| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
QUINQ
Nouveau
Inscrit le: 13 Nov 2005
Messages: 20
|
 Posté le: 21 Nov 2005 15:46 Sujet du message: |
|
|
OK,
Merci je vous dis quoi dès que réalisé.
Bonne soirée.
Quinq. |
|
| Revenir en haut |
|
 |
QUINQ
Nouveau
Inscrit le: 13 Nov 2005
Messages: 20
|
| Posté le: 23 Nov 2005 18:38 Sujet du message: |
|
|
Bonjour,
Voici le nouveau log Hijackthis: http://cjoint.com/?lxtLCV5ctQ
J'ai vu : O4 - HKLM\..\Run: [winupdt] RUNDLL32.EXE c:\windows\udark angel dvd.dll,_mainRD =>> c'est peut être la raison du message au démarrage ? :"c:\windows\udark module introuvable".
Merci.
QUINQ. |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7870
Localisation: Rouen (France)
|
| Posté le: 24 Nov 2005 10:40 Sujet du message: |
|
|
Bonjour Quinq,
| QUINQ a écrit: | | J'ai vu : O4 - HKLM\..\Run: [winupdt] RUNDLL32.EXE c:\windows\udark angel dvd.dll,_mainRD =>> c'est peut être la raison du message au démarrage ? :"c:\windows\udark module introuvable". |
Tu peux fixer cette ligne pour éviter que ce fichier soit appelé au démarrage. 
Le reste du log est propre. Où sont les rapports que je t'ai demandé sur mon post précédent 
@+ |
|
| Revenir en haut |
|
|
QUINQ
Nouveau
Inscrit le: 13 Nov 2005
Messages: 20
|
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7870
Localisation: Rouen (France)
|
| Posté le: 26 Nov 2005 10:44 Sujet du message: |
|
|
On va dégommer à la dynamite 
 Logue toi sur la session Administrateur du pc (toute la procédure doit être faite sous cette session)
Télécharge :
Ouvre le bloc notes et copie cette liste de fichiers. Ces fichiers seront à détruire avec Killbox dans la suite de la procédure :
| Citation: | C:\Program Files\Hijackthis Version Française\backups\backup-20051114-194721-456.dll
C:\Program Files\Hijackthis Version Française\backups\backup-20051114-194722-626.dll
C:\Program Files\Hijackthis Version Française\backups\backup-20051114-194721-111.dll
C:\Program Files\C2Media\Setup.exe
C:\Documents and Settings\All Users\Application Data\liteplayflaglicense\error stupid.exe
C:\Documents and Settings\All Users\Application Data\liteplayflaglicense\Four load.exe
C:\Documents and Settings\All Users\Application Data\liteplayflaglicense\Second Sign.exe
C:\Documents and Settings\All Users\Application Data\liteplayflaglicense\settingsmulti.exe
C:\Documents and Settings\All Users\Application Data\liteplayflaglicense\Site Iso.exe
C:\Documents and Settings\All Users\Application Data\liteplayflaglicense\Tick Free.exe
C:\WINDOWS\SYSTEM32\P2P Networking\v126.cpl
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL
C:\WINDOWS\SYSTEM32\P2P Networking\v126.cpl
C:\WINDOWS\SYSTEM32\IfHelper.dll
C:\Documents and Settings\DUVENT ELENA\Bureau\lopremover.exe |
Sauvegarde le fichier texte dans tes documents de façon à le retrouver facilement par la suite.
Redémarre en mode sans échec
Relance une nouvelle fois LopRemover
Ouvre Killbox et le fichier texte contenant la liste de fichiers que tu as copié préalablement. Suis ce qui est écrit sur le tuto de Killbox à partir du point 6.
