Ad Aware 6

Salut à tous ! j'ai trouvé qq trucs, si tu veux jeter un oeil!
http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=cydoor&alt=cydoor
et aussi sur
http://assiste.free.fr/p/frameset/12.php
et (je crois) la cerise sur le gâteau avec son nom marqué
ds la colonne de gauche, et tout le topo/bon courage:pour
nettoyer!
Généralités
a.. Nom
Cydoor


b.. Autres noms
Cydoor Desktop Media, Cydoor Solutions, iSkinsT Technology, cd_clint.dll,
cd_load.exe


c.. Description Résumée
Il s'agit d'un adware et d'un spyware. Cydoor revendique 55 millions
d'ordinateurs pollués par sa technologie et 300.000 nouveaux ordinateurs par
jour son infestés par ses outils grâce auxquels il annonce fièrement difuser
plusieurs billions de publicités par mois dans le monde.


d.. Variantes
cd_clint.dll, cd_clint.exe est la tâche active on-line.
cd_load.dll, cd_load.exe est la tâche active off-line


Ce qu'il fait


Publicité Violation de la vie privée Introduit une faille de sécurité
Introduit une instabilité du système
Oui
Oui
Oui
Oui





a.. Publicité :
Oui. Plusieurs billions par mois dans le monde entier.


b.. Violation de la vie privée :
Oui. Collecte des données de tracking et des données démographiques (Sur
leur page Privacy : genre, âge, centres d'intérêt, status marital, salaire,
code postal, pays, niveau d'éducation...). Utilise un GUID. Transmet
également des données statistiques sur l'usage de ses publicités (nombre de
fois vues, nombre de click etc. ...)


c.. Introduit une faille de sécurité :
Oui. Comporte un dispositif de download de mises à jour donc peut
télécharger sur nos ordinateurs n'importe quel type de code invérifiable et
l'exécuter. Comporte également un dispositif de download de publicités à
diffuser lorsque la connexion Internet est coupée.


d.. Introduit une instabilité du système :
Oui. De nombreux rapports font état d'instabilités causant des erreurs
dans Windows XP.



Editeur
Cydoor



Autres produits du même éditeur
.



Méthode de distribution
Essentiellement distribué en "bundle" (en produit joint à un autre) avec
opt-in ou opt-out dans plus de 2.000 logiciels de type freeware qui
acceptent d'intégrer Cydoor et de faire remonter de l'information
démographique (de l'espionnage) vers Cydoor. On le trouve, par exemple, dans
Babylon, iMesh, ComTry MP3 Downloader, KaZaA, LimeWire, Grokster, Rosoft CD
Extractor, Rosoft Audio Recorder...



Détection
.



Informations techniques
Lorsqu'il est livré en bundle avec un autre produit logiciel, il se sert de
la fenêtre même du produit logiciel comme d'une fenêtre d'un navigateur
Internet, pour afficher des publicités y compris lorsque vous êtes hors
connexion. Cydoor déclare froidement que les utilisateurs d'un ordinateur
utilisent plus souvent leurs logiciels que leur navigateur Internet et donc
que les pubs dans leurs logiciels on plus d'impact, attire plus l'attention,
et sont vues plus souvent. Il ajoute, en plein texte (et en anglais) sur son
site que, puisque l'utilisateur doit s'identifier pour obtenir les licences
de ses logiciels, il récupère ainsi des données démographiques !!! Notons
que l'implémentation de Cydoor dans un logiciel hôte nécessite la totale
complicité de l'éditeur du logiciel hôte qui perçoit une rémunération de
Cydoor pour "services rendus". Le composant reste en veille permanente et, à
chaque connexion Internet, il emet vers un serveur toutes les informations
collectées puis reçoit un jeu ciblé de publicités, stockées dans
c:WindowsSystemadcache, qui seront affichées même si la connexion est
coupée. "Les publicitées sont tirées du cache publicitaire protégé installé
sur l'ordinateur de chaque utilisateur, que celui-ci soit on-line ou
off-line. Les programmes afficherons continuellement des publicités depuis
le cache jusqu'à ce qu'il soit mis à jour, la prochaine fois que
l'utilisateur se connectera. Le téléchargement des publicités et les envois
de rapports sont transmis au moment venu." On notera également que Cydoor
n'a aucun interface avec l'utilisateur si ce n'est ce genre de page, lors de
l'installation du logiciel hôte, qui est prise pour l'une des pages
d'installation de l'hôte (remarquez le nom de la fenêtre qui est celui de
l'hôte) et sera vite oubliée. L'utilisateur ne saura même pas que Cydoor est
installé.
Lorsqu'il est un composant d'un site web, il délivre des pop-ups, des
bannières ciblées, des boutons et des publicités basées sur la détection de
Mots-clés utilisés par l'internaute.



