Supprimer les popups de pubs intempestives

Cette page va vous aider à supprimer les popup de pubs intempestives qui peuvent s'ouvrir sur votre ordinateur.
Ceci propose plusieurs procédures qui visent des infections typiques ouvrant des popups de publicités, si vous n'effectuez pas la bonne procédure qui vise votre infection, celle-ci ne sera pas supprimée de votre ordinateur et vous continuerez à recevoir des popups .

Avant de foncer faire ces procédures, il est donc conseillé de bien lire tout le contenu de la page pour effectuer LA procédure visant l'infection qui est sur votre ordinateur ! Lisez bien les détails et les titres dans le sommaire!

Les popups intempestives peuvent avoir plusieurs origines :

Soit vous visitez un site WEB qui affiche des popups et votre navigateur (ou logiciel tiers anti-popup) ne les bloquent pas. Ces popups arrivent seulement lors de la visite d'un site en particulier ! Pour plus d'informations : Les popups lors de la visite d'un site WEB particulier
Soit votre ordinateur est mal protégé, ces popups en général ont pour titre "service des messages" ce qui permet de les reconnaître facilement. Ces popups vous disent en général que votre ordinateur est endommagé et vous invite à aller sur des sites WEB.. qui vont infecter votre ordinateur, c'est donc un piège. Pour plus d'informations : Les popups "Service afffichage des messages"
Soit votre ordinateur est infecté par un adware qui affiche des popups - C'est le plus souvent le cas, les conseils classiques "scan avec Ad-Aware ou SpyBot" n'y font rien, voir Adwares/Spywares : Comment NE PAS désinfecter son PC ?

Attention aussi aux bannières de publicités qui proposent en général des programmes piégés, je vous conseille de jeter un coup d'oeil au sujet : Les Bannières/popups de publicités dangereuses sur la toile

Quel est le but de ces popups ?

Certaines de ces popups ouvrent des publicités pour des casinos, sites de rencontres ou site WEB proposant des services.. ces popups ont donc un but commercial.

D'autres popups ont pour but de vous faire télécharger de faux antispyware, d'où le fait général que ces popups vous indiquent que votre ordinateur est infecté ou endommagé afin de vous faire peur et tirer parti de votre naïveté/méconnaissance informatique. Vous trouverez sur ce lien un exemple des alertes afin de vous faire télécharger de faux antispywares : Les pièges pour télécharger de faux antispywares

Une fois ces faux antispywares téléchargés et installés, il vous sera alors indiqué que vous devez acheter la version commerciale pour supprimer toutes infections de votre ordinateur.
Vous l'aurez compris, ces infections ouvrant des popusp intempestives sont des arnaques afin de vous faire acheter de faux antispywares.

Ces faux antispywares sont aussi appelés rogues.. vous trouverez une liste des plus répandus : DriveCleaner, VirustBursters, Antivermins, MalwareWipe etc.. sur cette page : http://forum.malekal.com/viewforum.php?f=56

Voici quelques exemples de popup intempestives qui peuvent s'ouvrir :

Sommaire

Supprimer les popups de pubs intempestives
1. Quel est le but de ces popups ?

Les popups lors de la visite d'un site WEB particulier

Il peut arriver que vous receviez des popups lors de la visite WEB d'un site en particulier.

Cela signifie que le site WEB utilise une régie de publicité (souvent yieldmanager), c'est à dire une société qui s'occupe d'afficher les publicités sur le site WEB, cette régie de publicité affiche alors des publicités pour des rogues.
Souvent ces publicités sont assez aggressives (popups, animations clignotantes etc..) et sont accompagnés de fausses alertes pour tirer profit de votre naïveté.
Pour plus d'informations sur ces bannières, voir le sujet Les Bannières/popups de publicités dangereuses sur la toile

Pour parer à ces popups de publicités sur les sites WEB que vous consultez, il vout suffit de suivre le guide pour Sécuriser Firefox

Les popups "Service afffichage des messages"

Windows permet l'envoyer de message via la commande "net send IP_de_la_machine/Nom_réseau_de_la_machine".
Ceci est utilisé par les administrateurs pour prévenir par exemple d'un redémarrage d'un serveur à tous les utilisateurs du réseau.
Cependant, ce service est aussi exploité pour spammer les machines sur internet.

