Posez votre question »

Bloquer les fenêtres CiD ?

Juin 2015

Dés que vous ouvrez une page Internet, vous vous retrouvez envahi(e) de fenêtres publicitaires nommées CiD, vous proposant de télécharger divers programmes, et vous ne savez plus quoi faire pour vous en débarrasser ? ... Ces fenêtres révèlent en réalité la présence de l'adware Lop responsable de cette publicité intempestive dont vous êtes victime.


Cet adware s'installe lors de l'installation des logiciels suivants, en contrepartie de leur dite « gratuité » :
  • BitDownload
  • BitGrabber
  • BitRoll
  • BitTorrent Fastest Tool
  • C2Media
  • DivoCodec
  • DivoPlayer
  • DomPlayer
  • GalaPlayer
  • Get-Torrent
  • KitPlayer
  • NetPumper
  • PluginDL
  • Sponsor de Messenger Plus! Live
  • TorrentGamers
  • TorrentQ
  • TorrentSoftware
  • TorrentSpeeder
  • Torrent101
  • WinZix
  • 3wPlayer
  • ...



Moralité : il faut toujours faire très attention lors de l'installation d'un programme, en prenant le soin de bien lire le contrat d'utilisation qui mentionne les ¾ du temps la présence de cet adware !

En revanche, seul MSN plus ! propose explicitement à l'internaute d'installer ou non le sponsor (responsable de cette publicité abusive). Et par la suite, permettre de désinstaller facilement le sponsor en question.


Extrait des conditions d'utilisation du contrat, si l'on accepte d'installer le sponsor :

"POLITIQUE DE PROTECTION DE LA VIE PRIVÉE"


CiD vous fournit le produit logiciel (le « logiciel ») gratuitement ou à un prix réduit en échange de votre acceptation à recevoir des messages publicitaires et promotionnels livrés par CiD et des tiers à votre ordinateur basés en partie sur les
mots-clés des sites web que vous - ou tout autre utilisateur de l'ordinateur - visitez.

Le contenu complémentaire peut inclure des publicités, des promotions, des liens à des sites web tiers ou autres documentations livrés à votre ordinateur qui correspondent à ce qui vous intéresse, basés en partie sur des mots-clés trouvés sur les sites web que vous visitez. (...)"

Bien sûr, ce sont des publicités intempestives .



Pour les autres programmes cités précédemment, c'est différent, car le fait de désinstaller le logiciel p2p ne supprimera pas pour autant le sponsor, car celui-ci est dissimulé dans un autre programme nommé "CiDhelp" (ou "CiD-quelquechose" dans certains cas).


Remarque : la plupart du temps, la publicité générée par l'adware lop propose elle-même de télécharger d'autres programmes gratuits, comme des jeux, des chaînes de TV et radios etc. ... qui, une fois téléchargés, installeront à leur tour d'autres malwares comme : navipromo, le dialer instant access ... eux aussi générateurs de pubs ! Résultat : une infection « en cascade » se traduisant par une invasion de publicités en tout genre !

1ère Méthode de désinfection : suppression manuelle

  • Démarrer en mode sans échec
  • Aller dans le menu Démarrer
  • Cliquer sur panneau de configuration
  • Choisir le module ajout/suppression de programmes
  • Pour Msn plus! : il suffit de désinstaller le sponsor :

  • Pour les logiciels p2p indiqués un peu plus haut : il faut chercher et supprimer le sponsor lié à CiD :
    • Supprimer les programmes suivants si présents :
      • Cid help
      • Circle Developement
      • Adverts



2ème Méthode de désinfection : en utilisant un fix


La plupart du temps, les antivirus ou antispywares s'occupent de supprimer Cidhelp et autres programmes liés directement à Cid sans pour autant neutraliser totalement l'infection lop.

Comment repérer une infection lop dans un rapport hijackthis ?


Lop se repère très facilement dans un rapport hijackthis, il se manifeste sous la forme d'une voire deux lignes en 04 indiquant des fichiers situés dans le répertoire "Application Data" (parfois abrégé Applic~1) sous windows XP et dans le répertoire ProgramData sous windows Vista.

