[résolu] Pop-up non bloquées

[Shinigami_AF]

J'ai un problème de fenêtres pop-up...

Je sais que certaines fenêtres ne peuvent être bloquées, mais là, y en a vraiment beaucoup !

Rien que le simple fait de lancer une recherche avec google, voire juste lancer Firefox (version 2.0.0.4 et 2.0.0.9), m'ouvre des fenêtres ! Sites messager coquins, messagers tout simple, "alertes de sécurité" (pubs pour logiciels de sécurité) ou même des sites de vente, comme eBay (hmm... pas sûr que eBay en fasse partie, mais vu que j'ai tendance à les fermer plus vite qu'elle ne s'ouvre j'ai pas noté les noms).

Afin d'essayer de corriger le problème, j'ai fait cela:
- Nettoyer mes traces
- Supprimer les cookies (dont certains manuellement, vu qu'ils n'avaient pas été supprimés par Firefox).
- Passer mon disque à "l'anti-monstres" (anti-virus et anti-spyware).
- Installé le bloqueur de script "NoScript" et le bloqueur de flash "FlashBlock", présent parmi les extensions de Firefox.
- Réinstaller Firefox (en désespoir de cause ).


Et quelle surprise ! Voilà que je lance une recherche avec google et j'ai une belle fenêtre de messagerie coquine qui s'ouvre sous mon nez ! Pourtant, je ne me souviens pas avoir demandé ça a google.

Bref, trêve de plaisanterie:

Si vous avez une idée pour nettoyer le système, je suis tout ouïe. A moins, bien sûr que le problème ne vienne d'une nouvelle catégorie de pub, non bloquée, mais comme je n'ai pas vu de sujet là dessus, cela doit provenir de mon don à ramasser les cochonneries les plus extraordinaires.

L'idée de formater la partition système n'est pas à émettre: j'y ai déjà pensé ! Mais ce serait dommage, quand même...

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4

[Rpkx]

Salut,

Je ne vois aucune pub et pourtant je n'utilise ni Adblock, ni NoScript.

Depuis que j'ai Internet j'utilise Proxomitronet un fichier Hosts d'environ 16.000 lignes (celui de Mike Burgess, MVPS Winhelp2002).
Leur gros avantage c'est d'être valable pour contrôler l'accès à tous les sites quel que soit le navigateur ou même le courrielleur quand le courrier contient des liens vers des sites douteux.

Téléchargement de Proxomitron 4.5:
http://www.toutfr.com/?p=programs_show&wid=256 (traduit en français)
http://lipsheim.free.fr/download/proxomitron_ssl.zip (en anglais)

@+

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.8.1.9) Gecko/20071025 Firefox/2.0.0.9

[nico@nc]

Bonjour,

Ton ordinateur est probablement infecté par un spyware, vois ce message de jpj pour vérifier ça et désinfecter.

[jpj]

Bonjour,

Plus celui-ci: http://www.geckozone.org/forum/viewtopi ... 249#378249

A+

[Shinigami_AF]

- Passer mon disque à "l'anti-monstres" (anti-virus et anti-spyware).

C'est déjà fait, et aucun résultat.

Je vais voir avec le programme conseillé par Rpkx, pour voir. Si d'autres idées vous viennent, n'hésitez pas !

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.9) Gecko/20071025 Firefox/2.0.0.9

[jpj]

Bonjour,

Commence par suivre mon lien. Ton PC présente tous les symptômes d'une infection par malwares et si les anti-machins classiques ne détectent rien, il y a de forts risques que ce soit une saloperie pseudo-rootkit de type Navipromo.

Il ne sert à rien de "cacher la m... au chat", il faut nettoyer.

A+

[Shinigami_AF]

Voici ce que j'ai fait: j'ai testé (très rapidement) le logiciel proxomitron. Avant même de voir les résultats, il était déjà désinstallé: logiciel trop gourmand pour ma pauvre machine et configuration internet. Ou peut-être mal configuré, mais bon.