Dans l'exemple ci-dessous, on reçoit un message (notez le titre de la fenêtre "Service Affichage des messages qui est typique de ces popups) qui indique que la machine est infecté et qu'il faut aller sur les sites :

www.patchupdate.info
regfixit.comm
regfixies.com
regwin32.com
fixed-pc.com
patchtupdate.info
etc..

Ceci signifie aussi que votre ordinateur n'est pas protégé par un pare-feu ce qui peut engendrer d'autres infections !
Pour supprimer ces popups, cliquez sur le lien suivant : http://www.malekal.com/net_send.php

infection Magic.control : popup casino, crazy girls, epasskey, navisearch, WinAntivirus Pro

C'est la plus courante.
Cette infection est connue pour afficher des popups de types : casino, crazy girls, epasskey, navisearch, WinAntivirus Pro, etc..

Cette infection provient après l'installation d'un de ces programmes piégés :

Go-astro
GoRecord
HotTVPlayer
MailSkinner
Messenger Skinner
Instant Access
InternetGameBox
Sudoplanet
Sur le site www.games-desktop.com (n'allez pas dessus!!)
WebMediaplayer (ne provenant pas du site : http://www.azertysite.new.fr/ celui-ci est sain)

Si vous avez installé un de ces programmes, vous êtes certainement infectés.. et les popups de pubs proviennent de cette infection.

Pour déterminer, si vous êtes infectés par cette infection, il vous suffit de télécharger et effectuer un scan avec F-Secure BlackLight
Si des des fichiers du type :
xxxxxxxxx.dat
xxxxxxxxx_nav.dat
xxxxxxxxx_navps.dat
xxxxxxxxx.exe
où xxxxxxxxx est un nom de fichiers aléatoires est détecté alors vous êtes infectés.

Exemple de rapport :

04/28/06 20:59:17 [Note]: 7024 3
04/28/06 20:59:17 [Info]: Hidden process: C:\windows\system32\xmuwlrqkn.exe
04/28/06 20:59:17 [Note]: FSRAW library version 1.7.1015
04/28/06 21:00:15 [Info]: Hidden file: c:\WINDOWS\system32\xmuwlrqkn_nav.dat
04/28/06 21:00:15 [Note]: 10002 1
04/28/06 21:00:15 [Info]: Hidden file: c:\WINDOWS\system32\xmuwlrqkn.dat
04/28/06 21:00:15 [Note]: 10002 1
04/28/06 21:00:15 [Info]: Hidden file: C:\windows\system32\xmuwlrqkn.exe
04/28/06 21:00:15 [Note]: 10002 1
04/28/06 21:00:18 [Info]: Hidden file: c:\WINDOWS\system32\msclock32.dll
04/28/06 21:00:18 [Note]: 10002 1
04/28/06 21:00:21 [Info]: Hidden file: c:\WINDOWS\system32\xmuwlrqkn_navps.dat
04/28/06 21:00:21 [Note]: 10002 1
04/28/06 21:01:24 [Note]: 7007 0

Pour vous désinfecter, suiviez la procédure : Supprimer Magic.Control/ egdaccess

Infection Lop.com/Swizzor

Lop.com est une infection qui affiche des popups de publictés.
Celles ci peut aussi ajouter des icônes sur le bureau ainsi que des favoris non désirés.

