Assiste.Forums

[bay]

IMPORTANT: Lire complètement ce sujet. Certains remèdes peuvent être pires que le mal!!
Ceci a été ajouté par Vazkor


Notes importantes:[/u] ajoutées également par Vazkor .
1. new_uninstall pour Lop.com et Mysearch Now a été testé par moi-même sur un système sain. Il peut être dangereux: Effacement des signets et préférences de Mozilla! Donc faire un backup complet de son système avant de l'utiliser - Vazkor.

[Gargantua]

Salut Bay,

Excuse je suis un peu perdu, l'interêt de uninstall je l'ai suivi sur un autre post concernant mozilla et script proxy, mais peux tu préciser les avantages d'utiliser ce type de programme.

Je ne connaissais que total uninstall : est ce la même chose ?
Je l'avais utilisé, mais je suppose que ça m'avait scratché mon ordinateur (j'avais dû formater après le big bang).

Merci.

[bay]

Bonsoir , ces uninstall sont propres à certains hijacking et eliminent les parasites correspondant , ils sont en général renseignés par l'installateur du hijacking ( en principe ! c'est obligatoire aux USA , il faut renseigner la manière de supprimer le logiciel)

L'idéal est de les lancer avant toutes actions de modifications de clés dans le registre .

Cette methode du bistouri permet de faire une eradication rapide du problème , un exemple sur le forum de PCA et sur le forum d'assiste.com , il faut bien repérer le problème

[Gargantua]

Salut Bay,

Merci de nous rappeler ces adresses.

Mais, il faut se méfier de ces uninstall fournis par ces sites mécréants:

Voir ici mes déconvenues à en utiliser un, celui de Lop.com , c'est ici dans le post de Gilbert de lunel 34 Demande d'analyse d'un log HiJackThis

ça peut te supprimer, entre autres, ta protection du port 135.


[Edité par Vazkor. Il fallait lire Lop.com et non New.Net]

[bay]

Bonjour, je crois que ton problème de desinstallation de NewNet est propre à certains FAI qui l'utilisent dans leur pack d'installation ( je suppose que tu as installé un pack d'un fai ) l'éradication n'en tient effectivement pas compte .

[Gargantua]

Salut Bay,

En fait, non. Rien à voir avec le F.A.I.

Je n'avais pas le New-Net sur mon ordinateur. Au fait, ce n'est pas du New-Net mais du lop.com dont je voulais parler auparavant (je vais essayer de rééditer mon post) [c'est fait. Je m'en suis occupé - Vazkor].

Je vais m'expliquer un peu mieux.

Je n'avais pas le parasite lop.com sur ma machine, mais j'ai voulu vérifier si je ne l'avais pas.

J'ai donc téléchargé le fichier de Vazkor sur Cjoint.com

Bonjour,

J'ai téléchargé le new_uninstall.exe de Lop.com (83 Ko)
Je l'ai renommé en lop_new_uninstall.exe pour que l'on s'y retrouve plus facilement.
Tu le trouveras sur Cjoint, où il est disponible pendant 14 jours maximum:
http://cjoint.com/?itonmhx0fe

Une fois le programme lancé, il ne m'a rien trouvé, tant mieux, mais il a corrigé, enfin dirons nous il m'a corrigé ...

J'ai eu mon port 135 (qui était verrouillé par Zebprotect) déverrouillé !!!
J'ai voulu lancer ma messagerie mozilla: plus de mails, plus de paramètres de mon compte (enfin j'ai pu les récupérer...en douce)
J'ai voulu vérifier si mon hosts était toujours protégé par zône alarme, neni, même avec la fonction cochée, il est modifiable. J'ai dû le mettre en lecture seule via spybot.

Donc, je disais méfiance avec ce type de désinstallateur !

[bay]

Bonjour Gargantua, je vais verifier la desinstallation avec TotalUninstall , qui vas me communiquer les changements dans la base de registre , mais je ne sais le verifier que sur W98 !

