[popups] Ouverture de fenêtres internet publicitaires (pop-up)

Il vous est devenu impossible de surfer sans qu’une avalanche de fenêtres publicitaires en tout genre ( Crazy Girls, SpywareSecure, pubs de Casino, achat de logiciels de protection, pubs pornographiques, ... ) viennent vous polluer l’écran, et malgré vos efforts pour les éliminer, le problème persiste. Vous devez être vraisemblablement victime de spywares ayant infectés votre ordinateur en utilisant le service d'affichage des messages de Windows pour afficher des messages sous la forme de pop-ups contenant généralement CiD dans le titre :











Voici une procédure de désinfection qui pourra vous aidez à vous en débarrasser :

Première étape : Neutraliser les fenêtres publicitaires

La première méthode (navilog) fonctionne uniquement sous Windows 2000, XP et Vista !

Première méthode : utiliser navilog (d'Il Mafioso) (Sous XP)

• Faire un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
• Enregistrez la cible (du lien) sous... et enregistrez-le sur le bureau.
• Faire un clic droit sur navilog1.zip et choisir "tout extraire"
• Double-cliquez sur navilog1.exe
• Arriver au menu principal, choisir l'option 1 et valider.
• Patientez jusqu'au message : Analyse Termine le ...
• Le rapport sera en outre sauvegardé à la racine du disque (fixnavi.txt)

Exemple d'un rapport contenant des fichiers infectés :

Search Navipromo version 3.2.1 commencé le 13/10/2007 à 16:23:53,25

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11


*** Recherche Programmes installes ***
 Recherche dossiers dans C:\WINDOWS ***
 Recherche dossiers dans C:\Program Files ***
 Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
 Recherche dossiers dans C:\Documents and Settings\Propri‚taire\Application Data ***
 Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
 Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\system32\abqkfbtobc.dat
C:\WINDOWS\system32\abqkfbtobc.exe
C:\WINDOWS\system32\abqkfbtobc_nav.dat
C:\WINDOWS\system32\abqkfbtobc_navps.dat

Processus caché(s) :

C:\WINDOWS\system32\abqkfbtobc.exe


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!


* Scan C:\WINDOWS\system32 *
* Scan C:\DOCUME~1\PROPRI~1\LOCALS~1\APPLIC~1 *
********** Recherche fichiers ***


C:\WINDOWS\tmlpcert2007 trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :


* 
 C:\WINDOWS\system32\rhdtus.dat trouvé !


**  
 C:\WINDOWS\system32\rhdtus.dat trouvé !


***  
  
*  
**  
 C:\WINDOWS\system32\prodsrvs.exe trouvé !


********  
 C:\WINDOWS\system32\mwsrvacc.exe trouvé !
 C:\WINDOWS\system32\prodsrvs.exe trouvé !
 C:\WINDOWS\system32\rhdtus.exe trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 13/10/2007 à 16:25:08,18 ***

• Mise en garde ! Il se peut que des fichiers légitimes soient trouvés dans cette partie du rapport fixnavi.txt :

*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\system32\abqkfbtobc.dat
C:\WINDOWS\system32\abqkfbtobc.exe
C:\WINDOWS\system32\abqkfbtobc_nav.dat
C:\WINDOWS\system32\abqkfbtobc_navps.dat

Processus caché(s) :

C:\WINDOWS\system32\abqkfbtobc.exe

• Ainsi que dans cette partie :

2)Recherche Heuristique :


*  
    C:\WINDOWS\system32\rhdtus.dat trouvé !


**  
    C:\WINDOWS\system32\rhdtus.dat trouvé !


***  
  
*  
**  
    C:\WINDOWS\system32\prodsrvs.exe trouvé !


********  
    C:\WINDOWS\system32\mwsrvacc.exe trouvé !
    C:\WINDOWS\system32\prodsrvs.exe trouvé !
    C:\WINDOWS\system32\rhdtus.exe trouvé !

