Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection par Lop.com


Messages recommandés

Bonjour a tous,

 

Je commence la série des infections typiques avec un malware assez répandu car étant installé par Messenger Plus, une extension tres utilisée par les utilisateurs de MSN Messenger!

Lors de l installation de Messenger Plus, on vous propose également d essayer les sponsors de ce logiciel!

Beaucoup de personnes ne font pas attention a cela, cliquant sur "suivant" pour poursuivre l installation sans se soucier de ce qu ils installent! Ils le font inconsciemment, d autant plus, qu ils ne connaisssent absolument pas l existence des malwares et autres nuisances de l Internet!

 

 

1/ Comment reconnaitre une infection par lop.com?

 

Ci-dessous un extrait de rapport hijackthis infecté par Lop.com! Les lignes en rouges démontrent une infection par lop

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fxlmjytgmfyzsizdiosbov.com/aiFF...Soxdx2FFbAT.jsp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zucnlttiamqyedfqwnjsottf.org/ai...9NWVrQhIrI.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: (no name) - {A55FDDCE-1A2D-47D8-EA4A-132A8EDBA42A} - C:\DOCUME~1\ADMINI~1\APPLIC~1\MESSLI~1\Balm Find.exe (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [binbags] C:\DOCUME~1\ADMINI~1\APPLIC~1\BOWSFU~1\Joy Glue.exe

O4 - HKCU\..\Run: [spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q

 

La présence de lop.com est révélée par plusieurs choses :

- des lignes Rx qui détournent la page habituelle du navigateur!

- la présence en lignes 04 de Messenger Plus et d un dossier douteux dans C:\Documents and Settings\%UserProfile%\Application Data

 

Vous trouverez ici certains exemples de processus créés par lop.com qui se localiseront dans le dossier douteux dans C:\Documents and Settings\%UserProfile%\Application Data

 

 

2/ Comment désinfecter un systeme par lop?

 

Ce n est pas bien compliqué! Suivez le guide :P

 

 

*Commencez par télécharger le logiciel Lopremover puis dézippez le dossier.

 

*Redémarrez en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

*Désinstallez le logiciel MessengerPlus via "panneau de configuration/ajout-suppression de programmes"

 

*Fixez les lignes correspondant a l infection :

Prenons l exemple de l extrait du rapport ci-dessus

 

Lancez un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fxlmjytgmfyzsizdiosbov.com/aiFF...Soxdx2FFbAT.jsp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zucnlttiamqyedfqwnjsottf.org/ai...9NWVrQhIrI.html

 

 

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [binbags] C:\DOCUME~1\ADMINI~1\APPLIC~1\BOWSFU~1\Joy Glue.exe

 

Fermez toutes les fenêtres sauf HijackThis et "Fix Checked".

 

*Une fois les lignes fixées, il faut supprimer les dossiers incriminés :

C:\Program Files\MessengerPlus! 3<---supprimer tout le dossier

C:\DOCUME~1\ADMINI~1\APPLIC~1\BOWSFU~1<---supprimez tout le dossier

 

*A présent, il faut éxécuter le logiciel Lopremover qui va vérifier et supprimer tous les "restes" de l infection!

 

Utilisation de Lopremover :

Une fois le logiciel lancé, inserez les chiffres dans la case, puis cliquez sur "UNINSTALL" et Redémarrez

NB : il se peut que votre antivirus sexite, désactivez le le temps de la manipulation

 

Vous pouvez redémarrer votre systeme en mode normal! Vous voila débarrassez de lop :P

Vous pouvez réinstaller Messenger Plus mais cette fois-ci prenez la précaution de ne pas cocher les sponsors lors de l installation

Modifié par Jack_Burton
Lien à poster
Partager sur d’autres sites

Bonsoir Jack_Burton, bonsoir à tou(te)s,

 

Merci beaucoup à toi d'attaquer ce chapitre avec lop.com !

 

Ton message est très clair et je t'en félicite !

 

Comme tu l'indiques, lop.com est un sponsor : une régie publicitaire qui a obtenu l'aval des instances gouvernementales Américaines pour implanter des spywares à la condition d'obtenir l'autorisation des internautes... je vous laisse apprécier comment !

Lien à poster
Partager sur d’autres sites
  • 2 weeks later...
  • 2 weeks later...
  • 2 weeks later...

--- édition ipl_001 : j'ai transféré des posts dans une autre discussion -> http://forum.zebulon.fr/index.php?showtopic=88609 , ce qui explique des propos un peu bizarres !

 

COMPLEMENT à Cette réponse:

J'ai mis le même message dans la rubrique analyse de rapport hijacktis. Et je remets ici mes conclusions:

 

FINALEMENT, j'ai checké les lignes spécifiées au début de ce message (R1+O2+O4+O4) et ca marche..

Il me semble avoir lu que si on checke une ligne de trop, de toute facons, il n'y a pas de pb de redémarrage,

Je voudrais conclure en disant que c'est SCANDALEUX la manière dont lop.com s'insère via Messenger Plus.

Commes ces gens vivent uniquement des connections aux pubs suggérées, si vous êtes infectés, SURTOUT ne vous connectez pas à une pub via lop.com: ce serait les inciter à continuer.

Bien Amicalement à tous..

Lien à poster
Partager sur d’autres sites
  • 4 months later...

salut, elle est bien bonne ta blague

 

en enregistrant lopremover.zip sur mon disuqe, mon systeme antivirus detecte un cheval de trois sur le fichier de type swizzor.gen est ce normal ?

moi je vois pas ! car j'ai un anti-virus digne d'une bombe nucléaire qui ne ma jamais fait defaut à ce jour.

 

pourrais tu m'eclairer STP ? :P

Modifié par father
Lien à poster
Partager sur d’autres sites

Bonsoir father !

 

Effectivemnt lopremover utilise un code proche d'un adware mais lopremover l'utilise pour nettoyer Lop !

Les antivirus eux lisent les codes si ils trouvent que le code est dangereux ils le disent et c'est normal !

 

Donc comme il est signaler dans la procédure de Jack Burton

 

NB : il se peut que votre antivirus sexite, désactivez le le temps de la manipulation

 

Voilà voilà !

 

bonne soirée !

Lien à poster
Partager sur d’autres sites
  • 1 year later...

Salut !

 

Cela date de 2006, comme tu peux le voir, sans modification depuis.

Sachant que le monde des malwares évolue sans cesse, ainsi qu'internet, tu peux bien t'imaginer que ce tuto est devenu obsolete, en partie.

 

Cordialement...

Lien à poster
Partager sur d’autres sites
Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...