Examen Hijackthis suite à malware lop.com

[CDX01]

---édition ipl_001 : ce message a été rapatrié de "Quelques infections typiques" ( http://forum.zebulon.fr/index.php?showtopic=85149 ) puis combiné avec une autre discussion, ce qui explique quelques propos "bizarres"...

 

Bonjour a tous,

 

Je commence la série des infections typiques avec un malware assez répandu car étant installé par Messenger Plus, une extension tres utilisée par les utilisateurs de MSN Messenger!

Lors de l installation de Messenger Plus, on vous propose également d essayer les sponsors de ce logiciel!

Beaucoup de personnes ne font pas attention a cela, cliquant sur "suivant" pour poursuivre l installation sans se soucier de ce qu ils installent! Ils le font inconsciemment, d autant plus, qu ils ne connaisssent absolument pas l existence des malwares et autres nuisances de l Internet!

1/ Comment reconnaitre une infection par lop.com?

 

Ci-dessous un extrait de rapport hijackthis infecté par Lop.com! Les lignes en rouges démontrent une infection par lop

La présence de lop.com est révélée par plusieurs choses :

- des lignes Rx qui détournent la page habituelle du navigateur!

- la présence en lignes 04 de Messenger Plus et d un dossier douteux dans C:\Documents and Settings\%UserProfile%\Application Data

 

Vous trouverez ici certains exemples de processus créés par lop.com qui se localiseront dans le dossier douteux dans C:\Documents and Settings\%UserProfile%\Application Data

2/ Comment désinfecter un systeme par lop?

 

Ce n est pas bien compliqué! Suivez le guide

*Commencez par télécharger le logiciel Lopremover puis dézippez le dossier.

 

*Redémarrez en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

*Désinstallez le logiciel MessengerPlus via "panneau de configuration/ajout-suppression de programmes"

 

*Fixez les lignes correspondant a l infection :

Prenons l exemple de l extrait du rapport ci-dessus

 

Lancez un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fxlmjytgmfyzsizdiosbov.com/aiFF...Soxdx2FFbAT.jsp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zucnlttiamqyedfqwnjsottf.org/ai...9NWVrQhIrI.html

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [binbags] C:\DOCUME~1\ADMINI~1\APPLIC~1\BOWSFU~1\Joy Glue.exe

 

Fermez toutes les fenêtres sauf HijackThis et "Fix Checked".

 

*Une fois les lignes fixées, il faut supprimer les dossiers incriminés :

C:\Program Files\MessengerPlus! 3<---supprimer tout le dossier

C:\DOCUME~1\ADMINI~1\APPLIC~1\BOWSFU~1<---supprimez tout le dossier

 

*A présent, il faut éxécuter le logiciel Lopremover qui va vérifier et supprimer tous les "restes" de l infection!

 

Utilisation de Lopremover :

 

NB : il se peut que votre antivirus s’exite, désactivez le le temps de la manipulation

 

Vous pouvez redémarrer votre systeme en mode normal! Vous voila débarrassez de lop

Vous pouvez réinstaller Messenger Plus mais cette fois-ci prenez la précaution de ne pas cocher les sponsors lors de l installation

Bonjour Jack,

Merci pour tes explications claires. Je suis aussi une des victiimes de lop.com:

Je me permets de te soumettre mon rapport Hijackthis:

D'abord, il n'y a plus de ligne Messenger Plus 3 (j'ai supprimé messenger Plus via Ajout/suppression de programmes).

Les lignes "douteuses" par analogie avec ton rapport sont pour moi:

La première ligne R1.

Ensuite les lignes

02 Document Bond funk.exe

04 Document TrustStyle.exe

04 Document Wave bows.exe

(Je n'ai pas trouvé ces noms dans la liste des exemples de processus créés par lop.com).

D'aprés toi, est ce que je peux les fix checker?

Merci pour ta réponse...

 

C:\Documents and Settings\Christian Delcroix\Mes documents\DownloadDivers\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ynrxyjxjgkugru.com/69OafklQEsZF...LF7vTKWjDqC.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.my.yahoo.com/index.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nordnet.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.my.yahoo.com/index.html

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nordnet.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {0F9999EF-83A9-3907-2CCD-AF0D19C9EE49} - C:\DOCUME~1\CHRIST~1\APPLIC~1\ACTIVE~1\bind funk.exe

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll

O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [CamCheck] C:\Program Files\Vivitar\V3301\CamCheck\CamCheck.exe

O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [HTM ACE LONG BLAH] C:\Documents and Settings\All Users\Application Data\ReadmeSendHtmAce\TrustStyle.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [DatePlatform] C:\DOCUME~1\CHRIST~1\APPLIC~1\LOGCOP~2\Wave bows.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\BenQ\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Picture Package Menu.lnk = ?

