Comment bloquer les fenêtres CiD ?

Dés que vous ouvrez une page Internet, vous vous retrouvez envahi(e) de fenêtres publicitaires nommées CiD, vous proposant de télécharger divers programmes, et vous ne savez plus quoi faire pour vous en débarrasser ? … Ces fenêtres révèlent en réalité la présence de l’adware Lop responsable de cette publicité intempestive dont vous êtes victime.




Cet adware s’installe lors de l’installation des logiciels suivants, en contrepartie de leur dite « gratuité » :

• Sponsors MSN plus !
• Bittorent
• BitDownload
• BitGrabber
• NetPumper
• BitRoll
• TorrentQ
• Torrent101
• ...

Moralité : il faut toujours faire très attention lors de l’installation d’un programme, en prenant le soin de bien lire le contrat d’utilisation qui mentionne les ¾ du temps la présence de cet adware !

En revanche, seul MSN plus ! propose explicitement à l’internaute d’installer ou non le sponsor (responsable de cette publicité abusive). Et par la suite, permettre de désinstaller facilement le sponsor en question.


Extrait des conditions d'utilisation du contrat, si l'on accepte d'installer le sponsor :

"POLITIQUE DE PROTECTION DE LA VIE PRIVÉE"

CiD vous fournit le produit logiciel (le « logiciel ») gratuitement ou à un prix réduit en échange de votre acceptation à recevoir des messages publicitaires et promotionnels livrés par CiD et des tiers à votre ordinateur basés en partie sur les
mots-clés des sites web que vous - ou tout autre utilisateur de l'ordinateur - visitez.
Le contenu complémentaire peut inclure des publicités, des promotions, des liens à des sites web tiers ou autres documentations livrés à votre ordinateur qui correspondent à ce qui vous intéresse, basés en partie sur des mots-clés trouvés sur les sites web que vous visitez. (...)"

Bien sûr, ce sont des publicités intempestives .




Pour les autres programmes cités précédemment, c’est différent, car le fait de désinstaller le logiciel p2p ne supprimera pas pour autant le sponsor, car celui-ci est dissimulé dans un autre programme nommé "CiDhelp" (ou "CiD-quelquechose" dans certains cas).


Remarque : la plupart du temps, la publicité générée par l’adware lop propose elle-même de télécharger d’autres programmes gratuits, comme des jeux, des chaînes de TV et radios etc. … qui, une fois téléchargés, installeront à leur tour d’autres malwares comme : navipromo, le dialer instant access … eux aussi générateurs de pubs ! Résultat : une infection « en cascade » se traduisant par une invasion de publicités en tout genre !

1ère Méthode de désinfection : suppression manuelle

• Démarrer en mode sans échec
• Aller dans le menu Démarrer
• Cliquer sur panneau de configuration
• Choisir le module ajout/suppression de programmes
• Pour Msn plus! : il suffit de désinstaller le sponsor :

• Pour les logiciels p2p indiqués un peu plus haut : il faut chercher et supprimer le sponsor lié à CiD :
  • Supprimer les programmes suivants si présents :
    • Cid help
    • Circle Developement
    • Adverts

2ème Méthode de désinfection : en utilisant Lopxp

La plupart du temps, les antivirus ou antispywares s'occupent de supprimer Cidhelp et autres programmes liés directement à Cid sans pour autant neutraliser totalement l'infection lop.

Comment repérer une infection lop dans un rapport hijackthis ?

Lop se repère très facilement dans un rapport hijackthis, il se manifeste sous la forme d'une voire deux lignes en 04 indiquant des fichiers situés dans le répertoire "documents and settings".