Lop.com s'installe avec des applications.. en règle général, il est explicitement inscrit (en anglais) que le programme va ouvrir des popups de pubs. Voici une liste de quelques programmes connus pour installer l'infection Lop.com/Swizzor

BitDownload
BitGrabber
BitRoll
MessengerPlus! 3 sous le nom de sponsors
Messenger Plus! Live sous le nom de sponsors
NetPumper
TorrentQ
Torrent101

Voici les conditions générales du programme BitGrabber, on peut y lire que le programme CiD peut :

modifier votre page de démarrage ou de recherches
ouvrira des popups de publicités à des intervalles réguliers

Voici les conditions générales d'utilisation du sponsors proposé à l'installation de Messenger/Windows Plus! On peut y lire que le programme C2 peut affichers des publicités.

Vous pouvez supprimer Lop.com/Swizzor en utilisant le désinstalleur : http://clairvoyant.p2pforum.it/tools/lopremover.zip ou en désinstallant CID Help ou désinstallent le sponsors MSN/Windows Plus! à partir d'ajout/suppression de programmes
Vous devez retapper le code qui apparaît à l'écran puis cliquer sur le bouton UNINSTALL

Infection Virtumonde/Vundo

Cette infection est visible depuis HijackThis lorsque l'on renomme le fichier HijackThis par les lignes suivantes :

O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:\WINDOWS\System32\ddaya.dll
O20 - Winlogon Notify: ddaya - C:\WINDOWS\System32\ddaya.dll

O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\system32\ddabx.dll
O20 - Winlogon Notify: ddabx - C:\WINDOWS\system32\ddabx.dll

O2 - BHO: MSEvents Object - {52B1DFC7-AAFC-4362-B103-868B0683C697} - C:\WINDOWS\system32\mllml.dll
O20 - Winlogon Notify: mllml - C:\WINDOWS\system32\mllml.dll

Pour supprimer cette infection, suiviez la procédure décrite sur cette page : Supprimer Virtumonde / Msevents / Trojan.vundo

ATTENTION : Cette infection est généralement accompagnée d'une multitude d'autres infection, c'est par exemple le cas avec une infection Safety Bar / VsAdd-In.
Il est recommandé d'effectuer un scan successivement avec les antispyware :
AVG AntiSpyware et SpySweeper : Anti-Spyware recommandé et ceci en mode sans échec !

N'hésitez pas à venir demander de l'aide sur le forum : Désinfection sur le forum

Redirection lors des recherches sur Google

Lorsque vous effectuez des recherches sur Google. Vous cliquez sur un site WEB donné en résultat mais vous atterrissez sur un autre site..
Démonstration sur cette page : Redirection lors des recherches Google

Ces infections s'attrapent soit par exploits sur des sites WEB en général pornographiques, soit par de faux codecs pour visualiser des vidéos pornographiques.
Le symptôme principal de ces infections sont des Redirections lors des recherches Google, vous cliquez sur un lien de recherche sur Google et atterrirez sur un lien tout autre que celui attendu.

FixWareout : Supprimer les infections Trojans.DNS/Trojan.DNSChanger
Les redirections lorsque vous surfez vers des sites affichant des alertes disant que votre ordinateur est infecté, utilisez SmitFraudfix

Infection Look2me

Cette infection est visible depuis HijackThis par les lignes suivantes :

O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\lvn0095me.dll

Vous pouvez suivre cette procédure de désinfection : Supprimer Look2Me

ATTENTION : Cette infection est généralement accompagnée d'une multitude d'autres infection, c'est par exemple le cas avec une infection Safety Bar / VsAdd-In.
Il est recommandé d'effectuer un scan successivement avec les antispyware :
AVG AntiSpyware et SpySweeper : Anti-Spyware recommandé et ceci en mode sans échec !

N'hésitez pas à venir demander de l'aide sur le forum : Désinfection sur le forum

icone d'alerte dans le systray - system alert

Ces infections installent directement des rogues (faux antispyware ) sur votre machine actuellement : Virusburst, Virusbursters, VirusBlaster etc..
Ces infections affichent des popups d'alertes à partir d'une icône en bas à droite à côté de l'ordinateur.
Ces infections peuvent enfin modifier la page de démarrage de votre navigateur WEB.

Suivez cette procédure pour supprimer ces infections : Supprimer les rogues

Autres Liens

Pour plus d'informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)