Eradication


a.. Manuelle
Vous devez connaître et maîtriser les actions manuelles suivantes
a.. Tuer un processus actif

b.. Retirer une entrée de la liste de démarrage

c.. Détruire des fichiers

d.. Détruire des répertoires

e.. Détruire des clés de registre

f.. Détruire une entrée dans un clé de registre

g.. Désenregistrer des DLLs



La désinstallation de l'hôte ne désinstalle pas la malveillance Cydoor.

Tuer les processus suivants
programfilesdir+imeshclientcd_install_202.exe
systemroot+system32cd_load.exe
systemroot+systemcd_load.exe
programfilesdir+grokstercd_install.exe
systemroot+tempadwarecd_install_291.exe01dopewars_update.exe
cydoor.exe
cydoor_uninstall.exe
sahagent.exe
sahdownloader.exe

Rechercher la clé de registre permettant le lancement automatique de
Cydoor au démarrage
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Si la valeur Cydoor s'y trouve, détruire cette valeur (uniquement cette
valeur, pas la clé !)
Redémarrer aussitôt

Désenregistrer les dll suivantes:
systemroot+system32cd_clint.dll
systemroot+system32cd_htm.dll
systemroot+systemcd_clint.dll
systemroot+systemcd_gif.dll
systemroot+systemcd_htm.dll
systemroot+systemcd_html.dll
systemroot+systemcd_swf.dll
systemroot+tempcd_clint.dll
systemroot+system32cd_swf.dll
systemroot+system32msg{6ea0f469-dfd6-40fa-8ec0-29c8bf23cf76}0108.dll
systemroot+system32gdnp.dll
systemroot+temporary internet filescontent.ie5kgrv9a5fcd_htm[1].dll
profilepath+local settingstempcd_clint.dll
systemroot+system32adcachetempcd_clint.dllcbanner2.dll
gr02.dll
xmltok.dll
netpal.dll
xmlparse.dll
lsp.dll
kernellos.dll
im64.dll

Détruire les clés de registre suivantes:
hkey_current_usersoftwarecydoor
hkey_current_usersoftwarecydoor services
hkey_current_usersoftwaremicrosoftwindowscurrentversionruncydoor
hkey_local_machinesoftwarecydoor
hkey_local_machinesoftwaremicrosoftwindowscurrentversionruncydoor

hkey_local_machinesoftwaremicrosoftwindowscurrentversionrunoncecydooru
pdate

hkey_local_machinesoftwaremicrosoftwindowscurrentversionuninstalladsup
port_202

hkey_local_machinesoftwaremicrosoftwindowscurrentversionuninstalladsup
port_253

hkey_local_machinesoftwaremicrosoftwindowscurrentversionuninstalladsup
port_270

hkey_local_machinesoftwaremicrosoftwindowscurrentversionuninstalladsup
port_314

hkey_local_machinesoftwaremicrosoftwindowscurrentversionuninstalladsup
port_319

hkey_local_machinesoftwaremicrosoftwindowscurrentversionuninstalladsup
port_336
hkey_users.defaultsoftwarecydoor
hkey_users.defaultsoftwarecydoor
hkey_users.defaultsoftwarecydoor services
hkey_users.defaultsoftwarecydoor services
hkey_userss-1-5-21-1960408961-1993962763-1343024091-1003softwarecydoor
hkey_userss-1-5-21-1960408961-1993962763-1343024091-1003softwarecydoor
services
hkey_userss-1-5-21-329068152-1677128483-854245398-500softwarecydoor
hkey_userss-1-5-21-329068152-1677128483-854245398-500softwarecydoor
services
hkey_userss-1-5-21-725345543-1078145449-1343024091-500softwarecydoor
hkey_userss-1-5-21-725345543-1078145449-1343024091-500softwarecydoor
services
hkey_userss-1-5-21-796845957-842925246-1060284298-500softwarecydoor
hkey_userss-1-5-21-796845957-842925246-1060284298-500softwarecydoor
services

