Probleme logiciels espion (spyware) et Windows installer

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Probleme logiciels espion (spyware) et Windows installer

Messagede pasmart » 18 Sep 2005, 00:48

J'ai 2 problèmes :

Le premier est qu'un logiciel anti-spyware du nom de spy-shooter ( télécharger sur " telecharger.com " me détecte 2 logiciels espions en sommeil du nom de Sahagent et Silentspy.
Il n'arrive pas à les détriure et j'ai tout essayé comme expliquer sur ce site, et rien ni fait (Kapersky,Pestpatrol,Ccleaner,mode sans echec, restauration, etc...).

Mon second problème, est qu'à chaque lancement de Windows XP, pendant le chargement du bureau, une fen^tre de Windows Installer s'ouvre pour me configurer et installer un logiciel que je n'ai plus depuis longtemps ( photogallery, par exemple), toujours pareil je n'ai pas trouver la solution.

Un dernier point, lors de le fermeture de Windows, un fenêtre intitulée Base2PaneForm s'ouvre et m'indique que ce programme se ferme, ensuite l'arrêt de Winwos se déroule normalement.

Voici mon log Hijackthis et merci d'avance de votre aide :
Logfile of HijackThis v1.99.1
Scan saved at 01:26:13, on 18/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
F:\Program Files\ahead\InCD\InCD.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\Program Files\Saitek\Software\SaiMfd.exe
C:\Program Files\Saitek\Software\Profiler.exe
F:\Logiciels\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\SpeedFan\speedfan.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\Logiciels\HijackThis\Hijackthis version française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Logiciels\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [InCD] F:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Program Files\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [AnyDVD] F:\Logiciels\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Startup: Registration Prince of Persia l'Ame du Guerrier.LNK = G:\Ubisoft\Prince of Persia l'Ame du Guerrier\Support\Register\RegistrationReminder.exe
O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Browser Adjust - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D7475EA-0D04-405D-99C8-8249502D0573}: NameServer = 217.27.32.176,212.27.32.177
O17 - HKLM\System\CCS\Services\Tcpip\..\{B90D8347-461E-4D71-8830-6251ED8380A2}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB057433-C6AD-451C-95C6-65CDB1FDBC7A}: NameServer = 217.27.32.5,213.228.0.168
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
pasmart
 

Messagede nickW » 18 Sep 2005, 17:55

Bonsoir,

Pas de "méchant" visible dans ton log.


Premier point:
Où sont détectées les traces de Sahagent et Silentspy?

La société CheckFlow, créatrice de SpyShooter, est connue pour ses faux positifs incitant à l'achat de l'un de leurs logiciels.
Voir cette liste des logiciels suspects/scélérats.


Deuxième point:
Quel est le nom exact (et l'auteur) du programme que Windows Installer veut configurer et installer?


Troisième point:
Il semble que les problèmes de Base2PaneForm soient liés à un logiciel installé en même temps qu'une imprimante HP (lignes ci-dessous en caractères gras).
Il est possible d'alléger la procédure de démarrage et de libérer quelques ressources système.
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.
Sont dans ce cas:

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [AnyDVD] F:\Logiciels\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe--->mise à jour automatique; mieux vaut la faire soi-même
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c--->En as-tu vraiment besoin? Lire cette page
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe--->mise à jour automatique; mieux vaut la faire soi-même
O4 - Startup: Registration Prince of Persia l'Ame du Guerrier.LNK = G:\Ubisoft\Prince of Persia l'Ame du Guerrier\Support\Register\RegistrationReminder.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe--->lui préférer Adobe Reader SpeedUp 1.32
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe--->mise à jour automatique; mieux vaut la faire soi-même

Note importante sur la mise en œuvre de cette correction ("Fix") via HijackThis (cocher la case devant l'élément puis cliquer sur Fix Checked):
Tout ceci doit être fait
-**- après avoir désactivé TeaTimer de Spybot-S&D s'il est actif (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer) ou tout autre programme de contrôle d'intégrité,
-**- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items" dans "Config"),
-**- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
-**- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), ou en vidant les dossiers
C:\Documents and Settings\ton-profil\Local Settings\Temporary Internet Files\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temporary Internet Files\
-**- après avoir supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI, ou Ccleaner, voir ICI), sinon il faut vider les dossiers
C:\Windows\Temp\ (pour Windows 95/98/Me/XP) ou C:\Winnt\Temp\ (pour Windows NT/2000)
C:\Documents and Settings\ton-profil\Local Settings\Temp\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temp\
-**- après avoir vidé la corbeille,
-**- après avoir fermé toutes les fenêtres (Explorateur, Internet Explorer, autres programmes),
-**- Ici doit se placer l'utilisation de HijackThis
-**- après exécution de HijackThis, vider la corbeille, le cache d'IE et les fichiers temporaires.

Puis redémarrer l'ordinateur en mode normal.