De toute façon, j'avais dans l'idée de tester les autres logiciels de sécurité, vu que ceux que j'utilise ne sont pas listés (moins bonne qualité peut-être, me suis-je dit).

Spybot m'a découvert des tas de chsoes toutes aussi insignifiantes les unes que les autres: entrée dans le registre d'un ancien spyware, simple sépulture du monstre auquel j'avais fait la peau avec mon épée, suppr. Différentes entrées volontairement placées par des jeux vidéos ou logiciels, par exemple mon anti-spyware auquel spybot semble allergique.

Bref, résumons: j'ai ensuite vu ce message comme quoi tu insistais sur le pseudo-rookit.

Je m'y connais assez bien en PC, mais suis relativement nouveau sur internet, et connaissais pas cela.

Donc, j'ai suivi ton conseil, et ça a payé.

Je me bats encore avec la bestiole, qui semble vouloir se réinstaller coûte que coûte, mais c'est un combat gagné d'avance: il s'est désormais fait interdire l'accès au registre, et ne pense même plus à se pointer en processus caché.

Plus de pubs qui font ch... le chat .

Désormais, j'ai un plus gros bouclier contre les monstres du net.

En revanche, il me semblait avoir une option pour afficher les processus cachés dans le gestionnaire de tâches... ça a disparu avec le service pack 2, ou... ?

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.9) Gecko/20071025 Firefox/2.0.0.9

[jpj]

Bonsoir,

En fait, pour NaviPromo et assimilé, on parle improprement de rootkit car c'est un processus vraiment caché ... des outils classiques de Windows. Il ne s'agit cependant pas d'un rootkit au sens strict du terme. Il est en général détecté par F-Secure BlackLight ou Navilog1 mais il y a des exceptions (variante du machin ?).

Comme utilitaires capables d'afficher les processus cachés, il y a Seem et IceSword (voir http://www.geckozone.org/forum/viewtopi ... 293#220293 déjà donné par nico@nc). À manier avec prudence cependant car il existe des processus cachés légitimes (daemon de disque virtuel, protection de certains antivirus ou pare-feu, etc.).

Pour se débarrasser de l'indésirable, il est impératif de désinstaller le logiciel qui l'a installé (il y a une liste non exhaustive ici: http://www.geckozone.org/forum/viewtopi ... 249#378249), sinon, à chaque lancement de celui-ci, le "rootkit" est réinstallé.

Jusqu'à maintenant, il n'y avait que NaviPromo alias Magic.Control qui était responsable des fenêtres indésirables sous Firefox (alors qu'avec IE, il existe cinq ou six malwares qui ont cet effet). Reste à espérer que ce soit bien une variante de celui-ci et non une nouveauté.

Quel est ton anti-spywares ? Spybot est assez fiable et comme il existe de nombreux faux anti-spywares (même payants), il faudrait vérifier qu'il ne se trouve pas ici ou ici.

A+

[Shinigami_AF]

Je ne compte pas faire un nettoyage total dans les processus cachés, rassure-toi. C'est jute pour en fermer un en particulier. Le jeu vidéo qui en dépend, oublie de le fermer et à chaque fois que le jeu est lancé puis quitté, il est nécessaire de redémarrer le PC avant de pouvoir le relancer de nouveau. Avant, j'avais accès aux processus cachés, alors je pouvais le fermer manuellement (je me demande si ce n'était pas lorsque j'utilisais windows 98, en fait). Je vais voir si je peux le fermer avec Seem ou Icesword, sans pour autant le supprimer totalement ou l'interdire...

Je n'ai pas vu si le malware était une variante de Navipromo ou non, mais je suis sûr d'une chose: je lui ai fait la peau, définitivement.