[Vazkor]

Bonjour à tous,

Gargantua,

Me sentant un tout petit peu responsable d'avoir fourni le lien vers cet outil, j'y ai jeté un méchant coup d'oeil.
D'abord avec mon éditeur hexadécimal habituel (UltraEdit), puis avec toute ma panoplie d'apprenti-hacker: FileAlizer, Scanbin et puis le HackMan Disassembler.

Il n'y a rien à découvrir dans le code. Pas la moindre ligne de texte ou de commentaire qui dit ce que fait ce programme. On voit seulement à la fin une mention de Kernel32.dll. Tout le reste est illisible!
Il me reste encore d'autres outils, tels que W32DASM et SoftIce, mais je ne pense pas que ce soit la peine. Faut dire aussi que j'ai un peu perdu l'habitude de faire joujou avec ces engins-là.

Tout est fait pour qu'on ne voie pas l'action de ce programme de désinstallation. Il doit remettre les valeurs par défaut des clés et dossiers qu'il a hijackés. Il ne pourrait faire autrement, puisque l'installation ne crée sûrement pas de log. D'où tes déconvenues.

Oui, utiliser un programme fourni par les hijackers eux-mêmes c'est un peu conclure un pacte avec le diable en personne.
Donc il ne faut surtout pas l'utiliser pour voir sur un système non infecté, à moins que d'avoir fait un backup complet de son système.

Bay,
Est-ce que Total Uninstall tient vraiment ses promesses? Est-ce qu'il remet effectivement tout en place?

@+

[Vazkor]

Bonsoir,

Après avoir vérifié que j'avais bien une sauvegarde de mon profil Mozilla et de ma BDR, j'ai quand même testé ce new_uninstall de Lop.com (que j'avais mis sur cjoint sous le nom Lop_new_uninstall.exe).

Garguanta a bien raison. Le remède peut être pire que le mal!

Je dois dire qu'au lancement, j'ai eu tout de suite un message me demandant d'inscrire des chiffres à peine lisibles (test de Turing) pour lancer le programme. On ne peut donc pas le lancer distraitement. OK!
J'ai eu ensuite un message me disant qu'il n'y avait pas de composant CMédia et me demandant si je voulais poursuivre pour enlever des traces éventuelles de Lop.com, ce que j'ai accepté pour voir.

Regardez donc ce que cette saloperie a fait à mon système. Heureusement que j'étais averti et que je m'y étais préparé.

System Changes Report: Lop_uninstall
==========================================
generated by System Mechanic SafeInstaller
vendredi, août 20, 2004 05:18 PM
System modifcations tracked via: Disk contents comparison
Drives Tracked: C:\

FILES AND DIRECTORIES ADDED: (1) Et pourquoi donc?
C:\WINNT\system32\Perflib_Perfdata_398.dat Je ne retrouve pas ce fichier dat. Aurait-il été utilisé temporairement par System Mechanic, c'est possible.

FILES AND DIRECTORIES DELETED: (2)
%APPDATA%\Mozilla\Profiles\default\m***.slt\bookmarks.html
%APPDATA%\Mozilla\Profiles\default\m***.slt\prefs.js
J'ai effectivement perdu tous mes signets et mon profil. Mon Mozilla après cela était aussi net que si je venais de l'installer sur un système tout propre où il n'y aurait eu aucun favori de IE a récupérer. Une vraie tornade blanche dévastatrice pour celui qui n'est pas prévenu! Les autres fichiers étaient heureusement restés en place. C'est déjà réparé avec mon backup, heureusement, parce que je connais très bien le fonctionnement de Mozilla.
Contrairement à l'expérience de Gargantua, je n'avais pas perdu ma messagerie (différence entre W2k et Win98 sans doute)

FILES CHANGED: (38)
Alors là, je me demande bien pourquoi le désinstalleur de Lop doit aller chipoter dans mon profil Mozilla et modifier: mes certificats, l'historique, dans key3.db et mes dossiers de mails et dans mon carnet d'adresses collectées!!! Espionnage, tant qu'on y est?

