Supprimer le hijack/malware C2 Media/lop.com

Supprimer C2Media/lop.com et StartPage-* / Trojan.StartPage-* / Win32:trojan-gen.{*}



ces hijack qui modifient votre page de démarrage, en outre il ajoute quelques icônes sur le bureau, beaucoup de nouveaux favoris et des icônes dans accessoires vers des sites pornographiques. Ils ouvrent aussi des popup de pub.
Il provoque aussi l’instabilité et un ralentissement du système.
Ce hijack s’installe avec MSN Plus! si vous ne répondez pas non à la fenêtre de contrat de sponsor (voir ci-dessous)

fenêtre MSN Plus! installant C2 Media
 
Exemple de log avec HijackThis :

R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant=http://thko.com/searchbar.html
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page=thko.com
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar=http://thko.com/searchbar.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page=http://thko.com/searchbar.html


R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant=http://thko.com/searchbar.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar=http://thko.com/searchbar.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page=http://thko.com/searchbar.html

OU

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSpfmbb.dll/sp.html#28129
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSpfmbb.dll/sp.html#28129
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSpfmbb.dll/sp.html#28129
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSpfmbb.dll/sp.html#28129
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSpfmbb.dll/sp.html#28129
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSpfmbb.dll/sp.html#28129
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSpfmbb.dll/sp.html#28129

R0 et R1 sont utilisés pour modifier la page de démarrage/recherche et 404 d’Internet Explorer
Le domaine (ici thko.com) peut être différent, voici une liste, mais selon la variante, vous pouvez avoir un autre domaine :

  • aavc.com
  • acjp.com
  • ebch.com
  • ebdv.com
  • ebdw.com
  • ebjp.com
  • ebkn.com
  • ebky.com
  • eblv.com
  • ebmu.com
  • ebvr.com
  • ecmh.com
  • ecpm.com
  • ecwz.com
  • ecyb.com
  • eduy.com
  • eeev.com
  • ibmx.com
  • icwb.com
  • icwo.com
  • icwp.com
  • iddh.com
  • iddh.com
  • icwb.com
  • eduy.com
  • ecpm.com
  • ecwz.com
  • idhh.com
  • ifiz.com
  • iguu.com
  • samz.com
  • saoe.com
  • sbjr.com
  • sbnl.com
  • sbnt.com
  • sbvr.com
  • scbm.com
  • sckr.com
  • scrk.com
  • sdry.com
  • seld.com
  • sfux.com
  • sipo.com
  • smds.com
  • srib.com
  • srox.com
  • icwp.com
  • ibmx.com
  • srsf.com
  • ssaw.com
  • ssby.com
  • surj.com
  • tbvg.com
  • tdak.com
  • tdko.com
  • tdmy.com
  • tefs.com
  • tfil.com
  • thko.com
  • tjar.com
  • tjaw.com
  • tjdo.com
  • tjem.com
  • tjgo.com
  • torc.com
  • wabq.com
  • wabu.com
  • wbkb.com
  • wfix.com
  • wflu.com
  • icwo.com
  • eeev.com


O2 – BHO: (no name) – {00000EF1-34E3-4633-87C6-1AA7A44296DA} – C:WINDOWSSystem32bleetrfrzdf.dll
O2 – BHO: (no name) – {652d61d4-65df-4c4d-8cdf-bdbe9b9342ff} – C:DOCUME~1PieterAPPLIC~1gllnprgrtrf.dll

02 sont les BHO qui vous ouvrent les popup de pub.
Vous avez TOUJOURS une fichier .dll dans System32\ de votre dossier Windows et une .dll dans C:Document&settingsvotre_utilisateur_applications datas

Le nom du fichier peut être une liste aléatoire du fichier, voici une petite liste :