• Prudence ! Avant de passer à l'option 2, car tous les processus et fichiers trouvés ne sont pas nécessairement des rogues !!! Il faut au préalable vérifier la légitimité de ces fichiers en faisant une recherche sur google ou en demandant conseil sur le forum Virus-sécurité, afin de ne pas prendre le risque de supprimer des fichiers système ! Même si navilog prévoit de faire un dossier backup des fichiers supprimés.
  • Une fois toutes les précautions prises :
  • Double-cliquer sur navilog1.exe
  • Arriver au menu principal, choisir l'option 2 et valider.
  • Indiquer le mode de nettoyage "automatique"
  • Répondre aux questions éventuelles, le bureau disparaitra, c'est normal !
  • Patienter jusqu'au message : Nettoyage Termine le ...
  • Sauvegarder le rapport de manière à le retrouver, puis fermer le blocnote, le bureau réapparaitra
  • Le rapport sera en outre sauvegardé à la racine du disque (cleannavi.txt)

NB : Si le bureau ne réapparaît pas, faire CTRL+ALT+SUPPR pour ouvrir le gestionnaire de tâches.
Choisir l'onglet processus. Cliquer en haut à gauche sur fichiers et choisir exécuter,
Taper explorer et valider.

Utiliser navilog.bat (d'Il Mafioso) (Sous Vista)

• Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
• Aller dans démarrer puis panneau de configuration
• Double Cliquer sur l'icône "Comptes d'utilisateurs"
• Cliquer ensuite sur désactiver et valider.
• Faire un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
  • Enregistrez la cible (du lien) sous... et enregistrez-le sur le bureau.
  • Ensuite double cliquer sur navilog1.exe pour lancer l'installation.
  • Une fois l'installation terminée, Faire un clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir Exécuter en tant qu'administrateur
  • Arriver au menu principal, choisir l'option 1 et valider.
  • Patientez jusqu'au message : Analyse Termine le ...
  • Appuyer sur une touche, le blocnote s'ouvre, enregistrer le rapport manière à le retrouver.
  • Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%. ( Cf : Exemple d'un rapport contenant des fichiers infectés plus haut ).
• De même que pour XP, une fois toutes les précautions prises :
  • Faire un clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir "Exécuter en tant qu'administrateur".
  • Arriver au menu principal, choisir l'option 2 et valider.
  • Le fix demandera ensuite le redémarrer le PC, fermer toutes les fenêtres ouvertes et enregistrer les documents personnels ouverts, et appuyer sur une touche comme demandé.(si le Pc ne redémarre pas automatiquement, le faire manuellement)
  • Au redémarrage du PC, choisir la session habituelle si nécessaire.
  • Patienter jusqu'au message : Nettoyage Termine le ...
  • Sauvegarder le rapport de manière à le retrouver, puis fermer le blocnote, le bureau réapparaîtra
  • Réactiver le contrôle des comptes utilisateurs (UAC)

Deuxième méthode : utiliser l'outil Catchme

• Télécharger Catchme de Gmer sur le bureau :
  • Double cliquer sur le fichier catchme.exe pour lancer l'utilitaire.
  • Cliquer sur Scan, Une fenêtre DOS s'ouvrira pour commencer l'analyse.
  • Attendre jusqu'au message « scan completed successfully », puis fermer la fenêtre.
  • Un fichier catchme.log est alors créé sur le bureau contenant le résultat de l'analyse.

Exemple d’un rapport contenant des fichiers infectés : 

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 
http://www.gmer.net 

scanning hidden processes ... 

scanning hidden services ... 

scanning hidden autostart entries ... 

scanning hidden files ... 

C:\Users\Dupond\AppData\Local\Microsoft\ycmmjs.dat 24576 bytes 
C:\Users\Dupond\AppData\Local\Microsoft\ycmmjs.exe 331776 bytes 
C:\Users\Dupond\AppData\Local\Microsoft\ycmmjs_nav.dat 270336 bytes 
C:\Users\Dupond\AppData\Local\Microsoft\ycmmjs_navps.dat 4096 bytes 

scan completed successfully 
hidden processes: 0 

Exemple d’un rapport sans fichier infecté :

catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net 
Rootkit scan 2007-07-17 16:18:34 
Windows 5.1.2600 Service Pack 2 FAT NTAPI 

scanning hidden services ... 

scanning hidden autostart entries ... 