( cf lignes en gras dans le rapport suivant )

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:13:26, on 03/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
F:\avast\aswUpdSv.exe
F:\avast\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\QuickTime\QTTask.exe
F:\avast\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
F:\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\AOL\1177615087\ee\aolsoftware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLacsd.exe
c:\program files\fichiers communs\aol\1177615087\ee\services\antiSpywareApp\ver2_0_28_1\AOLSP Scheduler.exe
c:\program files\fichiers communs\aol\1177615087\ee\aolsoftware.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\AOL 9.0 VRb\waol.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\AOL 9.0 VRb\shellmon.exe
C:\Program Files\Fichiers communs\AOL\Topspeed\3.0\aoltpsd3.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Wambo] C:\Program Files\Wambo.com Swapper\Swapper.exe -auto
O4 - HKLM\..\Run: [avast!] F:\avast\ashDisp.exe
O4 - HKLM\..\Run: [Burn Dvd Mail More] C:\Documents and Settings\All Users\Application Data\Part title burn dvd\once hope.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LOUD BURN] C:\DOCUME~1\Isabelle\APPLIC~1\ACIDHI~1\SoftwareStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRb\AOL.EXE" -b
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = F:\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Event Reminder.lnk = F:\printmaster\PrintMaster\PMremind.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Mémento.lnk = C:\quickenw\billmind.exe
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/21cb9066a6c66bf2f305/netzip/RdxIE601_fr.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_fr_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{195C4FA1-DCFC-4F7B-A9F3-ECB0FA34FB18}: NameServer = 192.168.1.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\avast\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O24 - Desktop Component 0: (no name) - http://tiles.xbox.com/...


Note : exemple de lignes hijackthis montrant une infection sous une platforme vista :

O4 - HKLM\..\Run: [Save Dupe] "C:\ProgramData\sixth sect sect.ilrjji7"
O4 - HKLM\..\Run: [LESS CITY AMEN SETUP] "C:\ProgramData\Sixth Body Help.z6rat"


Remarque : le passage par hijackthis pour cette infection n'est pas nécessaire,
il a juste été ajouté à titre indicatif pour savoir repérer une infection lop à partir d'un rapport hijackthis !
Tutoriel d'utilisation d'Hijackthis

==== Détecter l'infection avec FixLop ====

====Préliminaire====
  • Important : si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il va gêner la désinfection en empêchant la modification des BHO et la réparation du registre.
    • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé
    • A gauche, cliquez sur Outils, puis sur Résident
    • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :


Note importante :
Une fois la désinfection terminée ( et pas avant ), réactiver le " TeaTimer " .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection ) -> il faudra alors les accepter toutes sans exeptions !

Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .
Recherche avec FixLop

=> Téléchargez FixLop de NicoVA
=> Lancer l'installateur
=> Cliquer deux fois sur Suivant puis cocher "Créer un icône sur le bureau"
=> Cliquer sur Installer
=> Cliquer enfin sur Terminer

=> Une fois FixLop ouvert : cliquez sur "Recherche"
=> Un rapport va s'afficher à la fin : FixLop[RECH].txt sous C:\


------ Rapport montrant une infection

####### FixLop vers 1.0.1.2 [ Recherche ] ####### 

# Exécuté depuis C:\Program Files\FixLop 
# Le 02/10/2010 à 09h01 
# Utilisateur : *** | ***** 
# S.E : WIN_XP | Service Pack 3 | X86 
# Internet Explorer version [8.0.6001.18702] 

############## [ Processus ] 

############## [ Lecture fichier Hosts ] 

127.0.0.1 babe.the-killer.bz 
127.0.0.1 www.babe.the-killer.bz 
127.0.0.1 babe.k-lined.com 
127.0.0.1 www.babe.k-lined.com 
127.0.0.1 did.i-used.cc 
127.0.0.1 www.did.i-used.cc 
127.0.0.1 coolwwwsearch.com 
127.0.0.1 www.coolwwwsearch.com 
127.0.0.1 coolwebsearch.com 
127.0.0.1 www.coolwebsearch.com 
127.0.0.1 www.repyubblica.it 
127.0.0.1 rerpubblica.it 
127.0.0.1 www.rerpubblica.it 
127.0.0.1 reubblica.it 
127.0.0.1 www.reubblica.it 
127.0.0.1 rewpubblica.it 
127.0.0.1 www.rewpubblica.it 
127.0.0.1 rfepubblica.it 
127.0.0.1 www.rfepubblica.it 

############## [ Fichiers/Dossiers ] 

Dossier présent : C:\Program Files\Idol part min 
Dossier présent : C:\Program Files\SEND BALM CREATIVA 
Programme présent : C:\Documents and Settings\TEMP\Bureau\Torrent101-setup-2.0.1.0.exe 
Programme présent : C:\Documents and Settings\TEMP\Bureau\Winzik.exe 
Programme présent : C:\Documents and Settings\All Users\Menu Démarrer\programmes\TorrentQ 
Programme présent : C:\Documents and Settings\All Users\Menu Démarrer\programmes\Winzik 

############## [ Clés de registres ] 

Valeur présente HKCU\Software\Microsoft\Windows\CurrentVersion\Run|p2control.exe 
Valeur présente HKCU\Software\Microsoft\Windows\CurrentVersion\Run|hold mix 

############## [ Internet Explorer ] 

