProgramFiles%\Rimouveur\Quarantaine\Windows\System\"
  17. SET Move6="%ProgramFiles%\Rimouveur\Quarantaine\Program Files\"
  19. REM ------------------------------------------------------------------------------------------------- Nettoyage du System ---
  21. :start
  22. cls
  23. SET choice=/p choice
  24. SET %choice%=Voulez-vous reinscrire les DLL d'IE et du service de cryptographie ? (o/n) :
  25. if "%choice%"=="o" goto dll
  26. if "%choice%"=="n" goto suite
  27. goto start
  29. :dll
  30. echo Reinscription des DLL d'IE et du service de cryptographie
  32. regsvr32 softpub.dll /s
  33. echo softpub.dll OK.
  35. regsvr32 initpki.dll /s
  36. echo initpki.dll OK.
  38. regsvr32 dssenh.dll /s
  39. echo dssenh.dll OK.
  41. regsvr32 rsaenh.dll /s
  42. echo rsaenh.dll OK.
  44. regsvr32 gpkcsp.dll /s
  45. echo gpkcsp.dll OK.
  47. regsvr32 sccbase.dll /s
  48. echo sccbase.dll OK.
  50. regsvr32 slbcsp.dll /s
  51. echo slbcsp.dll OK.
  53. regsvr32 cryptdlg.dll /s
  54. echo cryptdlg.dll OK.
  56. regsvr32 scrrun.dll /s
  57. echo scrrun.dll OK.
  59. regsvr32 msxml.dll /s
  60. echo msxml.dll OK.
  62. regsvr32 urlmon.dll /s
  63. echo urlmon.dll OK.
  65. regsvr32 mshtml.dll /s
  66. echo mshtml.dll OK.
  68. regsvr32 shdocvw.dll /s
  69. echo shdocvw.dll OK.
  71. regsvr32 browseui.dll /s
  72. echo browseui.dll OK.
  74. regsvr32 msjava.dll /s
  75. echo msjava.dll OK.
  77. regsvr32 actxprxy.dll /s
  78. echo actxprxy.dll OK.
  80. regsvr32 iepeers.dll /s
  81. echo iepeers.dll OK.
  83. regsvr32 wintrust.dll /s
  84. echo wintrust.dll OK.
  86. cls
  87. :suite
  88. echo Suppression des fichiers Temporaire
  90. rd /Q /S %SystemRoot%\Temp
  91. mkdir %SystemRoot%\Temp
  93. rd /Q /S "%UserProfile%\Local Settings\Temp"
  94. mkdir "%UserProfile%\Local Settings\Temp"
  96. cls
  97. echo Suppression des fichiers Temporaire d'Internet Explorer
  99. del /F /Q /A /S "%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.jpg"
  100. del /F /Q /A /S "%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.txt"
  101. del /F /Q /A /S "%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.htm"
  102. del /F /Q /A /S "%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.html"
  103. del /F /Q /A /S "%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.gif"
  104. del /F /Q /A /S "%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.png"
  105. del /F /Q /A /S "%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.bmp"
  106. del /F /Q /A /S "%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.exe"
  107. del /F /Q /A /S "%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.bat"
  108. del /F /Q /A /S "%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.com"
  109. del /F /Q /A /S "%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.zip"
  110. del /F /Q /A /S "%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\*.rar"
  111. del /F /Q /A "%UserProfile%\Cookies\*.txt"
  113. if exist %SystemRoot%\System32\catroot2 goto catroot2
  114. goto fin
  115. :catroot2
  116. echo Nettoyage des elements temporaire du Systeme
  117. rd /S /Q %SystemRoot%\System32\catroot2
  118. move /Y %SystemRoot%\System32\catroot2 ""
  119. cls
  120. :fin
  122. if exist %SystemDrive%\WUTemp goto wutemp
  123. goto fin
  124. :wutemp
  125. echo Nettoyage des elements temporaire du Systeme
  126. rd /S /Q %SystemDrive%\WUTemp
  127. cls
  128. :fin
  130. if exist %SystemRoot%\LastGood goto lastgood
  131. goto fin
  132. :lastgood
  133. echo Nettoyage des elements temporaire du Systeme
  134. rd /S /Q %SystemRoot%\LastGood
  135. mkdir %SystemRoot%\LastGood
  136. cls
  137. :fin
  139. if exist %SystemRoot%\Prefetch goto Prefetch
  140. goto fin
  141. :Prefetch
  142. echo Nettoyage des elements temporaire du Systeme
  143. del /F /Q /A %SystemRoot%\Prefetch\*.pf
  144. cls
  145. :fin
  147. if exist %SystemRoot%\System32\Config\Systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat" goto contentie5
  148. goto fin
  149. :contentie5
  150. echo Nettoyage des elements temporaire du Systeme
  151. attrib /S /D -R -A -S -H "%SystemRoot%\System32\Config\Systemprofile\Local Settings\Temporary Internet Files\*"