O4 - Global Startup: Picture Package VCD Maker.lnk = ?

O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe

O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/229?d2db85cc3c314dd0932f1cf1adf93a1e

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/230?d2db85cc3c314dd0932f1cf1adf93a1e

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.nordnet.fr

O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1133810048825

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1133813976404

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

[CDX01]

Bonjour,

Dans la rubrique "Infections typiques", j'ai mis un rapport hicjackthis pour me débarasse d'un malware (lop.com, une vraie "saloperie").

Comme je n'ai pas eu de réponse à ce jour, si quelqu'un voulait bien m'aider..

Je suis nouveau et j'hésite à supprimer les lignes erronées dans Hicjacthis sans un avis extérieur..

Merci de me donner votre avis..

Pour ne pas surcharger le forum, je ne duplique pas mon rapport qui est avec ttes les explications dans la rubriques infections typiques.

Merci.

CDX01.

[neos]

salut ,

justement là ou tu as posté ton log ,jack burton explique comme il s'installe et comment le désinstaller.

 

à l'avenir lorsque tu postes un log , il faudra le faire au bon endroit à savoir ici : http://forum.zebulon.fr/index.php?showforum=51

Modifié le 25 février 2006 par neos

[regis56]

Bonjour CDX01 et neos !

 

Pourait tu suivre la procédure de pré-nettoyage de Mégataupe

voir ici

 

Ton prochain rapport colle le dans ce sujet merci !

 

A plus !

Modifié le 25 février 2006 par regis56

[CDX01]

Bonjour CDX01 et neos !

 

Pourait tu suivre la procédure de pré-nettoyage de Mégataupe

voir ici

 

Ton prochain rapport colle le dans ce sujet merci !

 

A plus !

 

Bonjour, j'ai suivi la procedure Megataupe..

Antivir ne m'a touvé aucun virus;(J'utilise normalement avast qui me semble excellent).

Voici mon rapport Hijacthjis de ce matin:

Il me semble, d'aprés le mot de Jack Burton, que je dois supprimer la première ligne R1.

Je n'ai pas de ligne Messenger plus, l'ayant supprimé par suppression classique..

De plus j'ai des doutes sur la ligne O2 BHO... Bind funk.exe

Ainsi que sur les lignes O4 HKLM Trusstyle.exe et O4 HKCU Wave bows.exe.

(les noms des processus créés par lop sont variables)

Qu'en penses tu? Vois tu d'autres anomalies?

Merci.

Logfile of HijackThis v1.99.1

Scan saved at 11:28:07, on 25/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Christian Delcroix\Mes documents\DownloadDivers\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ynrxyjxjgkugru.com/69OafklQEsZF...LF7vTKWjDqC.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.my.yahoo.com/index.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nordnet.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.my.yahoo.com/index.html

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nordnet.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {0F9999EF-83A9-3907-2CCD-AF0D19C9EE49} - C:\DOCUME~1\CHRIST~1\APPLIC~1\ACTIVE~1\bind funk.exe

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll

O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [CamCheck] C:\Program Files\Vivitar\V3301\CamCheck\CamCheck.exe

O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [HTM ACE LONG BLAH] C:\Documents and Settings\All Users\Application Data\ReadmeSendHtmAce\TrustStyle.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [DatePlatform] C:\DOCUME~1\CHRIST~1\APPLIC~1\LOGCOP~2\Wave bows.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\BenQ\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Picture Package Menu.lnk = ?

O4 - Global Startup: Picture Package VCD Maker.lnk = ?

O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe

O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/229?d2db85cc3c314dd0932f1cf1adf93a1e

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/230?d2db85cc3c314dd0932f1cf1adf93a1e

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.nordnet.fr

O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1133810048825

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1133813976404

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

[CDX01]

FINALEMENT, j'ai checké les lignes spécifiées au début de ce message (R1+O2+O4+O4) et ca marche..

Il me semble avoir lu que si on checke une ligne de trop, de toute facons, il n'y a pas de pb de redémarrage,

Je voudrais conclure en diasant que c'est SCANDALEUX la manière dont lop.com s'insère via Messenger Plus.

Commes ces gens vivent uniquement des connections uax pubs suggérées, si vous êtes infectés, SURTOUT ne vous connectez pas à une pub via lop.com: ce serait les inciter à continuer.

Bien Amicalement à tous..

