Supprimer C2Media/lop.com et StartPage-* / Trojan.StartPage-* / Win32:trojan-gen.{*}

---

ces hijack qui modifient votre page de démarrage, en outre il ajoute quelques icônes sur le bureau, beaucoup de nouveaux favoris et des icônes dans accessoires vers des sites pornographiques. Ils ouvrent aussi des popup de pub.
Il provoque aussi l'instabilité et un ralentissement du système.
Ce hijack s'installe avec MSN Plus! si vous ne répondez pas non à la fenêtre de contrat de sponsor (voir ci-dessous)

Suppression de C2 Media/lop.com et Win32:trojan-gen.{*}

• Téléchargez et installez HijackThis - mode d'emploi
• Téléchargez Look2Me Remover et installez le
• Démarrez Windows en mode sans échec : voir ici

1 - Afficher les fichiers cachés et supprimer la tâche planifiée

Dans un premier temps, nous allons afficher les fichiers cachés pour que l'on puisse voir les fichiers du hijack.
Nous devons aussi supprimer la tâche planifiée pour ne pas se faire réinfecter.
Il se peut que la tâche planifiée ne soit pas présente selon la variante du hijack

• Ouvrez le poste de travail
• Allez dans le menu Outils
• Options des dossiers
• Dans la nouvelle fenêtre, cliquez en haut sur l'onglet Affichage
• Cochez "Afficher les fichiers cachés"
• Supprimer la tâche planifiée qui pourrait relancer l'infection, pour cela :
• Ouvrez le poste de travail
• Double-Cliquez sur le disque C
• Double-Cliquez sur le dossier Windows
• Double-Cliquez sur le dossier Tasks
• Cherchez un fichier avec une série de lettre en majuscules et de chiffres se terminant par .job ex : ADE3C25191955C8E.job
• Faites un clic droit dessus puis supprimer
• Fermer Internet Explorer et ne le réouvrir plus !
  

2 - Utilisez Look2Me

Scannez votre ordinateur avec Look2Me


3 - Repérer les fichiers utilisés par le hijack

Il convient ensuite de repérer les fichiers utilisés par le hijack, ceci peut-être une étape difficile pour une personne n'ayant pas l'habitude.
N'hésitez pas à vérifier la date des fichiers pour savoir quand est-ce qu'ils sont arrivés sur le disque dur.
Vous pouvez aussi utiliser google pour obtenir de l'aide sur la provenance des fichiers ou demander de l'aide sur le forum
Cette étape est importante pour pouvoir ensuite le supprimer

• Téléchargez et scanner avec HijackThis
• Repérer les fichiers et le domaine utilisés à partir de l'exemple précédent

Utilisez bien la partie précédente pour repérer les fichiers de l'hijack et les clefs du registre.

4 - Suppression des fichiers de l'Hijack

• Faites : CTRL+ALT+Suppr puis Gestionnaires de tâches puis processus
• Dans la liste recherchez le fichier repérez en 04 dans l'exemple précédent
• Cliquez dessus et faites "fin de tâches" en bas à droite
• Dans le poste de travail
• Ouvrez le disque C
• Double-cliquez sur le Documents & Settings
• La liste des utilisateurs de la machine s'ouvre, double-cliquez sur votre utilisateur
• Double-cliquez sur Application Data
• Faites un clic droit sur le fichier répéré en 04 avec C:\DOCUME~1\Pieter\APPLIC~1\ et cliquez sur supprimer
• Faites un clic droit sur le fichier .dll répéré en 02 se trouvant dans Documents & Settings et cliquez sur supprimer
• Fermez le poste de travail
• Réouvrez le poste de travail
• Ouvrez le disque C
• Double-cliquez sur le dossier windows
• Double-cliquez sur system32
• Cherchez le fichier repéré en 02 se trouve dans le dossier system32 de Windows et cliquez sur supprimer

5 - Nettoyez la base de registre

• Ouvrez l'éditeur du registre : Démarrer / executer / regedit / OK
• Déroulez l'arborescence : Hkey_Local_Machine\System\CCS\Services\Tcpip\
• Supprimez les clefs repérées en 017 celles comportants le nom du domaine que vous avez en page de démarrage de Windows
• Fermez l'éditeur du registre
• Ouvrez msconfig : Démarrer / executer / msconfig
• Cliquez sur l'onglet démarrage en haut à droite
• Repérez la ligne avec le fichier -QuieT repéré en 04 et décochez la ligne
• Faites OK mais ne redémarrez pas l'ordinateur

6 - Remettre la page de démarrage d'Internet Explorer

• Réexecutez HijackThis
• Cochez les lignes restantes de l'hijack, il doit vous rester notamment celles repérées en R0 et R1
• Cliquez sur clean

7 - Terminer le nettoyage

• Ce spyware peut être installé par d'autres spywares, afin de s'assurer que votre PC est propre, scannez votre ordinateur avec :
• Téléchargez et installer Ewido
• Pendant l'installation décoche "Install background guard (required for automatic updates)" et "Install scan via context menu". 
• lance Ewido et mets-le à jour 
• Redémarre en mode sans échec, (en tapotant F8 au démarrage) 
• Lance ewido 
• clique "Complete System Scan"
• SpyBot : cliquez-ici - Tutorial et guide sur l'utilitaire Spybot Search & Destroy
• Malwarebyte's Anti-Malware anti-malware recommandé
• Je vous conseil aussi de scanner votre ordinateur avec un antivirus à jour, si vous êtes infecté, il y a des chances que vous n'en aillez pas, utilisez alors un antivirus en ligne : 
• Scan par Secuser
• Scan par Symantec
• Scan par Panda
• Nettoyez votre base de registre à l'aide de l'utilitaire regcleaner
• Nettoyez les fichiers temporaires/caches etc.. avec CCleaner
• Si vous rencontrez toujours des problèmes, générez un log à l'aide HijackThis - mode d'emploi et venez le poster sur le forum

Redémarrez votre ordinateur en mode normal, si le spyware est encore là, rescannez votre ordinateur avec SpyBot et Ad-Aware.

Autres Liens

Pour plus d'informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)

• Les outils de suppressions de Spywares/Malwares spécifiques
• Sécuriser le navigateur Windows Internet Explorer
• Tutorial installation et configuration d'Antivir
• Tutorial et configuration du Firewall de Windows XP