Demande de suppression du spyware LOP.COM

[superprobleme]

bonjour,

j'ai quelques problèmes avec mon pc il est lent et je sais que le spyware LOP.COM est installé dessus à cause de msn +

 

quelqu'un pourrait-il analyser mon log svp le voici :

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 17:12:11, on 09/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\atiptaxx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Piolet\Piolet.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Internet Explorer\iexplore.exe

c:\progra~1\intern~1\iexplore.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.komudsxhcsgxyyinyausodgqp.com/s...GW2bwaFqTg.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xtggddgsnkz.com/s9w5LyzU3BbEjwD...zJ/Z9fmYRM.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.planetis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {678B1A2F-FB89-2D37-2979-5B6764A879D5} - C:\DOCUME~1\PROPRI~1\APPLIC~1\elsecake\Atom Inside.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [WINPROC AUDIT] C:\Windows\System32\Wscript.exe C:\OEMCUST\TOOLS\WIN32\WINPROC.VBS C:\CABS\SCRIPTS\PROCESS\AUDIT.SCR C:\DRIVERS\PROCESS.TXT /TRACE

O4 - HKLM\..\Run: [EPSON Stylus CX6400 (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P29 "EPSON Stylus CX6400 (Copie 1)" /O6 "USB001" /M "Stylus CX6400"

O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [internet meal plan meet] C:\Documents and Settings\All Users\Application Data\dale default internet meal\RemoteDumb.exe

O4 - HKLM\..\Run: [Piolet] C:\Program Files\Piolet\Piolet.exe SILENT

O4 - HKCU\..\Run: [ActivSurf] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\ins1.tmp\ActivS.exe -ReportOnly

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

O4 - HKCU\..\Run: [admin amen] C:\DOCUME~1\PROPRI~1\APPLIC~1\GLUEPU~1\DEFAULTSTYLELOGO.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.planetis.com/

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_old.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

 

 

merci pour votre aide

[Invité tesgaz]

Salut et bienvenu sur zebulon,

 

il faut que tu appliques cette procédure et ensuite, on analyse ton rapport

http://forum.zebulon.fr/index.php?showtopi...ndpost&p=522499

[superprobleme]

merci de m'avoir répondu c'est gentil, alors voilà mon nouveau log peux tu me donner s'il te pait

 

 

Logfile of HijackThis v1.99.1

Scan saved at 19:24:49, on 09/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yspdadedkflobeflaqxv.com/s9w5Ly...GW2bwaFqTg.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xtggddgsnkz.com/s9w5LyzU3BbEjwD...zJ/Z9fmYRM.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.planetis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {678B1A2F-FB89-2D37-2979-5B6764A879D5} - C:\DOCUME~1\PROPRI~1\APPLIC~1\elsecake\Atom Inside.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [WINPROC AUDIT] C:\Windows\System32\Wscript.exe C:\OEMCUST\TOOLS\WIN32\WINPROC.VBS C:\CABS\SCRIPTS\PROCESS\AUDIT.SCR C:\DRIVERS\PROCESS.TXT /TRACE

O4 - HKLM\..\Run: [EPSON Stylus CX6400 (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P29 "EPSON Stylus CX6400 (Copie 1)" /O6 "USB001" /M "Stylus CX6400"

O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [internet meal plan meet] C:\Documents and Settings\All Users\Application Data\dale default internet meal\RemoteDumb.exe

O4 - HKLM\..\Run: [Piolet] C:\Program Files\Piolet\Piolet.exe SILENT

O4 - HKCU\..\Run: [ActivSurf] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\ins1.tmp\ActivS.exe -ReportOnly

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

O4 - HKCU\..\Run: [admin amen] C:\DOCUME~1\PROPRI~1\APPLIC~1\GLUEPU~1\DEFAULTSTYLELOGO.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.planetis.com/

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_old.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

merci !

[Invité tesgaz]

bon, je répond plus tard parce que là, je vais manger

 

donc, sii quelqu'un veut analyser le log à ma place qu'il ne se gène pas, sinon réponse dans 1 heure 1/2

pas avant, je prend mon temps

[megataupe]

Bon, pas sur que tu es bien compris car, pas de traces d'Antivir comme antivirus à utiliser dans la procédure et dossier Hijackthis dans un répertoire temporaire :

 

C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

 

Tu vas devoir recommencer en suivant la procédure à la lettre, désolé.