scanning hidden files ... 

scan completed successfully 
hidden services: 0 
hidden files: 0 

Si vous obtenez un rapport infecté, voici une procédure de désinfection :

• 1. Désactiver la Restauration du système
  • Cliquez sur le bouton Démarrer.
  • Faites un clic droit de la souris sur Poste de travail puis cliquez sur Propriétés.
  • Dans l'onglet Restauration du système : sélectionnez l'option Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs. (Ne pas oublier de la réactiver à la fin de la manip.)
• 2.Afficher les dossiers système et fichiers cachés :
  • Ouvrir le Poste de travail :
  • Menu : Outils => Options des dossiers
  • Affichage => zone Paramètres avancés
  • Cochez : Afficher le contenu des dossiers système
  • Cochez : Afficher les fichiers et dossiers cachés
  • Décochez : Masquer les extensions des fichiers dont le type est connu
  • Décochez : Masquer les fichiers protégés du système d'exploitation (recommandé)
  • Répondre Oui au message d'alerte
  • Cliquez sur Appliquer à tous les dossiers
  • Cliquez sur OK
• 3. Après le redémarrage du PC, téléchargez Killbox sur le Bureau. (Voir un autre tutoriel sur ce logiciel (Merci à Baltrap34 pour cette réalisation)
  • Double-cliquez sur KillBox.exe.
  • Copiez liste des fichiers infectés trouvés par Catchme (sélectionnez tout avec la souris, clic-droit et "Copier").
  • Sélectionnez delete on reboot
  • Cliquez sur le menu File puis Past from clip board
  • Cliquez sur All Files
  • Cliquez sur la croix rouge et blanche
  • Répondez yes et laisser redémarrer le PC.
  • Refaire un nouveau rapport avec Catchme pour s’assurer que l’infection a bien était neutralisée.

Autres infections générant des fenêtres publicitaires

• Si vous obtenez un rapport sans fichier infecté, vous êtes peut être victime de fenêtres publicitaires Cid générées par l'adware lop.com. Celui-ci peut s'installer à votre insu lors de l'installation des logiciels suivants :
  • Sponsors MSN plus !
  • BitDownload
  • BitGrabber
  • NetPumper
  • BitRoll
  • TorrentQ
  • Torrent101 ...
  • Dans ce cas : il suffit pour MSN de désinstaller MSN+ et son sponsor en mode sans échec via le module ajout/supprimer un programme ( cf panneau de configuration ).
  • Après redémarrage du PC, il vous suffira juste de réinstaller MSN+ sans accepter le sponsor.
  • Pour les autres logiciels, inutile de les déinstaller puis de les réinstaller, il faut chercher et supprimer un logiciel nommé "CiDHelp" (ou bien CiD-quelquechose" dans certains cas).

• Autre infection pouvant générer l'ouverture de fenêtres publicitaires intempestives : trojan Vundo

Deuxième étape : Nettoyage complémentaire

Téléchargez et exécutez ces programmes afin d’éliminer les « saletés » qui restent :

• AVG anti spyware (tutoriel)
• CleanUp40 tutoriel (merci à Balltrap)
• ccleaner (tutoriel)
• clean.zip (de Malekal_morte) :
  • Décompressez le fichier sur le bureau (clic droit / extraire tout), afin d’obtenir un dossier nommé clean.
  • Ouvrez le dossier Clean qui se trouve sur votre bureau et faire un double-cliquez sur clean.cmd.
  • Une fenêtre noire va apparaître, choisissez l'option 1, un rapport sera crée sous la racine : C:\rapport_clean.txt, si des fichiers infectés ont été détectés, vous pourrez passer à l'option 2 en mode sans échec.
• Scan en ligne avec BitDefender (uniquement sous Internet Explorer) :
  • http://www.bitdefender.com/scan8/ie.html
  • tuto : ( Merci à Balltrap34 pour cette réalisation )

Troisième étape : Installation d'un parefeu :

• Installez un pare-feu personnel du type ZoneAlarm pour fermer la porte aux intrus sur l'ordinateur si vous n'en avez pas déjà un !

À consulter : securite utilisation d'un firewall