Détruire les fichiers suivants s'ils existent:
b_197800.swf
cbanner2.dll
cydoor.exe
cydoor_uninstall.exe
gr02.dll
im64.dll
kernellos.dll
lsp.dll
netpal.dll
profilepath+local settingstempcd_clint.dll
programfilesdir+flashtalktxtmictest.rtf

programfilesdir+flashtalktxtvoicemessagesettings.rtf01dopewars_update.exe
programfilesdir+grokstercd_install.exe
programfilesdir+imeshclientcd_install_202.exe
sahagent.exe
sahdownloader.exe
systemroot+systemcd_clint.dll
systemroot+systemcd_gif.dll
systemroot+systemcd_htm.dll
systemroot+systemcd_html.dll
systemroot+systemcd_load.exe
systemroot+systemcd_swf.dll
systemroot+system32adcachetempcd_clint.dll
systemroot+system32cd_clint.dll
systemroot+system32cd_htm.dll
systemroot+system32cd_load.exe
systemroot+system32cd_swf.dll
systemroot+system32gdnp.dll
systemroot+system32msg{6ea0f469-dfd6-40fa-8ec0-29c8bf23cf76}0108.dll
systemroot+tempadwarecd_install_291.exe
systemroot+tempcd_clint.dll
systemroot+temporary internet filescontent.ie5kgrv9a5fcd_htm[1].dll
thumbs.db
v.dat
vg.dat
xmlparse.dll
xmltok.dll

Détruire tout les fichiers contenus dans le répertoire
systemroot+system32adcache ou dans le répertoire
systemroot+systemadcache
qui contient des pages publicitaires pré-chargées : les fichiers ont une
syntaxe de la forme:
systemroot+system32adcacheb_500600.htm

Détruire les répertoires suivants et tout ce qui pourrait subsister
dedans:
systemroot+system32adcache
systemroot+systemadcache
programfilesdir+toolbar
programfilesdir+eudoraqualcomm2eudoraeudprivadsadcache
programfilesdir+eudoraqualcommeudoraeudprivadsadcache
d:windowssystem32adcache
systemroot+system32adcachetemp

Détruire la clé de registre:

HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionrunoncecydooru
pdate

Redémarrer aussitôt et s'assurer que tous les objets vus précédemment ne
reviennent pas.
toujours exécuter l'intégralité de "LA MANIP" après cette désinfection.



a.. Automatique avec son propre uninstal
Non
toujours exécuter l'intégralité de "LA MANIP" après cette désinfection.


b.. Automatique avec un outil
PestPatrol
SpyBot Search and Destroy
Ne pas utiliser Ad-aware
toujours exécuter l'intégralité de "LA MANIP" après cette désinfection.


c.. Conséquences de l'éradication
Lorsque le composant Cydoor, cd_clint.dll, est éradiqué par un outil
anti-spyware, le logiciel hôte ne fonctionne plus raison pour laquelle
certains éradiqueurs intelligents le remplacent par un leurre inactivé
développé par cexx.org. C'est ce qu'a également fait KaZaA Lite dans son
hack de KaZaA.

Ad-aware présente 2 défauts : il éradique complètement Cydoor, rendant
l'hôte inutilisable et il se plante lamentablement en présence du leurre
inactivé qu'il ne détecte pas comme tel et l'éradique aussi !

SpyBot Search and Destroy est plus intelligent et remplace Cydoor
(cd_clint.dll), lorsqu'il le trouve, par le leurre inactivé de cexx.org,
permet ainsi à l'hôte de continuer à fonctionner et, bien entendu, ne se
fait pas tromper par le leurre.


Suggestion de serveurs à ajouter à hosts
Hosts - Qu'est-ce que c'est?

On ne manquera pas de noter que le nombre de serveurs de Cydoor connus est
très faible et que ceux-ci sont totalement insufisants pour servir des
billions de pages de pubs par mois à travers toute la planète. Cydoor
annonce sous-traiter une partie de cet hébergement chez ses peu glorieux
confrères (en terme de politique de vie privée) Valueclick, Commission
Junction, Adventures, Advertising.com, RealMedia, BeFree et d'autres ce qui
accentue le problème de l'espionnage.