-- [ HKLM\Software\Microsoft\Internet Explorer\Main ] -- 

Search Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
Default_page_url : hxxp://go.microsoft.com/fwlink/?LinkId=54896 
Default_search_url : hxxp://www.google.fr 
Start Page : hxxp://fr.msn.com/ 
Local Page : C:\WINDOWS\system32\blank.htm 

-- [ HKCU\Software\Microsoft\Internet Explorer\Main ] -- 

Search Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
Default_page_url : hxxp://go.microsoft.com/fwlink/?LinkId=54896 
Default_search_url : hxxp://www.google.fr 
Start Page : hxxp://fr.msn.com/ 
Local Page : C:\WINDOWS\system32\blank.htm 


########## [ ! SCAN fini le 02/10/2010 à 09h01 ] 


/!\ Ne faite la suppression que si vous en êtes sûr. Il est possible qu'il produise des faux positifs /!\

Suppression avec FixLop

=> Relancez FixLop
=> Cliquer sur Suppression
=> Un backup du registre est effectué. C'est normal !


=> Copier et coller dans votre réponse/sujet le rapport FixLop[CLEAN].txt

----- Rapport de suppression

####### FixLop vers 1.0.1.2 [ Suppression ] ####### 

# Exécuté depuis C:\Program Files\FixLop 
# Le 02/10/2010 à 09h02 
# Utilisateur : **** | ************** 
# S.E : WIN_XP | Service Pack 3 | X86 
# Internet Explorer version [8.0.6001.18702] 

############## [ Processus ] 

############## [ Hosts ] 

Le remplacement du fichier hosts a reussi ! 

############## [ Dossiers & Fichiers ] 

Dossier supprimé : C:\Program Files\Idol part min 
Dossier supprimé : C:\Program Files\SEND BALM CREATIVA 
Programme supprimé : C:\Documents and Settings\TEMP\Bureau\Torrent101-setup-2.0.1.0.exe 
Programme supprimé : C:\Documents and Settings\TEMP\Bureau\Winzik.exe 
Programme supprimé : C:\Documents and Settings\All Users\Menu Démarrer\programmes\TorrentQ 
Programme supprimé : C:\Documents and Settings\All Users\Menu Démarrer\programmes\Winzik 
 
############## [ Clés de registres ] 

Valeur supprimée HKCU\Software\Microsoft\Windows\CurrentVersion\Run|p2control.exe 
Valeur supprimée HKCU\Software\Microsoft\Windows\CurrentVersion\Run|hold mix 
 
############## [ Internet Explorer ] 

-- [ HKLM\Software\Microsoft\Internet Explorer\Main ] -- 

Search Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
Default_page_url : hxxp://go.microsoft.com/fwlink/?LinkId=54896 
Default_search_url : hxxp://www.google.fr 
Start Page : hxxp://fr.msn.com/ 
Local Page : C:\WINDOWS\system32\blank.htm 

-- [ HKCU\Software\Microsoft\Internet Explorer\Main ] -- 

Search Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
Default_page_url : hxxp://go.microsoft.com/fwlink/?LinkId=54896 
Default_search_url : hxxp://www.google.fr 
Start Page : hxxp://fr.msn.com/ 
Local Page : C:\WINDOWS\system32\blank.htm 

########## [ ! Suppression finie le 02/10/2010 à 09h02 ] 

Mode d'emploi Lop S&D (compatible windows XP/Vista)

Préliminaire

  • Important : si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il va gêner la désinfection en empêchant la modification des BHO et la réparation du registre.
    • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé
    • A gauche, cliquez sur Outils, puis sur Résident
    • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :


Note importante :
Une fois la désinfection terminée ( et pas avant ), réactiver le " TeaTimer " .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection ) -> il faudra alors les accepter toutes sans exeptions !

Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .

Détecter l'infection : option 1 (Recherche)

  • Télécharger Lop S&D d'Eric71 sur le bureau.
  • Double-cliquer sur le raccourci Lop S&D ainsi crée pour lancer l'installation. (Clic droit > Exécuter en tant qu'administrateur pour Vista)
  • Séléctionner la langue souhaitée, puis choisir l'option 1 (Recherche).
  • Une fois le scan terminé, enregistrez le rapport généré qui se situera par défaut sous la racine du disque : C:\lopR.txt.


Partie du rapport Lop S&D à analyser

  • Ce rapport présente 6 sous parties à analyser dont 3 spécifiques à la détection de d'adware lop, à savoir les sous parties Recherche avec S_Lop, Recherche de Fichiers / Dossiers Lop et Vérification du Registre qui renseignent sur la présence de fichiers, dossiers et clés de registre associés à lop à supprimer pour neutraliser l'infection.
  • Les sous parties Vérification du fichier Hosts, Recherche de fichiers avec Catchme, Recherche d'autres infections apporteront des complément d'information respectivement sur l'éventuelle corruption du fichier host, la possible activité de fichiers infectés cachés et la présence ou non d'autres infections.