  152. del /F /Q /A /S "%SystemRoot%\System32\Config\Systemprofile\Local Settings\Temporary Internet Files\Content.IE5\*.exe"
  153. rd /S /Q "%SystemRoot%\System32\Config\Systemprofile\Local Settings\Temporary Internet Files\Content.IE5"
  154. cls
  155. :fin
  157. :qhost
  158. cls
  159. SET choice=/p choice
  160. SET %choice%=Voulez-vous remplacer le fichier hosts par une version saine ? (o/n) :
  161. if "%choice%"=="o" goto hosts
  162. if "%choice%"=="n" goto suite
  163. goto qhost
  165. :hosts
  166. echo Nettoyage du fichier hosts
  167. attrib -r -a -s -h "%SystemRoot%\System32\Drivers\etc\hosts"
  168. move "%SystemRoot%\System32\Drivers\etc\hosts" "%ProgramFiles%\Rimouveur\Quarantaine\Windows\System32\Drivers\etc\"
  169. copy /Y "hosts" "%SystemRoot%\System32\Drivers\etc\"
  170. attrib +r +a +s +h "%SystemRoot%\System32\Drivers\etc\hosts"
  172. :suite
  173. CD "DAT_File"
  175. REM -------------------------------------------------------------------------------------------------------------- Engine ---
  177. :Engine
  178. for /f %%a in (systemdrive.dat) do If exist "%SystemDrive%\%%a" move /Y "%SystemDrive%\%%a" %Move%
  180. :Engine2
  181. for /f %%b in (systemroot.dat) do If exist "%SystemRoot%\%%b" move /Y "%SystemRoot%\%%b" %Move2%
  183. :Engine3
  184. for /f %%c in (system32.dat) do If exist "%SystemRoot%\System32\%%c" move /Y "%SystemRoot%\System32\%%c" %Move3%
  186. :Engine4
  187. for /f %%d in (userprofile.dat) do If exist "%UserProfile%\%%d" move /Y "%UserProfile%\%%d" %Move4%
  189. :Engine5
  190. for /f %%e in (system.dat) do If exist "%SystemRoot%\System\%%e" move /Y "%SystemRoot%\System\%%e" %Move5%
  192. :Engine6
  193. for /f %%f in (programfiles.dat) do If exist "%ProgramFiles%\%%f" move /Y "%ProgramFiles%\%%f" %Move6%
  194. :fin
  196. REM ---------------------------------------------------------------------------------------------------- Fin de Programme ---
  198. CD ..
  199. dir /B /A /S /O "Quarantaine\*.*" > Resultat.txt
  200. copy /Y "%SystemRoot%\System32\msconfig.exe" "%ProgramFiles%\Rimouveur\msconfig_copie.exe"
  201. copy /Y "%SystemRoot%\System32\taskmgr.exe" "%ProgramFiles%\Rimouveur\taskmgr_copie.exe"
  202. copy /Y "%SystemRoot%\System32\services.msc" "%ProgramFiles%\Rimouveur\services_copie.msc"
  203. copy /Y "%SystemRoot%\regedit.exe" "%ProgramFiles%\Rimouveur\regedit_copie.exe"
  205. if exist "%SystemRoot%\Prefetch" goto XP
  206. goto next
  207. :XP
  208. regedit.exe /s Service.reg
  209. :fin
  210. :next
  211. regedit.exe /s Explore.reg
  212. cls
  213. echo.
  214. echo.
  215. echo.
  216. echo ****************************************************************
  217. echo *                                                              *
  218. echo *    Le resultat de la mise en quarantaine se trouve dans,     *
  219. echo *    %ProgramFiles%\Rimouveur\Resultat.txt                   *
  220. echo *                                                              *
  221. echo *     ---------------------------------------------------      *
  222. echo *                                                              *
  223. echo *    Si certain programmes sont encore indisponibles,          *
  224. echo *    des copies avec un nom modifie sont disponibles dans :    *
  225. echo *    %ProgramFiles%\Rimouveur\                               *
  226. echo *      - msconfig_copie.exe                                    *
  227. echo *      - taskmgr_copie.exe                                     *
  228. echo *      - regedit_copie.exe                                     *
  229. echo *      - services_copie.msc                                    *
  230. echo *                                                              *
  231. echo *      ----------------------------------------------------    *
  232. echo *                                                              *
  233. echo *           Vueillez redemarrer le PC en mode normal           *
  234. echo *                                                              *
  235. echo ****************************************************************
  236. echo.
  237. echo.
  238. PAUSE
  239. START /I Explorer.exe
  240. exit