127.0.0.1 bns1.net
127.0.0.1 bns10.net
127.0.0.1 bns2.net
127.0.0.1 bns3.net
127.0.0.1 bns4.net
127.0.0.1 bns5.net
127.0.0.1 bns6.net
127.0.0.1 bns7.net
127.0.0.1 bns8.net
127.0.0.1 bns9.net
127.0.0.1 cms1.net
127.0.0.1 cms10.net
127.0.0.1 cms2.net
127.0.0.1 cms3.net
127.0.0.1 cms4.net
127.0.0.1 cms5.net
127.0.0.1 cms6.net
127.0.0.1 cms7.net
127.0.0.1 cms8.net
127.0.0.1 cms9.net
127.0.0.1 cydoor.com
127.0.0.1 jbns2.cydoor.com
127.0.0.1 jcms.cydoor.com
127.0.0.1 rg1.com
127.0.0.1 rg10.com
127.0.0.1 rg2.com
127.0.0.1 rg2nc3.rg2.com
127.0.0.1 rg3.com
127.0.0.1 rg4.com
127.0.0.1 rg5.com
127.0.0.1 rg6.com
127.0.0.1 rg7.com
127.0.0.1 rg8.com
127.0.0.1 rg9.com
127.0.0.1 www.bns1.net
127.0.0.1 www.bns10.net
127.0.0.1 www.bns2.net
127.0.0.1 www.bns3.net
127.0.0.1 www.bns4.net
127.0.0.1 www.bns5.net
127.0.0.1 www.bns6.net
127.0.0.1 www.bns7.net
127.0.0.1 www.bns8.net
127.0.0.1 www.bns9.net
127.0.0.1 www.cms1.net
127.0.0.1 www.cms10.net
127.0.0.1 www.cms2.net
127.0.0.1 www.cms3.net
127.0.0.1 www.cms4.net
127.0.0.1 www.cms5.net
127.0.0.1 www.cms6.net
127.0.0.1 www.cms7.net
127.0.0.1 www.cms8.net
127.0.0.1 www.cms9.net
127.0.0.1 www.cydoor.com
127.0.0.1 www.jbns2.cydoor.com
127.0.0.1 www.jcms.cydoor.com
127.0.0.1 www.rg1.com
127.0.0.1 www.rg10.com
127.0.0.1 www.rg2.com
127.0.0.1 www.rg2nc3.rg2.com
127.0.0.1 www.rg3.com
127.0.0.1 www.rg4.com
127.0.0.1 www.rg5.com
127.0.0.1 www.rg6.com
127.0.0.1 www.rg7.com
127.0.0.1 www.rg8.com
127.0.0.1 www.rg9.com



Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.
.



Cookies à éradiquer utilisés par cette malveillance
cydoor.com



Liens, sources et ressources
Pour rédiger cette fiche, les sites suivants ont été consultés
PestPatrol
http://www.cydoor.com/

Porter plainte
Portez plainte iciO.C.L.C.T.I.C
MINISTERE DE L'INTERIEUR
Direction Centrale de la Police Judiciaire
Sous-Direction des Affaires Economiques et Financières
8, rue de Penthièvre
75008 PARIS
Tel : 01.49.27.49.27
Télécopie : 01.40.97.88.59
oclctic@interieur.gouv.fr

*****Retour d'information =AVEC SPYBOT,PEST PATROL mais

*PAS ADAWARE* pour la désinfection**********

@+ (j'espère que cela ne va pas peser une
tonne....sinon Luc va m'appeler Julie! lol rofl

Bonjour à tous! Alors c'est-toi le fameux Fifou lol rofl @+

"jackie" <no_spam_jackiechezwdoo.fr> a écrit dans le message de
news:uPMK2hZlEHA.3428@TK2MSFTNGP11.phx.gbl...

Bonjour à tous! Alors c'est-toi le fameux Fifou lol rofl @+

Ben oui, c'est moi... je me cache pas, (sinon je me serais pas dévoilé à
Luc) mais mon pseudo est utilisé ailleurs... alors je change... Lol

Bonsoir et merci pour toute litanie qui, je dis l'avouer, me fait assez
peur: Je saurai jamais faire tout ça...
J'ai réinstallé real player... Il est dans la liste. Tu crois que c'est lui
?
Bon, je vais laisser ça en l'état, de toute façon je n'ai aucune fenêtre
popup qui s'ouvre... On verra bien. Trop "technique" pour moi la manip...
Mais je garde précieusement ton message et te remercie beaucoup... de
m'avoir foutu une telle trouille... Lol

Amitiés

--
---
Philippe GUERIN

Aide toi, le ciel t'aidera...

filg@NoSpam.laposte.net
Adresse invalide: Supprimez "NoSpam."

Salut à tous et à toi Fifou! :-D lol rofl
C'est la fin du topo qui est intéressante, je suis sûre qu'avec
tous les éléments du deuxième lien, une de nos'grosses têtes'
ou un de nos 'gentils MVP' va te conseiller le + court chemin!
*mais bien sûr* à condition que tu ne nous fasses plus le coup
des 392 [tu es rentré ds le Guinness MSNews ;-) ] surtout en
pleine nuit, le pauvre Luc était trop loin pour que je le réanime lol
*toujours être patient et réfléchir devant un pb*
Lire à tête reposée=pas Adaware; scan/spybot puisque c'est un spy +scan/
a2 free (où les dossiers sont bien définis à part)puisque c'est aussi un
malware /tout cela après avoir coché ta désactivation restau système ds
l'onglet qui apparaît ds propriétés système =touches[Windows]+[Pause/break]
qu'il ne faut pas oublier de décocher à la fin (but de cette manoeuvre= ne
pas restaurer un dossier contaminé) et créer un nveau point.
=Une bonne heure de travail à cause des 2 scanners
NB/dans le service, ns avons opéré de cette façon et cela a marché, il y en
a qui ns ont donné du fil à retordre mais cela
devient un réflexe à force: le tout est de connaître la famille
de la bestiole,de consulter les sites sécurité pour lui taper dessus avec
l'artillerie ad hoc...là c'est le bazooka qu'il te faut sortir lol mais
*attends* les conseils des *grands chefs*
;-D @+