Je ne suis pas certain de la source: j'avais sudoplanet, et ça pourrait venir de là, mais je pencherais plutôt pour un patch de Dungeon Siege 2. En effet, mes tests pour vérifier qu'il n'était plus là semble indiquer que le lancement du jeu le réinstallait. Quoi qu'il en soit, j'ai supprimé sudoplanet, et réinstallé Dungeon Siege 2, avec un autre patch, et il n'y a plus de problème.

Je n'ai malheureusement pas pu retrouver le site où j'avais téléchargé le patch qui semblait poser problème.


En ce qui concerne mon anti spyware, il s'agissait de spyware secure: une version payante, et à ce que j'ai vu, non présent dans les listes que tu m'as donné. Je suppose qu'il est fiable, mais de toute façon, je l'ai désinstallé: je n'utilisais en fait que la version trial, donc non payante, qui permet de détecter mais pas de corriger. Du coup, je supprimais les spywares manuellement. De plus, même s'il est fiable, il est de toute évidence moins performant que Spybot, et vu que j'ai installé spybot pour faire une seconde vérification, spyware secure est devenu obsolète.

Puisque j'ai maintenant la certitude que le problème est bien résolu, je l'indique dans le titre, mais je garde un oeil sur le sujet, au cas où tu aurais des infos supplémentaires à me fournir.

En tout cas, merci de votre aide !

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.9) Gecko/20071025 Firefox/2.0.0.9

[jpj]

Bonsoir,

Pour Spyware-Secure, j'ai ça: http://www.secuser.com/alertes/2007/spyware-secure.htm. Ce n'est peut-être pas un vrai méchant mais ce n'est pas enthousiasmant quand même.

[Shinigami_AF]

Aucun doute là-dessus ! Ils font leur pub, ça c'est clair. D'ailleurs, je recevais également de leur pub grâce à ce "merveilleux" navipromo qui s'était installé dans mon disque.

De plus leur pub, bien que non mensongère, est quand même un peu abusive: ils oublient de dire que seule l'analyse est gratuite, pour nettoyer le pc, il faut payer !

Mais mis à part ça, vu que je l'ai utilisé moi-même, je peux dire qu'il est fiable, bien qu'apparemment pas performant.

Je ne vais pas blâmer une équipe qui chercher à vendre leur produit par tous les moyens: au moins, ce n'est pas une arnaque. J'ai quand même réussi à retirer 2 ou 3 spywares, grâce à lui.

La seule chose que spybot ait réussi à détecter, après lui, c'est des entrées douteuses dans la base de registre (spyware secure ne l'analyse pas, voilà pourquoi je dis qu'il est moins complet). Et parmi ces entrées, une seule appartenait vraiment à un spyware, spyware qui n'existait déjà plus.

Bref, je pense que spyware secure, c'est pas top, mais c'est pas néfaste non plus. Mais je suis quand même d'accord avec toi: un anti-spyware qui fait que la moitié de son boulot (enfin, même moins que ça si tu payes pas ^^"), c'est pas enthousiasmant !!

EDIT: au fait, le navipromo venait finalement de sudoplanet, contrairement à ce que je pensais. Un autre ordinateur l'utilisant avait "exactement" (les noms de fichiers étaient différents, mais ça reste la même crotte) la même version de navipromo (sur mon pc, j'avais simplement copié le jeu de ce second pc). Il a bel et bien été identifié en tant que navipromo par avast.

J'ai à ce sujet une information qui pourrait être utile: essayer de désinstaller sudoplanet entraîne une tentative d'installation de navipromo (je suppose qu'il s'agit en fait d'un réinstallateur systématique, comme le fait sudoplanet) dans un dossier de local settings de l'utilisateur. La façon la plus sûre de le désinstaller est de le supprimer manuellement, sans utiliser son désinstallateur.

En revanche, la tentative de réinstallation de navipromo lors l'execution de la version patchée de dungeon siege 2 reste une coincïdence qui, comme tu dirais, n'est pas enthousiasmante .




Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.9) Gecko/20071025 Firefox/2.0.0.9