----------------------[ Recherche avec S_Lop ]---------------------   

C:\ProgramData\BASH SKIP BORE.bsivpc   
C:\ProgramData\City Eggs Eggs.4iyfia   
C:\ProgramData\City Eggs Eggs.f8vnl   
C:\ProgramData\City Eggs Eggs.flwszi   
C:\ProgramData\City Eggs Eggs.gxv275   
C:\ProgramData\City Eggs Eggs.pecatf   
C:\ProgramData\City Eggs Eggs.tk1vjw   
C:\ProgramData\City Eggs Eggs.udufwka   
C:\ProgramData\City Eggs Eggs.vxrma   
C:\ProgramData\City Eggs Eggs.xdchg9   
C:\ProgramData\City Eggs Eggs.zgosk   
C:\ProgramData\BASH SKIP BORE.bsivpc   
C:\ProgramData\City Eggs Eggs.4iyfia   
C:\ProgramData\City Eggs Eggs.flwszi   
C:\ProgramData\City Eggs Eggs.gxv275   
C:\ProgramData\City Eggs Eggs.pecatf   
C:\ProgramData\City Eggs Eggs.udufwka   
C:\ProgramData\City Eggs Eggs.xdchg9   
C:\ProgramData\City Eggs Eggs.zgosk   
C:\Users\Elsa\AppData\Local\Temp\bisB0F7.exe   

-----------------[ Recherche de Fichiers / Dossiers Lop ]-----------------   

C:\ProgramData\city about store file   
C:\ProgramData\city about store file\Online Find.exe   
C:\Windows\Prefetch\ONLINE FIND.EXE-A03FA3C4.pf   
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@www.adserver5[1].txt   
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@adin.bigpoint[2].txt   
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@bigpoint[1].txt   
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@fr1.seafight.bigpoint[1].txt   
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@banner.cotedazurpalace[2].txt   
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@cotedazurpalace[2].txt   
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@adopt.euroclick[1].txt   
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@fr1.seafight.bigpoint[1].txt   
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@32vegas[1].txt   
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@banner.32vegas[2].txt   

----------------------[ Verification du Registre ]----------------------   

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]   

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]   
"Store file readme bash"="\"C:\\ProgramData\\BASH SKIP BORE.bsivpc\""   
"Global Meet"="\"C:\\ProgramData\\City Eggs Eggs.vxrma\""   

--------------------[ Verification du fichier Hosts ]---------------------   

Fichier Hosts PROPRE   


----------------[ Recherche de fichiers avec Catchme ]-----------------   

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net   
Rootkit scan 2008-06-18 22:14:57   
Windows 6.0.6001 Service Pack 1 NTFS   
scanning hidden processes ...   
scanning hidden files ...   
scan completed successfully   
hidden processes: 0   
hidden files: 0   

--------------------[ Recherche d'autres infections ]---------------------   


Aucune autre infection trouvée !   

[F:7205][D:584]-> C:\Users\Elsa\AppData\Local\Temp   
[F:165][D:0]-> C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies   
[F:5087][D:11]-> C:\Users\Elsa\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5   
[F:9][D:6]-> C:\$Recycle.Bin   

[ UAC => 1 ]   

--------------------[ Fin du rapport a 22:17:03,72 ]----------------------


Remarque : dans l'extrait de rapport ci-dessus, les parties consacrés à la détection de l'infection donne un exemple de la mise en évidence de l'adware lop.

Mode de désinfection : option 2 (Suppression)

  • Relancer Lop S&D.
  • Choisir cette fois-ci l'option 2 ( Suppression )
  • /!\ Ne fermer pas la fenêtre lors de la suppression ! /!\
  • Sauvegarder le rapport généré sur le bureau, le rapport fera mention de tous les éléments infectés qui auront été supprimés.



Note pour Vista :
/!\ Lop S&D réactive systématiquement le contrôle des comptes utilisateurs (ou UAC) dès son 1er passage .
  • Donc helpeurs / helpeuses , pensez à faire re-désactiver l'UAC si la désinfection du PC n'est pas terminée .


PS : cette particularité est aussi valable pour son cousin ToolBar S&D .

Nettoyage complémentaire


Pour une lecture illimitée hors ligne, vous avez la possibilité de télécharger gratuitement cet article au format PDF :
Bloquer-les-fenetres-cid.pdf

Réalisé sous la direction de , fondateur de CommentCaMarche.net.

A voir également

Dans la même catégorie

Cómo quitar ventanas emergentes CiD
Par Carlos-vialfa le 4 juin 2008
Como bloquear as janelas pop-ups CiD ?
Par pintuda le 26 août 2009
Publié par green day. - Dernière mise à jour par dédétraqué
Ce document intitulé «  Bloquer les fenêtres CiD ?  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.