( cf lignes en gras dans le rapport suivant )

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:13:26, on 03/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
F:\avast\aswUpdSv.exe
F:\avast\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\QuickTime\QTTask.exe
F:\avast\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
F:\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\AOL\1177615087\ee\aolsoftware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLacsd.exe
c:\program files\fichiers communs\aol\1177615087\ee\services\antiSpywareApp\ver2_0_28_1\AOLSP Scheduler.exe
c:\program files\fichiers communs\aol\1177615087\ee\aolsoftware.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\AOL 9.0 VRb\waol.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\AOL 9.0 VRb\shellmon.exe
C:\Program Files\Fichiers communs\AOL\Topspeed\3.0\aoltpsd3.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Wambo] C:\Program Files\Wambo.com Swapper\Swapper.exe -auto
O4 - HKLM\..\Run: [avast!] F:\avast\ashDisp.exe
O4 - HKLM\..\Run: [Burn Dvd Mail More] C:\Documents and Settings\All Users\Application Data\Part title burn dvd\once hope.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LOUD BURN] C:\DOCUME~1\Isabelle\APPLIC~1\ACIDHI~1\SoftwareStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRb\AOL.EXE" -b
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = F:\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Event Reminder.lnk = F:\printmaster\PrintMaster\PMremind.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Mémento.lnk = C:\quickenw\billmind.exe
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/21cb9066a6c66bf2f305/netzip/RdxIE601_fr.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_fr_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{195C4FA1-DCFC-4F7B-A9F3-ECB0FA34FB18}: NameServer = 192.168.1.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\avast\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O24 - Desktop Component 0: (no name) - http://tiles.xbox.com/...


Remarque : le passage par hijackthis pour cette infection n'est pas nécessaire,
il a juste été ajouté à titre indicatif pour savoir repérer une infection lop à partir d'un rapport hijackthis !
(tutoriel d'utilisation du logiciel hijackthis)

De manière générale, pour supprimer adaware lop, il suffit de supprimer les fichiers liés à l'infection !
Voici un petit programme lopxp capable de détecter et supprimer la totalité des fichiers, programmes et tâches planifiées ajoutés par l'adware lop lors de son installation.

Fonctionne uniquement sous Windows 2000, XP !

Mode d'emploi Lopxp

• Télécharger Lopxp : (by Moe) :
• Double-cliquer sur Lopxpsetup.exe pour lancer l'installation
• Au menu, choisir l'option 1
• Patienter jusqu'à que l'on demande d'appuyer sur une touche, appuyer !
• Le contenu du rapport est situé dans : C:\Programfiles\Lopxp\cid.txt

Une fois téléchargé, Lopxp s'installe dans C:\Programfiles\Lopxp

• Option 1 : générer le rapport
• Option2 : quitter le programme
• Option 3 : désinstaller lopxp, en supprimant le dossier C:\Programfiles\Lopxp et tout sont contenu, ainsi que le raccourci sur le bureau.

Exemple d'un rapport mettant en évidence une infection lop indiqué dans la partie suggestion du rapport :

Rapport Lopxp fait le 04/02/2008 à 20:36:25 
Exécuté dans : C:\Program Files\Lopxp 
Version 3.04 - Maj du 03/02/2008 

Killing 'iexplore.exe' 
"C:\Program Files\Internet Explorer\iexplore.exe" (2512) 
"C:\Program Files\Internet Explorer\iexplore.exe" (3164) 
"C:\Program Files\Internet Explorer\iexplore.exe" -Embedding (2640) 


========== Listing des dossiers Application Data 

+- C:\Documents and Settings\All Users\Application Data 

2007-09-17 à 05:56:44 - Adobe 
2007-12-13 à 15:18:04 - AOL 
2007-12-13 à 15:13:02 - AOL Downloads 
2007-04-29 à 15:00:12 - AOL OCP 
2007-11-05 à 06:45:04 - Apple 
2007-11-05 à 06:47:25 - Apple Computer 
2007-08-12 à 06:15:18 - Broderbund Software 
2007-04-21 à 12:43:41 - CyberLink 
2007-06-25 à 05:12:50 - DVD Shrink 
2007-04-22 à 09:01:28 - Google 
2008-01-26 à 08:32:05 - Lavasoft 
2007-08-20 à 13:16:49 - Macromedia 
2007-06-21 à 17:45:52 - Microsoft 
2008-01-17 à 18:25:32 - Part title burn dvd 
2007-06-14 à 16:36:16 - QuickTime 
2007-06-24 à 18:28:04 - SlySoft 
2008-01-23 à 19:38:04 - Spybot - Search & Destroy 
2007-04-29 à 15:00:01 - Viewpoint 
2007-05-18 à 17:04:30 - Windows Genuine Advantage 
2007-09-17 à 09:29:41 - Windows Live Toolbar 
2007-04-22 à 20:25:14 - Yahoo! 