Redémarre de nouveau en mode sans échec
Supprime les dossiers / fichiers suivants :
C:\Program Files\C2Media
C:\Documents and Settings\All Users\Application Data\liteplayflaglicense
C:\WINDOWS\system32\P2P Networking
Lance Cleanup
Redémarre normalement
Clicque droit sur Deldomains.inf et dans le menu contextuel, choisis "Installer"
Nouveau scan Panda et nouveau scan avec KAV
Scan avec PestPatrol et rapport
Nouveau log HijackThis
 Msn Plus a bien été désinstallé
@+ |
|
| Revenir en haut |
|
|
QUINQ
Nouveau
Inscrit le: 13 Nov 2005
Messages: 20
|
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7870
Localisation: Rouen (France)
|
| Posté le: 03 Déc 2005 10:45 Sujet du message: |
|
|
Bonjour,
On y retourne avec Killbox, copie cette liste de fichiers :
| Citation: | C:\Documents and Settings\All Users\Application Data\liteplayflaglicense\1 mess.exe
C:\Documents and Settings\All Users\Application Data\liteplayflaglicense\Dumbdale.exe
C:\Documents and Settings\All Users\Application Data\liteplayflaglicense\Dvd4.exe
C:\WINDOWS\system32\P2P Networking v126.cpl |
Redémarre en mode sans échec
Lance Killbox et détruis les fichiers cités ci dessus
Supprime le dossier C:\Documents and Settings\All Users\Application Data\liteplayflaglicense\
Repasse CleanUp et redémarre normalement
Nouveau scan Panda et rapport
Nouveau scan Pestpatrol. Fais un copier / coller dans le bloc notes, n'utilise pas Word pour poster ce rapport.
Nouveau log HijackThis
@+ |
|
| Revenir en haut |
|
|
QUINQ
Nouveau
Inscrit le: 13 Nov 2005
Messages: 20
|
|
| Revenir en haut |
|
|
QUINQ
Nouveau
Inscrit le: 13 Nov 2005
Messages: 20
|
| Posté le: 12 Déc 2005 10:54 Sujet du message: |
|
|
Coucou ,
MErci de m'indiquer ci c'est OK.
 Saluations. |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7870
Localisation: Rouen (France)
|
| Posté le: 12 Déc 2005 13:19 Sujet du message: |
|
|
Bonjour Quinq,
Désolée j'ai oublié ton dernier post 
Il reste de nombreuses traces d'infection dans le registre. Peux tu me confirmer que les clients P2P (Kazaa... ) ont bien été désintallés comme je te l'avais demandé
Si ce n'est pas le cas désinstalle tout ça.
Essaie de passer ce Fix de Hotbar
En mode sans échec et en ayant accès aux fichiers cachés, vérifie que les répertoires suivants n'existent pas
* C:\Program Files\Hotbar
* C:\Program Files\ShopperReports
* C:\Program Files\HbTools
* C:\Documents and Settings\tous les noms d'utilisateurs\Application Data\Hotbar
* C:\Documents and Settings\tous les noms d'utilisateurs\\Application Data\ShopperReports
* C:\Documents and Settings\tous les noms d'utilisateurs\Application Data\HbTools
S'ils existent, supprime les, vide la corbeille et repasse un coup de Clean UP.
Tu peux également virer LopRemover du pc, il ne sert plus à rien, il est inutile voire dangereux de le conserver
Reposte moi un rapport de Pestpatrol et un log HijackThis après avoir fait cela.
@+ |
|
| Revenir en haut |
|
|
QUINQ
Nouveau
Inscrit le: 13 Nov 2005
Messages: 20
|
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7870
Localisation: Rouen (France)
|
| Posté le: 15 Déc 2005 16:01 Sujet du message: |
|
|
Bonjour Quinq,
| Citation: | | Les autres fichiers ne sont pas présents. |
Pourtant Pestpatrol les trouve lui 
| Citation: | c:\documents and settings\duvent elena\application data\hotbar
c:\documents and settings\duvent elena\application data\shopperreports |
Tu es sûr que les fichiers cachés sont affichés
Sous la session Administrateur :
Désinstalle SmartShopper par ajout / suppression de programmes du Panneau de configuration.
Télécharge hotbar_fix.reg (clique droit Enregistrer sous...)
Copie cette liste de fichiers pour Killbox :
| Citation: | C:\WINDOWS\svchost.exe
c:\windows\smdat32a.sys
c:\windows\downloaded program files\hotbar.inf
c:\program files\hbinst
c:\windows\cache329
c:\windows\system32\p2p networking v126.cpl |
Lance Cleanup
Redémarrre en mode sans échec
Par le menu Démarrer / Exécuter (ou touche Windows + R) :
- A l'invite de commandes tape services.msc et ok
- Double clique sur Power Manager
- Clique sur Arrêter
- Définis le Type de démarrage en Désactivé
Relance HijackThis :- Clique sur None of the above Just start The Program
- Clique sur le bouton Config puis sur le bouton Misc Tools
- Choisis Delete a NT Service
- Dans le champ tu copies exactement le nom suivant : Power Manager puis clicque sur OK
Toujours avec HijackThis (Do A System Scan Only), coche et fixe ces lignes si présentes :
O9 - Extra button: SmartShopper - Compare product prices - {679B2A8D-B2FF-41ed-B3ED-C5CFB8564CB0} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: SmartShopper - Compare travel rates - {9E4DF170-217F-4658-A11F-590664542B73} - C:\WINDOWS\System32\shdocvw.dll
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
Double clique sur hotbar_fix.reg et accepte la fusion dans le registre.