  • blztstull[letter ‘a’, ‘c’, ‘j’, ‘p’, ‘s’, ‘t’ or ‘y’].dll
  • blztstull[’pr’, ‘tr’ or ‘oo’].dll
  • chksbdrlya.dll
  • dmvcrthl.exe
  • eaeeishllblc.dll
  • eelykofrllfrpr.dll
  • eelykofrllfrj.dll
  • ealymfrprwch.dll
  • epllkeeoopr.dll
  • freabrlaouw.dll
  • gldqumssfrie.dll
  • hglllyxrxw.dll
  • icdrhwno.dll
  • heeachmstll.dll
  • meepajlr.dll
  • ousszidrta.dll
  • plg_ie[any digit].dll
  • prxzoustustgr.dll
  • prnouestssstx.dll
  • quizbt[any digit].dll
  • quglwachfs.dll
  • sstroallhqch.dll
  • tblchepruprgr.dll
  • trdzhtxf.exe
  • trstshcrscksr.dll
  • ukfroigl.dll
  • upckeetoutw.dll
  • veaeyglckr.dll
  • woafrquzn.dll
  • yeecrsoustoull.dll
  • ziebaeeoaeepr.dll

O4 – HKLM..Run: [zgrtrl] C:DOCUME~1PieterAPPLIC~1dhfrstee.exe
O4 – HKCU..Run: [Binbags] C:DOCUME~1ADMINI~1APPLIC~1BOWSFU~1Joy Glue.exe
Ceci est la clef qui lance le hijack au démarrage, elle se trouve toujours dans  C:Document&settingsvotre_utilisateur_applications datas ce qui permet de le reconnaître facilement.
vous pouve consulter une liste :
Liste des processus lop.com
Liste processus C2 Media/lop.com
Liste processus C2 Media/lop.com

O15 – Trusted Zone: *.frame.crazywinnings.com
O15 – Trusted Zone: *.static.topconverting.com
O15 – Trusted Zone: *.05p.com (HKLM)
O15 – Trusted Zone: *.awmdabest.com (HKLM)
O15 – Trusted Zone: *.blazefind.com (HKLM)
O15 – Trusted Zone: *.clickspring.net (HKLM)
O15 – Trusted Zone: *.flingstone.com (HKLM)
O15 – Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 – Trusted Zone: *.mt-download.com (HKLM)
O15 – Trusted Zone: *.my-internet.info (HKLM)
O15 – Trusted Zone: *.scoobidoo.com (HKLM)
O15 – Trusted Zone: *.searchbarcash.com (HKLM)
O15 – Trusted Zone: *.searchmiracle.com (HKLM)
O15 – Trusted Zone: *.slotch.com (HKLM)
O15 – Trusted Zone: *.static.topconverting.com (HKLM)
O15 – Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 – Trusted IP range: 206.161.125.149
O15 – Trusted IP range: 206.161.124.130 (HKLM)
L’hijack ajoute des sites dans la zone de confiance, pour plus d’informations, consultez Sécuriser le navigateur Windows Internet Explorer

O17 – HKLMSystemCCSServicesTcpipParameters: Domain = thko.com
O17 – HKLMSystemCCSServicesTcpip..{575C73D2-1A72-4A39-B8F3-1B8B44829DA9}: Domain = thko.com
O17 – HKLMSystemCCSServicesTcpip..{73C972C2-467E-4772-8FB2-D4D283F6F173}: Domain = thko.com
O17 – HKLMSystemCCSServicesTcpip..{7B52223B-7618-4D0D-9866-5D64F0715A42}: Domain = thko.com
O17 – HKLMSystemCS3ServicesTcpipParameters: Domain = thko.com

O18 – Protocol: ayb – {07C0D34D-11D7-43F7-832B-C6BB41726F5F}

Une variante peut aussi créer une tâches planifiées afin de réinfecter la machine.