+- C:\Documents and Settings\Isabelle\Application Data 

2007-04-29 à 15:00:28 - acccore 
2008-01-17 à 18:25:49 - Acid hide save 
2008-02-02 à 16:45:04 - Adobe 
2007-04-28 à 10:23:29 - AdobeUM 
2007-12-13 à 15:17:44 - AOL 
2007-11-19 à 18:52:05 - Apple Computer 
2007-08-08 à 08:27:36 - Azureus 
2007-10-09 à 06:01:01 - Buddi 
2007-08-17 à 18:21:13 - EssentialPIM 
2007-04-27 à 17:09:12 - Google 
2007-06-21 à 08:44:30 - Help 
2007-04-21 à 12:40:21 - Hewlett-Packard 
2007-04-21 à 12:24:48 - Identities 
2007-04-21 à 12:42:24 - InterTrust 
2008-01-24 à 06:47:50 - kantaris 
2007-05-05 à 14:33:08 - Leadertech 
2007-04-22 à 14:46:00 - Macromedia 
2007-12-30 à 18:17:04 - Microsoft 
2008-01-24 à 07:57:51 - Mozilla 
2007-05-21 à 08:26:25 - Real 
2007-06-24 à 18:29:07 - SlySoft 
2007-07-15 à 06:13:58 - Sony Corporation 
2007-05-02 à 16:06:45 - Sun 
2007-05-18 à 14:07:41 - U3 
2008-01-24 à 07:00:56 - vlc 
2007-05-25 à 09:04:20 - You've Got Pictures Screensaver 

+- C:\Documents and Settings\Isabelle\Local Settings\Application Data 

2007-05-05 à 14:36:15 - Adobe 
2007-08-30 à 04:28:00 - Ahead 
2007-08-21 à 08:01:14 - AOL 
2007-04-29 à 15:00:03 - AOL OCP 
2007-11-05 à 06:45:40 - Apple 
2007-11-05 à 06:44:15 - Apple Computer 
2007-07-08 à 15:21:21 - Ares 
2007-06-22 à 06:02:05 - Glowria 
2007-04-27 à 17:09:12 - Google 
2007-06-21 à 08:44:30 - Help 
2007-04-21 à 20:16:51 - Identities 
2007-04-21 à 14:05:09 - Logitech-LS 
2007-12-06 à 08:08:40 - Microsoft 
2008-01-24 à 07:57:51 - Mozilla 
2007-10-16 à 16:19:07 - Pando 
2007-10-06 à 09:36:41 - {300ED5A9-6225-4D09-9CE6-35CFF0DFE09F} 