 
Pour ceux qui voulait voir le code, c'est chose faite :D
 
Nous avons aussi bien avancé sur la version Win32, donc vous aurez bientôt la possibilité de la tester :D
 
Bien à vous,
 
Merci à Krapaud pour la réouverture du topics  :bounce:


---------------
RENONCE Ravana
n°1672528
tonypc03
Posté le 10-08-2004 à 15:51:08  profilanswer
 

krapaud a écrit :

hihi trop lol [:krapaud]
 
quelque chose à redire?


désolé  :(  ( je recommencerai plus à me moquer des modos, promi :ange: )


Message édité par tonypc03 le 10-08-2004 à 15:51:30
mood
Publicité
Posté le 10-08-2004 à 15:51:08  profilanswer
 

n°1675505
Ravana
Posté le 13-08-2004 à 16:15:33  profilanswer
 

Salut à tous !
 
Voilà encore des news du Rimouveur.exe  :D:  
 
Nous avons ENCORE rechanger le moteur !!!!
 
Nous sommes entrain d'intégré le hachage MD5 :o)
 
Il n'y a qu'un seul petit soucis... Il nous manque la base de donnée des fichiers malwares avec leurs hachages.... Certes il y a les sites d'AV mais cela prends bcp de tps de tous recopier...
DONC (:-p) si quelqu'un à déjà une base ou qui connait un site qui répertorie les informations suivantes:
 - Chemin absolu du fichiers virus
 - le nom du fichiers virus
 - le hachage MD5
 - le nom du virus
nous sommes preneurs :)
 
Je suis en train de finaliser la customisation d'un PHPBB pour RAVEL :)
 
A très bientôt,
 


---------------
RENONCE Ravana
n°1676107
el muchach​o
Comfortably Numb
Posté le 14-08-2004 à 10:25:05  profilanswer
 

Ravana a écrit :

ROFL²
 
Si mon explication est capilotracté vos arguments sont intellectuellement limités....
 
Si PC Cillin ou Sophos supprimme nwiz.exe.... vous pensez koi?
 
Ce que je comprends pas où se trouve le soucis... mais bon....
 
Nous ne nous sommes jamais donné le titre d'expert, d'ailleurs je vous le laisse car visiblement vous maitrisez mieux les virus :D
 
Il est effectivement clair que la suppression de fichiers SYSTEME est dangereuse !!!! mais le rimouveur ne le fait pas.... CQFD :)
 
Ce que je vous propose, c'est de le tester au lieu de parler....
Editer le code ! faites ce que vous voulez avec !
Aidez nous à l'améliorer ! nous ne demandons que ça et malgré ce que je ne sais plus qui a dit : nous sommes ouvert à toute critiques JUSTEMENT !!!


 
A mon avis, le mieux serait de laisser le choix à l'utilisateur. Pour les fichiers où vous avez un doute (ceux pour lesquels vous vous êtes posé quelques questions), mieux vaut sortir un message expliquant les risques, comment déterminer si le fichier est valable ou non, et lui laisser le choix, avec la possibilité de le sauvegarder dans un fichier txt pour les scans suivants.
Parce que détruire un fichier valable est souvent pire que ce que font de nombreux virus.


---------------
Les aéroports où il fait bon attendre, voila un topic qu'il est bien
n°1723824
taroudan
Posté le 17-09-2004 à 18:08:19  profilanswer
 

Bonjour Ravana,
 
J’ai utilisé le Rimouveur le 14 septembre et, pour ma part, j’aurais 2 suggestions : Serait-il possible d’ajouter un mode d’emploi à ce programme et de faire en sorte que toute alternative soit possible ?
En attendant, serait-il possible de m’aider pour que je puisse annuler toutes les modifications qui ont été apportées par ce programme ?  
D’ores et déjà, je dois préciser que je n’ai que très peu de compétences en informatique.
 
