Résolu - Comment éliminer "Clicksor"

[Pianiste]

Bonjour,

depuis un certain temps, j'ai du installer un active X de microsoft intitulé "clicksor". seon les pages web, cela va de la newsletter du RCStrasbourg à un forum quelconque et j'ai à chaque fois deux pages qui viennent perturber la recherche à chaque page.

comment pourrais je éliminer cet intrus ? Merci à vous

Modifié le 27 août 2009 par Pianiste

[Falkra]

Bonjour,

 

si c'est un activeX, normalement IE te laissera le virer, dans le panneau des modules complémentaires. Clic droit sur l'icône IE du bureau, propriétés, onglet programmes, bouton "gérer les modules complémentaires". Ca c'est la méthode propre, sinon éventuellement HijackThis mais on va te proposer plein de choses annexes ou de l'optimisation, à côté du problème, essaie d'abord comme ça, si tu ne l'as pas déjà tenté.

[Pianiste]

Falkra, merci et bonsoir,

rien trouvé dans les activesX, en revanche voilà ce qu'il en est :

Pop-Under Advertising et l'URL:

http://popunder.paypopup.com/link.php.data suivi de chifres et signes divers.

si tu peux me dire où virer ça, merci à toi.

Modifié le 9 juillet 2009 par Pianiste

[Falkra]

C'est une régie publicitaire contextuelle, genre des mots qui se soulignent tous seuls et en survolant à la souris, ça popup. Insupportable.

Le virer, si ça vient du site comme régie de pub non, le filtrer, on peut sans doute, mais là ce sont encore d'autres régies, sauf si paypopup appartient à clicksor.

 

Ca fait beaucoup de pub, par contre. On va y regarder de plus près, éventuellement on transfèrera le topic dans la partie analyse.

Poste un rapport HijackThis dans ta prochaine réponse stp.

 

Clique sur ce lien pour télécharger HijackThis 2.0.2 :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

 

Double-clique sur l'icône HijackThis :

 

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).

Clique dessus.

 

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

[Pianiste]

Bonjour Falkra et merci,

en effet paypopup appartient à clicksor

voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:27, on 10/07/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

C:\WINDOWS\Installer\MSI63.tmp

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\ups.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Webroot\Washer\WasherSvc.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Mouse Driver\MouseDrv.exe

C:\Program Files\CBS Software\SpeedConnect Internet Accelerator\SpeedConnect Internet Accelerator full.exe

C:\Documents and Settings\Jean-Paul\Application Data\Thinstall\SpeedConnect Internet Accelerator v.7.5\4000001600002i\ShowNetworkActivity.exe

C:\Documents and Settings\Jean-Paul\Application Data\Thinstall\SpeedConnect Internet Accelerator v.7.5\10000002200002i\wmiapsrv.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Jean-Paul\Bureau\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.ma/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [LogonStudio] "C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe" -TRAY

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spamBully 4] "C:\Program Files\Axaware\SpamBully 4 for Outlook Express\sb4oe.exe" install

O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')

O4 - Startup: e-Backup 1.42 Scheduler.lnk = ?

O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL

O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL

O9 - Extra button: Bloc Notes - {AF4F850B-68FF-404C-8417-549F86B1E236} - notepad.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php

O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Righteous%20Kill/Images/stg_drm.ocx

O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Righteous%20Kill/Images/armhelper.ocx

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O20 - AppInit_DLLs: C:\WINDOWS\system32\wbsys.dll

O23 - Service: AusLogics Windows Themes Helper (ALThemeHelper) - Unknown owner - C:\Program Files\Auslogics\AusLogics Visual Styler\themehelpersvc.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SolidPDFPlusCreatorReadSpool (SPDFCreatorPlusReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSI63.tmp

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Program Files\Webroot\Washer\WasherSvc.exe

 

--

End of file - 7947 bytes

voyons donc ce qu'il faut fixer ? @ +

[Falkra]

Le rapport est clean, cette publicité peut être légitime, et n'apparaître que pendant la consultation de sites.

Avec quel navigateur surfes-tu quand ces publicités apparaissent ?

[Pianiste]

Bonsoir,

j'utilise I.E.8. en poursuivant tes conseils, j'ai fouillé un peu partout et rien, meme avec la fontion "rechercher". je te confirme que ça fonctionne ainsi :

ouverture de page sur cliksor et ensuite seconde page sur paypopup. en plus ça en repasse une seconde couche et à chaque fois que je change de page. le pire : les pages de l'un ou l'autre sont vierges

bonne soirée et bon W.E.

Pianiste

Modifié le 10 juillet 2009 par Pianiste

[Falkra]

Ajoute ça à ton fichier hosts pour voir.

 

127.0.0.1 popunder.paypopup.com

127.0.0.1 clicksor.net

[Pianiste]

Bonjour,

encore merci et je pense que ça va enlever cette saleté.

en revanche pas de pot lorsque j'arrive à \Etc\je n'ai que 4 fichiers : Imhost.sam -network - protocol et services.

je suis prudent lorsqu'il s'agit de tripatouiller des dommaines qui lme sont inconnus. j'ai cru comprendre qu'il faut entrer aussi dans la BDR, mais l'explication ne me pariat pas évidente. si tu pouvais me faire un pas à pas pour arriver à l'endroit de modifications, ce me serait bien utile, et aussi sûrement à d'autes zebuloniens.

Pianiste

[Falkra]

Crée à ce moment là un fichier hosts tout court, sans extension, s'il n'y en a pas (cela peut arriver, avec certains logiciels de sécurité ou des manips.

Pas besoin de la base de registre pour le moment.