 

~~~~~~

 

---édition ipl_001 : message ci-dessous recopié de http://forum.zebulon.fr/index.php?showtopi...=0entry679562

 

COMPLEMENT à Cette réponse:

J'ai mis le même message dans la rubrique analyse de rapport hijacktis. Et je remets ici mes conclusions:

 

FINALEMENT, j'ai checké les lignes spécifiées au début de ce message (R1+O2+O4+O4) et ca marche..

Il me semble avoir lu que si on checke une ligne de trop, de toute facons, il n'y a pas de pb de redémarrage,

Je voudrais conclure en disant que c'est SCANDALEUX la manière dont lop.com s'insère via Messenger Plus.

Commes ces gens vivent uniquement des connections aux pubs suggérées, si vous êtes infectés, SURTOUT ne vous connectez pas à une pub via lop.com: ce serait les inciter à continuer.

Bien Amicalement à tous..

[bruce lee]

bonjour CDX01,regis56, neos bonjour a tous et a toutes,

 

mauvaise nouvelle pour toi ton log n'est pas completement désinfecté de lop,

analyse en cours retour dans 15 minutes

[bruce lee]

re,

 

1/*télécharge lopremover

http://clairvoyant.p2pforum.it/tools/lopremover.zip

Dézippe le

 

2/ Redémarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

 

3/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ynrxyjxjgkugru.com/69OafklQEsZF...LF7vTKWjDqC.asp

O2 - BHO: (no name) - {0F9999EF-83A9-3907-2CCD-AF0D19C9EE49} - C:\DOCUME~1\CHRIST~1\APPLIC~1\ACTIVE~1\bind funk.exe

O4 - HKCU\..\Run: [DatePlatform] C:\DOCUME~1\CHRIST~1\APPLIC~1\LOGCOP~2\Wave bows.exe

 

 

et clique sur fix checked

 

4/demarrer,poste de travail,outil, options des dossiers, onglet affichage

et tu coches afficher les fichiers et dossiers cachés, tu appliques puis tu cliques sur ok

 

5/supprimes ce qui est en gras:

 

C:\DOCUMENT AND SETTING\CHRIST~1\APPLIC~1\ACTIVE~1\ bind funk.exe

C:\DOCUMENT AND SETTING\CHRIST~1\APPLIC~1\LOGCOP~2\ Wave bows.exe

 

 

6/*A présent, il faut éxécuter le logiciel Lopremover qui va vérifier et supprimer tous les "restes" de l infection!

 

Une fois le logiciel lancé, inserez les chiffres dans la case, puis cliquez sur "UNINSTALL" et Redémarrez

 

7/ redemarre en mode normal et repost un log hijackthis je te prie

Modifié le 25 février 2006 par bruce lee

[ipl_001]

Bonjour CDX01, neos, regis56, bruce lee, bonjour à tous,

...

Pour ne pas surcharger le forum, je ne duplique pas mon rapport qui est avec ttes les explications dans la rubriques infections typiques...

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Je te félicite et je te remercie d'avoir le souci de ne pas polluer notre forum en postant plusieurs fois !

En effet, "Quelques infections typiques" est un sous-forum où se trouvent des articles permettant à un internaute infecté, d'effectuer une désinfection par lui-même !

 

Bien vu de la part de bruce lee, d'avoir repéré que les choses n'étaient pas complètement éradiquées !

 

CDX01, tu es entre de bonnes mains !

Veux-tu bien s'il te plaît, utiliser le bouton Répondre qui est entre Flash et Options, afin de ne pas reproduire systtématiquement le post qui précède !

 

Je vais rapatrier ici, tes posts de "Quelques infections typiques"...

[ipl_001]

Rebonjour CDX01, neos, regis56, bruce lee, rebonjour à tous,

...

Je voudrais conclure en disant que c'est SCANDALEUX la manière dont lop.com s'insère via Messenger Plus.

Commes ces gens vivent uniquement des connections aux pubs suggérées, si vous êtes infectés, SURTOUT ne vous connectez pas à une pub via lop.com: ce serait les inciter à continuer...

... scandaleux !

C'est bien notre avis !

 

Jusqu'à présent, beaucoup de forums de par le monde se sont échiné à nettoyer les systèmes infectés !

Nous allons continuer à le faire mais depuis ce matin 0h01, un nouveau forum vient d'ouvrir où la lutte démarre aussi sur les plans juridique et politique !

 

Tu trouveras sur MalWare Complaints :

- des informations sur la manière de nettoyer ou faire nettoyer ton système sur des forums Français

- des informations pour savoir comment porter plainte si tu le désires

- un lieu où témoigner des nuisances encourues : ces témoignages permettront de se faire entendre des pouvoirs politique et judiciaire pour obtenir plus d'appui et des lois condamnant ce piratage si aggressif !

 

MWC est un site/forum mondial né de l'initiative de ChrisRLG, nellie2, tashi, Corrine et quelques autres mais il y a un sous-forum par langue :

Le forum Français de MWC -> http://www.malwarecomplaints.info/viewforum.php?f=10

Une annonce sur Zebulon -> http://forum.zebulon.fr/index.php?showtopic=88688