Supprime ces dossiers :
c:\documents and settings\duvent elena\application data\hotbar
c:\documents and settings\duvent elena\application data\shopperreports
Vide la corbeille
Lance Killbox et supprime les fichiers de la liste que tu as enregistré.
Redémarre normalement
Nouveau log HijackThis et nouveau rapport Pespatrol
@+ |
|
| Revenir en haut |
|
|
QUINQ
Nouveau
Inscrit le: 13 Nov 2005
Messages: 20
|
| Posté le: 17 Déc 2005 19:36 Sujet du message: |
|
|
Bonjour,
Voilà j'ai fais ce qui était demandé mais certain fichier ne peuvent pas être supprimés.
c:\documents and settings\duvent elena\application data\hotbar
c:\documents and settings\duvent elena\application data\shopperreports
ca c'est supprimé.
C:\WINDOWS\svchost.exe --> Dit qu'il n'existe pas, il ne le trouve pas
c:\windows\smdat32a.sys --> supprimé
c:\windows\downloaded program files\hotbar.inf --> supprimé
c:\program files\hbinst --> dit :This file could not be deleted
c:\windows\cache329 --> This file could not be deleted
c:\windows\system32\p2p networking v126.cpl -->Dit qu'il n'existe pas
http://cjoint.com/?mruHf0VLhF
http://cjoint.com/?mruHTsnz2F
Merci pour votre aide.
Quinq. |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7870
Localisation: Rouen (France)
|
| Posté le: 19 Déc 2005 3:05 Sujet du message: |
|
|
Bonsoir Quinq,
On tourne en rond. 
De deux choses l'une ou tu t'es fait une chaussette avec la procédure ou tout n'a pas été désinstallé comme je te l'avais demandé.
Le log est propre mais je vois toujours des traces de SmartShopper
Si ce programme n'est pas désinstallé, fais le.
- Relance HijackThis et fixe ces lignes :
O9 - Extra button: SmartShopper - Compare product prices - {679B2A8D-B2FF-41ed-B3ED-C5CFB8564CB0} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: SmartShopper - Compare travel rates - {9E4DF170-217F-4658-A11F-590664542B73} - C:\WINDOWS\System32\shdocvw.dll
| Citation: | | c:\windows\cache329 --> This file could not be deleted |
Ca c'est Kazaa, donc il est toujours actif ! On va se le faire à la dynamite. 
- Crée un dossier à la racine de C: que tu nommeras BFU
- Télécharge :
- Dézippe dans le dossier que tu viens de créer (BFU).
- Double clicque sur BFU.exe
- A droite de la zone "Scriptfile to execute" tu clique sur l'icône qui représente un dossier
- Dans la fenêtre qui s'ouvre, double clicque sur Kazaa 2.0.2.bfu
- Coche la case "Show log after script ends"
- Clique sur Execute
- Enregistre le résultat et poste le sur ton prochain message.
Passe CleanUp, redémarre le pc
Nouveau scan de Pestpatrol et nouveau log HijackThis.
@+ |
|
| Revenir en haut |
|
|
Pow-wow
VIP +
Inscrit le: 15 Fév 2005
Messages: 706
Localisation: Est de la France
|
| Posté le: 19 Déc 2005 7:13 Sujet du message: |
|
|
Bonjour QUINQ, Coucou Lo
Quinq, pendant les manips que te fait faire Loreleï, désactive le résident de Spybot.
Il est possible que, paradoxalement, ce dernier empçeche la désinstallation de certains malwares (à trop bien faire son boulot....).
Et sur ce, je me retire sur la pointe des pieds 
Bonne journée à vous deux
Bisou Lo |
|
| Revenir en haut |
|
|
|
FAQ
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