Penser à réactiver la restauration système (si Windows ME/XP).
Penser à réactiver TeaTimer de Spybot-S&D (si désactivé précédemment).
Penser à réactiver tout autre programme de contrôle d'intégrité (si désactivé précédemment).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede pasmart » 19 Sep 2005, 11:59

Pour mon problème de Windows Installer se lançant dés l'ouverture de windows, le programme en question est " Photogallery" ( pas de nom d'auteur).
Donc Windows Installer se lance et affiche : Préparation de l'installation, Please wait while Windows configures Photogallery
puis : The feature you are trying to use is on a CD-ROM or other removable disk that is not available.Insert the " Photogallery" disk and click OK.
Comme je ne connait pas ce logiciel ( ou alors un vieux déjà supprimer depuis longtemps) je ne comprends pas.Je clique sur Cancel, une fen^tre s'ouvre et affiche " Error 1706.No valid source could be found for product Photogallery.The Windows Installer cannot continue".
Là au lieu de se fermer définitivement , il relance à nouveau l'installation, puis encore une fois si cancel à nouveau.
Donc 3 essais d'installation avant de se fermer définitivement avant un autre redémarrage de Windows XP.
Cependant, j'ai eu aussi un essai d'installation identique avec un logiciel s'appelant " FAX "
Que dois-je faire ???

Pour le lien de " acrobat reader speed..." , le lien est mort ..
pasmart
 

Messagede nickW » 19 Sep 2005, 14:03

Bonjour,

Pour le lien de " acrobat reader speed..." , le lien est mort ..


:shock: :shock: :shock: Je viens de le télécharger, sans aucun problème! :shock: :shock:

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede pasmart » 19 Sep 2005, 22:11

Bons résulats . :D

Pour mon problème de logiciels espions en sommeil d'après l'anti-spyware Spy Shooter, il me trouvait le spyware Sahagent et le spyware Silentspy, bien que Spy Shooter ne se trouve pas dans la liste des anti-spyware douteux, j'ai fait une analyse avec Spybot-Search & Destroy, Ad-aware et A-Squarred + évident avec mon anti-virus Kapersky 5.0.149, rien n'a été découvert, je suppose donc que Spy Shooter détectait volontairement 2 spyware non présents réellement sur mon PC mais me forçant + ou - à acquerrir cet anti-spyware.

Pour ce qui est de Windows Installer qui se lançait au démarrage de Windows, voulant installer le logiciel Photogallery, dont je ne me souvenait pas avoir utilisé, j'ai repensé que dernièrement j'ai acheté une imprimante HP tout-en-un, avec logiciels fournit, j'ai donc insérer ce CD-Rom lorsque Windows Installer me le demandait, il a finit l'installation, et depuis plus de problème au démarrage ( sans doute un bug lors de l'installation première).


Pour la fenêtre intitulée " Base2PaneForm" qui s'ouvrait lors de la fermeture de Windows, je ne la voit plus ( résolu après l'installation de Photgallery décrit ci-dessus ??? )

Enfin, après votre analyse de mon log, j'ai effectué les changements avec HijackThis, tout s'est bien passé.
Pour Incredimail, bien qu'effectivement, beaucoup de gens pensent, sans doute avec raison, que ce logiciel soit une fantaisie doublé d'un spyware, voir plus grave, ce'st pour moi un logiciel de messagerie bien plus attrayant que Outlook, car envoyé des petits message avec fond sympa et animation, c'est cool pour celui qui reçoit, c'est mon avis.

Un dernier point, pour acrobat reader SpeedUp 1.32, je l'ai télécharger, mais n'étant pas un férru en anglais, j'ai du mal à comprendre l'utilité et surtout l'installation, voir à installer le patch en français, si vous pouviez m'aidez, ce serait super.

Je vous remercie sincèrement de toute l'aide que vous m'avez apporté, en espèrent ne plus avoir de gros soucis dans l'avenir ( qui dit utopique ?).

Encore merci pour tout. :D
pasmart
 

Messagede Intel » 19 Sep 2005, 23:09

Bonsoir :D

Faut penser à mettre à jour ton AV, on est rendu à version 5.0.388 de Kaspersky.
Image
Avatar de l’utilisateur
Intel
 
Messages: 607
Inscription: 03 Juil 2005, 21:43

Messagede nickW » 19 Sep 2005, 23:30

Bonsoir,

Adobe Reader SpeedUp est un programme qui se lance une seule fois et qui désactive le chargement, au lancement de chaque instance d'Adobe Reader, d'une quantité importante de plugins dont personne n'a besoin pour lire un fichier pdf "normal".
Si tu rencontres des problèmes pour lire un fichier pdf "complexe" (*), il suffit de relancer Adobe Reader SpeedUp et de lui demander de revenir à la situation initiale.
(*): je n'ai jamais eu de tels problèmes.

Au contraire, le programme reader_sl.exe est lancé à chaque démarrage de Windows, et charge en mémoire une partie de ces plugins pour accélérer l'ouverture d'Adobe Reader. Donc utilisation de ressources système, même si tu ne lis aucun fichier pdf pendant toute la session!

Une fois que tu as téléchargé Adobe Reader SpeedUp, tu décompresses l'archive dans un dossier qui lui est réservé (par exemple, c:\Program Files\ARSpeedup).
Tu fais un double clic sur Reader SpeedUp.exe, tu indiques dans Settings la langue Française, tu choisis Optimiser, tu indiques le chemin d'accès au programme Adobe Reader (si demandé), tu choisis le mode "Rapide".

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede pasmart » 20 Sep 2005, 12:31

Merci du tuyau :D
pasmart
 


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 28 invités

cron