Toutes les vérifications faites de ma machine ont révélé un ordinateur propre. Toutefois, des noms plus que douteux apparaissent dans la base de registre dont certains sont tenus en respect par SpywareBlaster.  
C’est pourquoi, j’ai tenté le Rimouveur.
 
Sans introduction de déroulement, ce programme part très vite à l’œuvre. Il a commencé par radicalement supprimer un fichier; je n’ai eu que le temps de lire le mot mapi, car écrit en majuscule.
Successivement, il demande si j’accepte de réinscrire les Dll d’IE et du service de cryptographie (énumération pour laquelle je n’ai le temps de noter que la première Dll) et de remplacer le fichier hosts par une page vierge. Mon incompétence me fait répondre non, même si…
A la troisième question concernant le nettoyage de la BDR, j’ai répondu oui.
Il a placé en quarantaine 5 fichiers détectés :
- C:\*.exe (suspicion de virus Fichier)
- C:\win*.log (suspicion de virus Sasser)
- C:\WINDOWS\*.tmp (suspicion de virus MiMail/Troyan)
- C:\WINDOWS\autoclk.exe (suspicion de virus Troyan.KillReg)
- C:\WINDOWS\System32\Drivers\*.exe (suspicion de virus Fichier)
 
Concernant ce qu’il a supprimé et mis en quarantaine, mystère.
MAPI : j’utilise Outlook Express. Est-ce en rapport ?
autoclk.exe : cela concerne t-il le sagem800 fourni par mon FAI ?
Win*.log : De quoi s’agit-il ? Les Maj / correctifs sont faits autant que de besoin.
Les tmp… Lequel ? Ce n’est pas vraiment ceux que l’on garde, mais certains sont essentiels !  
Ce qui n’est pas drôle, c’est la modif’ sur UN driver. Il se pourrait que ce soit celui de l’appareil photo.
Comment savoir, puisque les indications sont * ?
 
Concernant la sauvegarde, c’est un peu flou pour moi. Le Rimouveur dit : Si certains programmes sont encore indisponibles, des copies avec un nom modifié sont disponibles dans : C:\ProgramFiles\Rimouveur\    
- msconfig_copie.exe  
- taskmgr_copie.exe  
- regedit_copie.exe  
- services_copie.msc
Serait-ce là un retour possible et si oui, comment procéder ?
 
J’ai constaté la suppression du "Freecell", seul jeu que j’avais laissé et que je m’autorise occasionnellement ! Y aurait-il un rapport avec "Free Solitaire" identifié comme embarquant le spyware Radiate/Aureate ?
Autre constatation : le convertisseur euro a été placé en quarantaine et je peux l’y utiliser. Où est le bon sens ?  
Je ne souhaite pas tout mettre sur le compte de Rimouveur, mais je constate maintenant un souci pour vider la corbeille : "erreur lors de la suppression du fichier ou du dossier – Impossible de lire à partir du fichier ou de la disquette source". J’y parviens uniquement en sélectionnant ce qui s’y trouve, puis suppr.
 
En résumé, je n’ai rien compris à ce qu’a fait Rimouveur, mais puisqu’il ne s’agit que de suspicions, je préfère récupérer ce qui existait. J’apprécierais beaucoup un coup de main et si je peux contribuer à l’amélioration de ce programme, ce sera avec plaisir.
 
Cordialement

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Suivante
Page Précédente
Haut de page 

Aller à :
Ajouter une réponse
 

Sujets relatifs
Logiciel stay connected. Efficace ?????Antivirus efficace: McAffe virus scan 8.0 et antiviruskit pro 11 ?????
Recherche anti-popup / anti-banner efficace et facileService Pack 1a : indispensable ? dangereux ? precaution a prendre ?
Le firewal de windows xp es-t-il efficace???mirmail! si le pc est infecté Zone Alarm est-il efficace ?
Speedfan 4.10, c'est dangereux.Outlook 2003 : filtre de courrier indésirable de - en - efficace
Moyen efficace pour lutter contre les Bl@st , Agobot et compagnie ?Zone alarm trop efficace
Plus de sujets relatifs à : Rimouveur: efficace ou dangereux ?

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.159 secondes

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)