"jackie" <no_spam_jackiechezwdoo.fr> a écrit dans le message de
news:uPF$4CglEHA.596@TK2MSFTNGP11.phx.gbl...

Salut à tous et à toi Fifou! :-D lol rofl
C'est la fin du topo qui est intéressante, je suis sûre qu'avec
tous les éléments du deuxième lien, une de nos'grosses têtes'

............................................................................

............

devient un réflexe à force: le tout est de connaître la famille
de la bestiole,de consulter les sites sécurité pour lui taper dessus avec
l'artillerie ad hoc...là c'est le bazooka qu'il te faut sortir lol
mais

*attends* les conseils des *grands chefs*
;-D @+


salut,

pour info, je ne sais pas si c'est effacé définitivement, mais un coup d'ad
aware 6 , un spybot ensuite, redémarrage, spybot dans la foulée... plus de
cydoor...
Pourvu que ce ne soit pas provisoire...
et pourvu que je n'ai pas viré avec spybot des trucs que je n'aurais pas du
virer: je comprends pas tout ce que je fais... mais c'est sauvegardé...

Je vous tiens au courant...

Amitiés

--
---
Philippe GUERIN

Aide toi, le ciel t'aidera...

filg@NoSpam.laposte.net
Adresse invalide: Supprimez "NoSpam."

Bonne nuit à tous et merci du retour *Philippe* lol
*et* Télécharge a2 free, il est de + en + indispensable avec
les malwares(malveillants),il est gratuit et en français: que
demande de plus le peuple?? A bientôt

"jackie" <no_spam_jackiechezwdoo.fr> a écrit dans le message de
news:uu4ikrslEHA.3632@TK2MSFTNGP09.phx.gbl...

Bonne nuit à tous et merci du retour *Philippe* lol
*et* Télécharge a2 free, il est de + en + indispensable avec
les malwares(malveillants),il est gratuit et en français: que
demande de plus le peuple?? A bientôt

Ave, voudrais-tu stp indiquer l'adresse pour ce téléchargement.

Merci pour tes infos.
--
Amical salut de A.FB

Augustin a formulé ce vendredi :

"jackie" <no_spam_jackiechezwdoo.fr> a écrit dans le message de
news:uu4ikrslEHA.3632@TK2MSFTNGP09.phx.gbl...

Bonne nuit à tous et merci du retour *Philippe* lol
*et* Télécharge a2 free, il est de + en + indispensable avec
les malwares(malveillants),il est gratuit et en français: que
demande de plus le peuple?? A bientôt

Ave, voudrais-tu stp indiquer l'adresse pour ce téléchargement.

Merci pour tes infos.

bonjour

http://www.emsisoft.net/fr/

a +

--
Ceci est une signature automatique de MesNews.
Site : http://mesnews.no-ip.com

"yves carlier" <antispamycarlier@hotmail.com> a écrit dans le message de
news:mn.52b57d4905d0a3ec.16070@hotmail.com...

Ave, voudrais-tu stp indiquer l'adresse pour ce téléchargement.

Merci pour tes infos.
///

http://www.emsisoft.net/fr/

Bien recu.

Merci à toi et à tous les intervenants sur cette file ...
--
Très amicalement. A.FB

"Augustin" <a.fb@wanadoo.fr> a écrit dans le message de
news:OFdKg0zlEHA.2764@TK2MSFTNGP11.phx.gbl...

"yves carlier" <antispamycarlier@hotmail.com> a écrit dans le message de
news:mn.52b57d4905d0a3ec.16070@hotmail.com...

http://www.emsisoft.net/fr/

Bonsoir à tous

J'ai téléchargé et installé a2 car Cydoor est revenu...
a2 ne le détecte pas, ni Spyboot, ni mon McAfee...
Vais devoir faire la manip de Jackie
Amitiés

--
---
Philippe GUERIN

Aide toi, le ciel t'aidera...

filg@NoSpam.laposte.net
Adresse invalide: Supprimez "NoSpam."