========== Listing du dossier Program Files 

+- C:\Program Files 

2008-01-17 à 18:25:10 - Acid hide save 
2007-09-17 à 05:56:27 - Adobe 
2005-05-12 à 20:41:53 - Ahead 
2008-01-13 à 17:03:29 - AnglaisFacile.com 
2007-11-20 à 16:10:22 - AOL 
2007-11-19 à 08:20:39 - AOL 9.0 VR 
2007-11-15 à 18:43:52 - AOL 9.0 VRa 
2007-12-14 à 11:33:22 - AOL 9.0 VRb 
2007-08-20 à 13:15:16 - AOL Toolbar 
2007-11-05 à 06:45:35 - Apple Software Update 
2007-04-21 à 12:32:24 - ASUS 
2007-04-21 à 12:35:25 - ATI Technologies 
2007-04-21 à 12:29:56 - Avance Sound Manager 
2007-08-08 à 06:34:48 - Azureus 
2007-04-21 à 12:15:46 - ComPlus Applications 
2007-04-21 à 12:43:40 - CyberLink 
2007-04-21 à 12:58:09 - DivX 
2007-09-19 à 16:37:10 - FairUse Wizard 2 
2008-01-24 à 07:24:56 - Fichiers communs 
2008-01-24 à 07:24:02 - Google 
2007-04-21 à 12:32:25 - Hewlett-Packard 
2007-08-12 à 06:12:46 - InstallShield Installation Information 
2008-01-24 à 06:39:59 - Internet Explorer 
2008-01-08 à 13:33:41 - Java 
2008-01-26 à 08:31:09 - Lavasoft 
2007-05-25 à 09:04:20 - Learn2.com 
2007-04-21 à 13:11:30 - Logitech 
2008-02-04 à 19:36:35 - Lopxp 
2007-12-19 à 19:30:04 - MediaInfo 
2007-11-25 à 11:55:14 - messenger 
2008-01-20 à 20:08:19 - MeuhMeuhTV 
2007-11-22 à 07:28:32 - Microsoft CAPICOM 2.1.0.2 
2007-04-21 à 12:20:04 - microsoft frontpage 
2007-04-21 à 13:03:03 - Microsoft Office 
2007-11-23 à 17:20:36 - Movie Maker 
2008-02-04 à 16:40:27 - Mozilla Firefox 
2007-04-21 à 12:15:32 - MSN 
2007-04-21 à 12:15:20 - MSN Gaming Zone 
2007-12-11 à 11:47:12 - MSN Messenger 
2008-02-04 à 17:09:29 - Navilog1 
2007-11-23 à 17:17:53 - NetMeeting 
2007-11-25 à 11:54:07 - Outlook Express 
2007-08-10 à 05:50:39 - Perenety 
2007-11-05 à 06:48:27 - QuickTime 
2007-05-10 à 07:53:39 - QuickZip4 
2007-05-21 à 08:22:19 - Real 
2007-10-06 à 06:29:38 - RegCleaner 
2007-04-21 à 12:17:54 - Services en ligne 
2007-09-20 à 13:24:31 - Skype 
2007-06-25 à 09:54:18 - SlySoft 
2008-01-02 à 12:58:24 - Spybot - Search & Destroy 
2008-02-03 à 07:12:05 - Trend Micro 
2007-04-21 à 12:24:44 - Uninstall Information 
2008-01-24 à 07:07:58 - VideoLAN 
2007-04-29 à 15:00:01 - Viewpoint 
2007-04-21 à 12:41:52 - vtplus 
2007-09-17 à 12:42:32 - Wambo.com Swapper 
2007-09-21 à 06:02:31 - Windows Live Toolbar 
2007-11-23 à 17:35:26 - Windows Media Player 
2007-11-23 à 17:17:47 - Windows NT 
2007-09-17 à 09:30:43 - WindowsUpdate 
2007-04-21 à 13:03:01 - WinRAR 
2008-01-16 à 20:34:28 - WinTV 
2007-04-21 à 12:20:04 - xerox 
2007-12-11 à 13:58:26 - Yahoo! 

========== Tâches planifiées 

ADF73A1693E0B62A.job: c:\docume~1\isabelle\applic~1\acidhi~1\Nouninterknob.exe 
AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -task 
FRU Task #Hewlett-Packard#hp psc 1200 series#1177159191.job: C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1177159191" 

========== Clés registre 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Burn Dvd Mail More"="C:\Documents and Settings\All Users\Application Data\Part title burn dvd\once hope.exe" 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"LOUD BURN"="C:\DOCUME~1\Isabelle\APPLIC~1\ACIDHI~1\SoftwareStart.exe" 


========== Bloqueur popups Internet Explorer 

Aucun site autorisé à émettre des popups. 