Suppression de C2 Media/lop.com et Win32:trojan-gen.{*}

1 – Afficher les fichiers cachés et supprimer la tâche planifiée

Dans un premier temps, nous allons afficher les fichiers cachés pour que l’on puisse voir les fichiers du hijack.
Nous devons aussi supprimer la tâche planifiée pour ne pas se faire réinfecter.
Il se peut que la tâche planifiée ne soit pas présente selon la variante du hijack

  • Ouvrez le poste de travail
    • Allez dans le menu Outils
    • Options des dossiers
    • Dans la nouvelle fenêtre, cliquez en haut sur l’onglet Affichage
    • Cochez « Afficher les fichiers cachés »
  • Supprimer la tâche planifiée qui pourrait relancer l’infection, pour cela :
    • Ouvrez le poste de travail
    • Double-Cliquez sur le disque C
    • Double-Cliquez sur le dossier Windows
    • Double-Cliquez sur le dossier Tasks
    • Cherchez un fichier avec une série de lettre en majuscules et de chiffres se terminant par .job ex : ADE3C25191955C8E.job
    • Faites un clic droit dessus puis supprimer
  • Fermer Internet Explorer et ne le réouvrir plus !

2 – Utilisez Look2Me

Scannez votre ordinateur avec Look2Me

Capture de look2Me

3 – Repérer les fichiers utilisés par le hijack

Il convient ensuite de repérer les fichiers utilisés par le hijack, ceci peut-être une étape difficile pour une personne n’ayant pas l’habitude.
N’hésitez pas à vérifier la date des fichiers pour savoir quand est-ce qu’ils sont arrivés sur le disque dur.
Vous pouvez aussi utiliser google pour obtenir de l’aide sur la provenance des fichiers ou demander de l’aide sur le forum


Cette étape est importante pour pouvoir ensuite le supprimer
  • Téléchargez et scanner avec HijackThis
  • Repérer les fichiers et le domaine utilisés à partir de l’exemple précédent

Utilisez bien la partie précédente pour repérer les fichiers de l’hijack et les clefs du registre.

4 – Suppression des fichiers de l’Hijack

  • Faites : CTRL+ALT+Suppr puis Gestionnaires de tâches puis processus
  • Dans la liste recherchez le fichier repérez en 04 dans l’exemple précédent
  • Cliquez dessus et faites « fin de tâches » en bas à droite
  • Dans le poste de travail
    • Ouvrez le disque C
    • Double-cliquez sur le Documents & Settings
    • La liste des utilisateurs de la machine s’ouvre, double-cliquez sur votre utilisateur
    • Double-cliquez sur Application Data
    • Faites un clic droit sur le fichier répéré en 04 avec C:DOCUME~1PieterAPPLIC~1 et cliquez sur supprimer
    • Faites un clic droit sur le fichier .dll répéré en 02 se trouvant dans Documents & Settings et cliquez sur supprimer
    • Fermez le poste de travail
  • Réouvrez le poste de travail
    • Ouvrez le disque C
    • Double-cliquez sur le dossier windows
    • Double-cliquez sur System32\
    • Cherchez le fichier repéré en 02 se trouve dans le dossier System32\ de Windows et cliquez sur supprimer

5 – Nettoyez la base de registre

  • Ouvrez l’éditeur du registre : Démarrer / executer / regedit / OK
  • Déroulez l’arborescence : Hkey_Local_MachineSystemCCSServicesTcpip
    • Supprimez les clefs repérées en 017 celles comportants le nom du domaine que vous avez en page de démarrage de Windows
  • Fermez l’éditeur du registre
  • Ouvrez msconfig : Démarrer / executer / msconfig
  • Cliquez sur l’onglet démarrage en haut à droite
  • Repérez la ligne avec le fichier -QuieT repéré en 04 et décochez la ligne
  • Faites OK mais ne redémarrez pas l’ordinateur

6 – Remettre la page de démarrage d’Internet Explorer

  • Réexecutez HijackThis
  • Cochez les lignes restantes de l’hijack, il doit vous rester notamment celles repérées en R0 et R1
  • Cliquez sur clean

7 – Terminer le nettoyage

Redémarrez votre ordinateur en mode normal, si le spyware est encore là, rescannez votre ordinateur avec SpyBot et Ad-Aware.

Autres Liens

Pour plus d’informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 11 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *