Pub agressive ou intrusion : Mon PC est-il sain ?".

[pmdec]

Bonjour, suite à mon post "Pub agressive ou intrusion ?" dans le forum "Internet - Réseau - Sécurité", je donne ici les résultats des "opérations" que m'a conseillé JPL :

1° ATF Cleaner : choix "Select All" puis "Empty selected". Résulat : le machin mouline une dizaine de secondes puis apparaît le message "No files were removed".

2° DiagHelp : pas de lancement possible : le doubleclic sur go.cmd ouvre la fenêtre demandant de choisir un logiciel pour ouvrir ce fichier. Exécution impossible aussi depuis une fenêtre Dos.

3° Hijackthis : décompression impossible de l'archive téléchargée (message de Stuffit Expander : "Les données présentes dans cette archive ou ce fichier encodé ne correspondent pas au format attendu". J'ai donc exécuté la version de Hijackthis que j'avais déjà dans le PC. C'est la version 1.99.0001. Je poste le rapport en pièce jointe.

Pour info, dans ce rapport :
la ligne C:\WINDOWS\ANVSHELL.EXE correspond à un utilitaire de la carte vidéo (Asus)
la ligne C:\WINDOWS\SYSTEM\HPSJVXD.EXE correspond à un utilitaire de mon scanner (HP 4C)
la ligne : C:\OMNIPAGE PRO FOR WINDOWS 95\OPWARE32.EXE correspond à un vieil utilitaire de reconnaissance de caractères (que j'utilise toujours)

Il me semble que j'ai "toujours vu" la ligne C:\WINDOWS\SYSTEM\RPCSS.EXE, mais je ne comprends pas bien à quoi elle correspond : ce serait un utilitaire Win NT, un "Distributed COM Services" (Késaco ?), mais le numéro de version est "bizarre" : 4.71.2900.

Je ne sais pas non plus ce qu'est C:\WINDOWS\SYSTEM\WMIEXE.EXE

Voilà. Quant à l'origine de ce post, il faut voir "Pub agressive ou intrusion ?" dans le forum "Internet - Réseau - Sécurité" pour ne pas tout répéter ...

Merci d'avance pour votre aide si l'origine des "anomalies" sont dans mon PC et non pas sur les pages du "Grand journal d'information".
-----

[yoda1234]

Bonjour,

il est normal que diaghelp ne fonctionne pas, si je ne m'abuse il ne fonctionne que sous Windows XP et Vista.
Attend s'il te plaît, l'avis d'un des membres du groupe anti malwares qui confirmera peut être mon avis.

[igor51]

Bonsoir,


- Télécharge SpywareTerminator
- Lors du step 2 du Crawler Spyware Terminator Setup Assistant, réponds non lorsqu'il te demande si tu veux activer la protection en temps réel
- Ne scanne pas mais démarre Spyware Terminator puis clic sur le menu update à gauche pour effectuer la mise à jour.
- Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

-- Démarre Spyware Terminator puis clic sur le bouton scan à gauche.
-- Dans "Scan Type Settings" clic sur Full Spyware Scan
-- Clic en bas sur "Start Scan Now" pour démarrer le scan, ceci peut prendre plusieurs minutes.
-- Clic sur remove en bas pour supprimer tous les spywares.
-- Clic sur l'onglet scan report puis en bas à gauche sur "Copy Clipboard"
-- Ouvre le bloc-note (Démarrer / Programmes / Accessoires / Bloc-note)
-- Dans le Bloc-note, clic sur le menu Edition puis coller
-- Enregistre le rapport du scan sur ton bureau sous le nom rapport.txt

Redémarre l'ordinateur

-- Poste rapport.txt qui est sur ton bureau
-- Poste aussi un nouveau rapport HiJackThis


Aide : N'hésite pas à consulter le Guide de Spyware Terminator

Bonne soirée

[pmdec]

Bonsoir, et merci pour votre aide.

J'ai suivi vos instructions et exécuté un scan avec Spyware Terminator en mode "sans échec". J'ai copié le rapport dans le clipboard et l'ai collé dans un fichier texte. Après redémarrage en mode "normal", j'ai exécuté un nouveau scan Hijackthis (aurait-il fallu le faire aussi en mode sans échec ?).

Je mets les deux rapports en pièces jointes ... et attends votre verdict !

Cordialement,
PM

PS : j'ai voulu "sauver" le rapport Hijackthis sous un nouveau nom pour comparer ... mais trop tard ! J'aurais dû d'abord changer le nom de l'ancien !

[A voir en vidéo sur Futura]

[igor51]

Bonsoir,

tu as très fait de le faire en mode normal.

Je ne vois rien...on va faire un scanne en ligne pour voir s'il n'y a pas quelque...

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Poste ce rapport dans ta réponse dans ta réponse ainsi qu'un nouveau log Hijackthis.

Bonne soirée

[pmdec]

Bonsoir, et merci de ton attention

Bonsoir,.../...[*]Fais un scan en ligne Kaspersky
.../...
Bonne soirée

Je crois que je vais m'en tenir là : j'ai eu des relations "conflictuelles" avec cet éditeur et ne tiens plus à avoir la moindre relation avec lui : quelques mois après avoir acheté le renouvellement de ma licence, il a décidé de ne plus assurer la maintenance pour Win98, alors que la version que j'avais était pour cet OS et qu'ils ne pouvait l'ignorer (ce n'était déjà plus les mêmes fichiers de mise à jour pour 98 et XP depuis un certain temps, et la version du logiciel est indiqué lors de l'achat de renouvellement). et bien sûr, pas de proposition de remboursement (Kaspersky s'est "caché" derrière l'arrêt de maintenance de 98 par Microsoft : c'est pas nous, c'est eux ...

Suite à plusieurs échanges de mails, j'ai été dirigé vers une page "spéciale" permettant de continuer les mises à jour (un patch, en fait). Moyennant quoi, blocage total, ennuis divers :
- impossible d'éteindre le PC "normalement" à cause, apparemment, d'une modification du driver de la carte graphique,
- des croisements de fichiers apparaissant après chaque scan de Kaspersky : sans des sauvegardes que je fait régulièrement, j'aurais perdu des fichiers importants (pour moi ...) :
J'ai passé au moins 2 soirées à rétablir tout ça, puis encore un bon moment pour effacer ligne par ligne toutes les références à Kaspersky dans la base de registre, car l'utilitaire de suppression ne supprime pas tout, loin s'en faut !

Ceci n'est pas un hasard, il y avait eu exactement les mêmes symptômes sur le PC de ma fille, suite au même patch installé quelque temps avant (avec une autre licence) : j'avais d'abord cru, sur le sien, que les problèmes étaient dus à la fréquentation de sites de musique en ligne plus ou moins ... car je faisais complètement confiance à cet éditeur.

Ma déception a donc été à la hauteur de l'estimation que j'avais pour cet éditeur dont j'utilisais les produits bien avant qu'il devienne connu !

Bref, je crois (au sens habituel !), après les premières vérifications faites grâce à Futura, que le problème à l'origine de mon post est "externe".

J'ai envoyé un courrier au Monde et ferai part ici de leur réponse, si j'en ai une !

En attendant, je vais fréquenter les pages du Monde.fr régulièrement en copiant, dès la connexion, la source de la page pour la comparer à une source mémorisée quand le problème n'apparaît pas. Si c'est bien, comme j'en suis à 99% convaincu, une publicité agressive en provenance de cette page, il devrait en ressortir quelque chose !

Voilà, voilà. Merci encore, et bonne soirée aussi !

[igor51]

Bonsoir,

je suis désolé pour tes problèmes, c'est l'inconvénient d'avoir des systèmes d'exploitations trop vieux...

Si tu reçois de nouveau ses pubs en allant sur des sites "sérieux", peux-tu me faire un screenshot et me poster l'image (par MP ou ici)

Cela nous permettra de signaler et sensibiliser les gens contre ce genre de menace.

Bonne soirée

[pmdec]

Bonjour,

.../...
Si tu reçois de nouveau ses pubs en allant sur des sites "sérieux", peux-tu me faire un screenshot et me poster l'image (par MP ou ici).../...