========== Suggestion ( /!\ Nécessite une interprétation.) ========== 

C:\Documents and Settings\All Users\Application Data\Part title burn dvd 
C:\Documents and Settings\Isabelle\Application Data\Acid hide save 
C:\Program Files\Acid hide save 
C:\Program Files\MediaInfo 
C:\WINDOWS\tasks\ADF73A1693E0B62A.job 

+- Registre: 

REGEDIT4 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Burn Dvd Mail More"=- 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"LOUD BURN"=- 




- Fin du rapport - 

Partie du rapport lopxp à analyser

L'essentiel du rapport à analyser réside dans la partie Suggestion ( /!\ Nécessite une interprétation.) située à la fin du rapport :

========== Suggestion ( /!\ Nécessite une interprétation.) ========== 

C:\Documents and Settings\All Users\Application Data\Part title burn dvd 
C:\Documents and Settings\Isabelle\Application Data\Acid hide save 
C:\Program Files\Acid hide save 
C:\Program Files\MediaInfo 
C:\WINDOWS\tasks\ADF73A1693E0B62A.job 

+- Registre: 

REGEDIT4 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Burn Dvd Mail More"=- 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"LOUD BURN"=- 




- Fin du rapport - 

Il suffit de vérifier que les fichiers détectés ne sont pas de faux positifs ! Autrement dit, des fichiers légitimes :
Dans notre exemple, nous vérifions très simplement que le fichiers (correspondant aux fichiers dans documents and settings, dossiers dans program files ainsi que la ou les tâches planifiées) sont bel et bien installés par Lop lors de l'acceptation et de l'installation des sponsors !

• Astuce : comment être sûr que les fichiers appartiennent bien à l'adawre lop ?
  • Tout l'art de la suppression de lop consiste à repérer les fichiers créés à la même date (dans les secondes - voire la minute - qui suivent) que le fichier repéré dans le rapport hijackthis !
  • Pour se faire, voici une petite astuce pratique ! Repérez dans le rapport lopxp le fichier indiquant la présence de lop dans le rapport hijackthis vu précédemment, par exemple :
    • O4 - HKCU\..\Run: [LOUD BURN] C:\DOCUME~1\Isabelle\APPLIC~1\ACIDHI~1\SoftwareStart.exe
  • Ce qui correspond donc dans le rapport lopxp à :
    • +- C:\Documents and Settings\Isabelle\Application Data [...] 2008-01-17 à 18:25:49 - Acid hide save
  • Faites : Ctrl+F pour effectuer une recherche rapide et coller dans la fenêtre la date, l'heure et la minute, soit :
    • 2008-01-17 à 18:25, cliquer sur suivant et repérer comme dit précedement les fichiers, programmes et tâches planifiées créés à la même date. Et voilà ! le tour est joué, vous trouverez en quelques clics les fichiers liés à lop !

Mode de désinfection

• Aller dans : Démarrer > Exécuter puis copier/coller la ligne suivante en gras :
  • "%programfiles%\Lopxp\Lopxp.bat" /Fixme puis valider,
• Le mode fixe reprendra tous les fichiers mentionnés dans la partie suggestion du 1er rapport généré.
• Pour chaque fichier, il faudra accepter (appuyer sur la touche y) ou refuser (appuyer sur la touche n) la suppression afin d'éviter toute erreur d'interprétation de la partie suggestion.
• Les sauvegardes de chaque suppression seront stockées dans le dossier C:\Programfiles\Lopxp\Sauvegardes

Nettoyage complémentaire

• A faire le nettoyage suivant afin d’éliminer les « saletés » qui restent :
  • 1. ccleaner :
  • tuto
  • 2. AVG anti spyware :
  • tuto
  • 3. clean.zip (de Malekal_morte) :
  • Décompresser le fichier sur le bureau (clic droit / extraire tout), afin d’obtenir un dossier nommé clean.
  • Ouvrir le dossier Clean qui se trouve sur ton bureau et faire un double-clic sur clean.cmd.
  • Une fenêtre noire va apparaître, choisir l'option 1, un rapport sera créé sous la racine : C:\rapport_clean.txt, si des fichiers infectés ont étaient détectés, vous pourrez passer à l’option 2 en mode sans échec.
  • 4. Scan en ligne avec BitDefender (uniquement sous Internet Explorer) :
  • tutoriel (Merci à Balltrap34 pour cette réalisation)
  • Enfin, installer un pare-feu du type ZoneAlarm - si vous n’en avez pas déjà un !
• A consulter :
  • popups ouverture de fenetres internet publicitaires pop up
  • securite proteger un ordinateur contre les malwares d internet