%APPDATA%\Mozilla\Profiles\default\m***.slt
%APPDATA%\Mozilla\Profiles\default\m***.slt\Cache
%APPDATA%\Mozilla\Profiles\default\m***.slt\Cache\_CACHE_001_
%APPDATA%\Mozilla\Profiles\default\m***.slt\Cache\_CACHE_002_
%APPDATA%\Mozilla\Profiles\default\m***.slt\Cache\_CACHE_003_
%APPDATA%\Mozilla\Profiles\default\m***.slt\Cache\_CACHE_MAP_

%APPDATA%\Mozilla\Profiles\default\m***.slt\cert8.db
%APPDATA%\Mozilla\Profiles\default\m***.slt\history.dat
%APPDATA%\Mozilla\Profiles\default\m***.slt\history.mab
%APPDATA%\Mozilla\Profiles\default\m***.slt\key3.db Là j'ai mon certificat Thawte, pour crypter des messages!!!

%APPDATA%\Mozilla\Profiles\default\m***.slt\Mail\mail.t***\Inbox.msf
%APPDATA%\Mozilla\Profiles\default\m***.slt\Mail\mail.t***\Inbox.sbd\Lockergnome.msf
%APPDATA%\Mozilla\Profiles\default\m***.slt\Mail\mail.t***\Inbox.sbd\TechRepublic.msf
%APPDATA%\Mozilla\Profiles\default\m***.slt\Mail\mail.t***\Inbox.sbd\Winnetmag.msf
%APPDATA%\Mozilla\Profiles\default\m***.slt\Mail\mail.t***\Junk.msf
%APPDATA%\Mozilla\Profiles\default\m***.slt\Mail\mail.t***\popstate.dat
%APPDATA%\Mozilla\Profiles\default\m***.slt\Mail\mail.t***\Trash.msf
%APPDATA%\Mozilla\Profiles\default\m***.slt\panacea.dat
%APPDATA%\Mozilla\Profiles\default\m***.slt\parent.lock
%APPDATA%\Mozilla\registry.dat



%USERPROFILE%\Favoris Là il aurait pu tout enlever. Il y a de toute façon rien, chez moi
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\GV0X9IVY
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\IXVAWC6H
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\QZ0VC9OD
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\UH4MSSB1

%USERPROFILE%\Mes documents Ca c'est la création du log par System Mechanic
%USERPROFILE%\ntuser.dat.LOG Log des modif à la BDR, partie User
%USERPROFILE%\NTUSER.DAT C'est ma BDR, partie user.
%USERPROFILE%\Recent On s'en fout

C:\Program Files
C:\Program Files\iolo\System Mechanic\SafeInstall Data
C:\Program Files\mozilla.org\Mozilla\components ???
C:\Program Files\mozilla.org\Mozilla\components\xpti.dat ???
C:\Program Files\Sygate\SPF\debug.log Le log de mon pare-feu. Pourquoi donc? Sinon pour enlever les traces de leurs méfaits!

C:\WINNT\security Je dois encore vérifier ces trucs
C:\WINNT\system32
C:\WINNT\system32\config\SOFTWARE.LOG
C:\WINNT\system32\config\software

NO CHANGES MADE TO C:\WINNT\SYSTEM.INI...

NO CHANGES MADE TO C:\WINNT\WIN.INI...