Finalement, "mon" problème n'était pas le mien comme l'indique cette réponse*** reçue du journal :
[

I]Bonjour,
Nous vous remercions de votre message.
Informés de ce problème, nous avons entrepris des recherches quant à la
source de ce problème et en avons identifié l'origine. Ce souci était lié à un élément extérieur au site et a été arrêté.
Nous vous remercions de l'intérêt que vous portez à nos services et vous prions de nous excuser pour la gêne occasionnée.
Cordialement.
Le service client du Monde.fr[/I]

Voilà. Tout est bien qui finit bien ! Et il faut noter le sérieux de ce journal qui répond sans détour aux questions de ses lecteurs.

En te remerciant de m'avoir aidé, je t'envoie mes meilleures salutations et félicite toute l'équipe pour la bonne tenue de ce forum.
Cordialement,
PM

PS : Quant à l'âge de mon système, il me permet, n'étant plus tout jeune, de ne pas en être jaloux et, accessoirement, de continuer à utiliser du matériel et des utilitaires qui me sont régulièrement utiles ...

***Mail envoyé :

Bonjour,
Par deux fois en me connectant à votre site (le 25/1 et le 1/11, je crois), j'ai subi une publicité particulièrement intrusive pour un logiciel "ErreurChasseur" : impossibilité de faire disparaître la fenêtre qui REMPLACE le page lemonde.fr autrement qu'en arrêtant (Ctrl Alt Del) mon navigateur Internet. Cette publicité indique que "mon ordinateur présente des erreurs ...".
De deux choses l'une : soit cette publicité est mensongère, soit il s'agit d'une intrusion dans mon système, ces deux cas étant, à mon sens, légalement répréhensibles.
J'aimerais donc savoir si votre journal est bien à l'origine de ces publicités (ce qui serait particulièrement décévant), ou bien s'il s'agit d'un "piratage" de vos pages (ce qui serait inquiétant ...).
Il pourrait, bien sûr, s'agir d'un "bug" de mon propre système informatique, mais les premières recherches dans ce sens ne l'indiquent pas.
En vous remerciant de votre attention et, par avance, de votre réponse, veuillez agréer, Madame, Monsieur, mes salutaions distinguées.

[pmdec]

Erreur Chasseur : le retour ...

Incroyable mais vrai, le site du "Grand Quotidien" est à nouveau pollué par la même pub intrusive !!!

Ceci peut-il être reconnu comme une intrusion dans mon système (fermeture obligatoire du navigateur) et donc signalé à la CNIL ?

Une plainte judiciaire peut-elle être déposée contre le journal ?

Puisque, selon un jugement récent, l'éditeur d'un site peut être reconnu responsable des liens qu'il insère, pourquoi en irait-il autrement pour une pub ???

Un lecteur TRES mécontent !!!

[yoda1234]

Bonjour,

as tu suivi les conseils de ce dossier?
D'autre part, je vois que tu as Avast, préfère lui antivir plus réactif.
Personnellement, suite à ton post, j'ai été voir sur le site et....rien.
Je pense donc que tu es mal protégé.

[pmdec]

Bonsoir,

.../...
Personnellement, suite à ton post, j'ai été voir sur le site et....rien.
Je pense donc que tu es mal protégé.

Je reste persuadé que c'est "comme la première fois" : la fenêtre ne se déclenche pas à chaque fois (je n'ai pas réussi à le redéclencher ce soir). J'ai à nouveau envoyé un mail au journal (voir le post #8), et je vous tiendrai au courant de la réponse ...

PS : Ce n'est pas depuis mon PC (que j'ai, d'ailleurs, changé depuis le début de ce fil ) que j'étais connecté : celui dont je me sers actuellement à l'air correctement protégé ... mais "on ne sait jamais" : comme je ne veux pas y ajouter trop de choses, je m'excuse par avance de ne mettre que le scan hijackthis :

[Cyrrus]

Bonsoir,

Qu'on se comprenne bien : soit tu as un logiciel installé du nom de erreur chasseur, et dans ce cas je veux bien fouiner pour le trouver et l'enlever. Soit tu as des pubs pour ce rogue, mais il ne s'installe pas contre ton gré, et dans ce cas c'est effectivement un problème de protection (de filtrage des pubs précisément, cela ne veux pas dire que le site en question a raison d'avoir ce genre de pubs, il doit les bannir au plus vite bien entendu).

Bonne soirée
Cyrrus