[ipl_001]

Bonsoir superprobleme, tesgaz, megataupe, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

On reconnais LOP à ces lignes

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yspdadedkflobeflaqxv.com/s9w5Ly...GW2bwaFqTg.html

(ces caractères aléatoires pour le domaine)

 

Comme le demande megataupe, déplace le programme HijackThis dans un répertoire dédié comme C:\Program Files\HijackThis sinon, tu risques de perdre le programme et ses fichiers de backup !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

[ipl_001]

Rebonsoir superprobleme, tesgaz, megataupe, rebonsoir à tous,

 

Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

Pour Lop :

Lop peut détourner la page de démarrage et/ou installer une barre d'outils.

Lopremover sur http://www.thespykiller.co.uk/files/lopremover.exe

ou

Désinfection sur http://www.lop.com/new_uninstall.exe (page de démarrage)

ou http://lop.com/toolbar_uninstall.exe (toolbar)

ou http://66.220.17.157/new_uninstall.exe (page de démarrage)

ou http://66.220.17.157/toolbar_uninstall.exe (toolbar)

Attention, tu vas là sur le site de celui qui envoie les malwares... ne t'y attarde quand même pas !

ou http://www.thatcomputerguy.us/downloads/lo...w_uninstall.exe (page de démarrage)

ou http://www.thatcomputerguy.us/downloads/lo...r_uninstall.exe (toolbar)

--- passer le programme de désinstallation

--- changer la page de démarrage dans les options Internet

Lop.com se prétend régie marketing et est autorisée à implanter des spywares sous condition :

- obtenir l'autorisation des internautes

- fournir sur son site Web, un outil de désinstallation

 

 

 

Redémarre l'ordinateur en mode sans échec.

 

Désinstalle cette application (si tu trouves) dans Ajout-Suppression de programmes :

- Piolet

 

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

 

Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yspdadedkflobeflaqxv.com/s9w5Ly...GW2bwaFqTg.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xtggddgsnkz.com/s9w5LyzU3BbEjwD...zJ/Z9fmYRM.html

 

O2 - BHO: (no name) - {678B1A2F-FB89-2D37-2979-5B6764A879D5} - C:\DOCUME~1\PROPRI~1\APPLIC~1\elsecake\Atom Inside.exe

 

O4 - HKLM\..\Run: [WINPROC AUDIT] C:\Windows\System32\Wscript.exe C:\OEMCUST\TOOLS\WIN32\WINPROC.VBS C:\CABS\SCRIPTS\PROCESS\AUDIT.SCR C:\DRIVERS\PROCESS.TXT /TRACE

Cette ligne peut être très dangereuse à moins que ce soit toi qui l'aies mise !

 

O4 - HKLM\..\Run: [internet meal plan meet] C:\Documents and Settings\All Users\Application Data\dale default internet meal\RemoteDumb.exe

O4 - HKLM\..\Run: [Piolet] C:\Program Files\Piolet\Piolet.exe SILENT

Est-ce du peer-to-peer ???

 

O4 - HKCU\..\Run: [ActivSurf] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\ins1.tmp\ActivS.exe -ReportOnly

 

O4 - HKCU\..\Run: [admin amen] C:\DOCUME~1\PROPRI~1\APPLIC~1\GLUEPU~1\DEFAULTSTYLELOGO.exe

 

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_old.exe

 

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

 

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

- suppression des éléments inutiles par

Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles

Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp

et notamment C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\ins1.tmp\ActivS.exe

- Supprime les fichiers/dossiers incriminés (s'ils existent encore).

Relance HijackThis, clique sur "Open the Misc Tools section", clique sur "Delete a file on reboot", montre les fichiers suivants (réponds Non à l'invite de redémararage de l'ordinateur sauf après le dernier fichier) et recommence pour montrer chacun des fichiers :

--- C:\DOCUME~1\PROPRI~1\APPLIC~1\elsecake (supprime le dossier)

--- C:\Documents and Settings\All Users\Application Data\dale default internet meal (supprime le dossier)

--- C:\Program Files\Piolet (supprime le dossier)

--- C:\DOCUME~1\PROPRI~1\APPLIC~1\GLUEPU~1 (supprime le dossier)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Ceci concerne le nettoyage dans une optique malware ; tu peux maintenant aller au delà en demandant une optimisation de ton système !