REGISTRY KEYS ADDED: (4)
HKEY_USERS\S-1-5-21-...\Software\MeowLocksGrey C'est quoi cette nouvelle cochonnerie?
HKEY_USERS\S-1-5-21-...\Software\MeowLocksGrey\planthis
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties\fr

REGISTRY KEYS DELETED: (4) Il n'y avait en principe rien à enlever. Qu'a-t-il donc été foutre là?
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties\fr
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\ ->
PostSetup\Component Categories\{00021493-0000-0000-C000-000000000046}\Enum
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\ ->
PostSetup\Component Categories\{00021494-0000-0000-C000-000000000046}\Enum

REGISTRY KEY VALUES CHANGED: (2) Je vois vraiment pas le rapport avec Lop. Avec un CMedia, peut-être!
HKEY_USERS\S-1-5-21-...\Software\Microsoft\MediaPlayer\Preferences ->
Value "AutoAddMusicToLibrary": from "14706688" to "14691584"

REGISTRY KEY VALUES ADDED: (8)
HKEY_USERS\S-1-5-21-...\Software\MeowLocksGrey\ SignPop="A6,57,46,DD,13,65,C0,60,A4,AF,04,99,0B,F9,EA,19" Qu'est-ce que c'est encore?
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\Start Page="about:blank"
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties\fr\->
Panel@Enc="01,00,0B,00,05,00,00,00,07,00,18,00,15,00,03,00"
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties\fr\->
Panel@Map="04,00,15,00,11,00,1D,00,05,00,19,00,77,00,79,00"
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties\fr\->
Panel@Web="09,00,16,00,08,00,61,00,75,00,6C,00,74,00,03,00"
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties\fr\->
PanelOrder="56,00,28,00,03,00,71,00,51,00,37,00,0B,00,15,00"
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties\fr\ ->
PreviousSearches="26,00,1F,00,4A,00,3A,00,72,00,3A,00,50,00,07,00"
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties\fr\ ->
SettingsVersion="42,00"

REGISTRY KEY VALUES DELETED: (9) Il aurait pu supprimer tout IE que cela m'aurait peut-être arrangé. C'est quoi tout ce cirque?
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Main\Search Page="http://www.google.com"
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties\fr\->
Panel@Enc="01,00,0B,00,05,00,00,00,07,00,18,00,15,00,03,00"
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties\fr\->
Panel@Map="04,00,15,00,11,00,1D,00,05,00,19,00,77,00,79,00"
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties\fr\->
Panel@Web="09,00,16,00,08,00,61,00,75,00,6C,00,74,00,03,00"
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties\fr\->
PanelOrder="56,00,28,00,03,00,71,00,51,00,37,00,0B,00,15,00"
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties\fr\->
PreviousSearches="26,00,1F,00,4A,00,3A,00,72,00,3A,00,50,00,07,00"
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Internet Explorer\Search\SearchProperties\fr\->
SettingsVersion="42,00"

HKEY_USERS\S-1-5-21-...\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\->
PostSetup\Component Categories\{00021493-0000-0000-C000-000000000046}\Enum\->
Implementing="20,D5,C4,55,0A,8E,9E,8B,5F,B9,ED,8F,12,6A,E7,29"
HKEY_USERS\S-1-5-21-...\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\->
PostSetup\Component Categories\{00021494-0000-0000-C000-000000000046}\Enum\->
Implementing="64,D0,DD,11,A8,16,39,C3,9A,BE,0B,76,21,8C,4F,4D"


Conclusion: Ne jamais vouloir tester un de ces uninstall de m*** fournis par ces mécréants si vous n'avez pas épuisé toutes les autres possibilités et faire des sauvegardes préalables.

Je sens que je m'en vais continuer mes investigations avant de nettoyer les ajouts et de fusionner avec ma sauvegarde de l'ancienne BDR pour tout remettre comme avant.

@+

[nickW]

Bonsoir,
Je vais modifier le titre du sujet en rajoutant "DANGER", parce que si quelqu'un qui est infecté par une des c***eries citées dans le 1er message, et s'il panique un tant soit peu, il va télécharger et exécuter un des "uninstalls" sans lire tous les messages du sujet.

A bientôt,