depuis plusieurs semaines, j'ai GAIN.gator (ou Claria) sur mon PC. j'ai beau l'enlever, soit avec Ad-Aware, soit avec Search & Destroy, il disparaît juste pour un jour à peine (ou deux parfois), et revient systématiquement. je sais plus quoi faire, là. aidez-moi sioupléééééé!!!!

MS Antispyware !!!

Voir " Gain / Gator / Claria Removal":
http://www.iamnotageek.com/a/180-p1.php

sinon spywareblaster doit le bloquer sans probleme je pense ;-)

Bonjour, télécharge HijackThis v1.99.1:
http://www.merijn.org/files/hijackthis.zip
 
Important: Installer Hijackthis correctement  
L’installer sous C:\Hijackthis par exemple (pas dans un fichier temp)
 
Scan/save log (rapport)/copier&coller le contenu du rapport ici
 
Tutorial pour l’installation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
 
Démo en images ici
http://pageperso.aol.fr/balltrap34/demohijack.htm
 
Merci balltrap

Je suis allée sur la page donnée par capigloo1, mais je n'ai pas cette clé "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\cmesys" à enlever!
je ne vois pas non plus un seul des programmes listés dans les process en cours (gator.exe, guninstaller.exe, fsg_4104.exe, gmt.exe, cmesys.exe, gatorstubsetup.exe), et ils ne sont en fait même pas sur mon PC (j'ai fait un "rechercher" pour chaque prog).
 
j'avais enlevé Claria hier encore (avec Search & Destroy), et j'ai contrôlé avec Ad-aware, il n'y était plus. puis là, ce matin il est à nouveau revenu. mais là je viens de faire une erreur de manip et du coup j'ai effacé cette m...e!  
j'attends qu'il revienne, pour installer Hijackthis, et faire un scan!
 
sorry pour les délais

spyBot powaa il cartonne tout fonctionnez farfaiteemnt bien
sinon comme dernière soluce il reste toujours le formatage

voici donc le rapport de Hijackthis:
 
 
Logfile of HijackThis v1.99.1
Scan saved at 21:12:32, on 25/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
C:\Program Files\TotalRecorder\TotRecSched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\VSTASCAN\vsaccess.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\e4mserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
C:\eMule\emule.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Divers\Sécurité\Hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Program Files\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKCU\..\Run: [EPSON Stylus COLOR 480SXU] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /P25 "EPSON Stylus COLOR 480SXU" /O6 "USB001" /M "Stylus COLOR 480SXU"
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\NetTransport 2\NTAddList.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {10B80396-96A7-11D3-B7A6-00A0C94C6AE0} (ParallelGraphics Cortona VRML 1.0 to VRML 2.0 convertor) - http://www.parallelgraphics.com/bin/cortvrml10.cab
O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} (StreamPlug Class) - http://www.streamplug.com/StreamPlug/SP.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 3905055734
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: E4M service (e4mservice) - Unknown owner - C:\WINDOWS\SYSTEM32\e4mserv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

rehelp! ça devient vraiment chiant ce truc! ( j'ai horreur de ces spy de m.... !!!! )

Bonjour, je regarde ton rapport réponse dans quelques instants

Exécutables suspects :
C:\WINDOWS\system32\e4mserv.exe  
 
Si tu n'as PAS Windows XP SP2, alors ceci est un virus :
C:\WINDOWS\system32\wscntfy.exe
Si tu as Windows XP SP2, alors c'est normal qu'il se charge (un des exécutables du pare-feu)

Re, télécharge CCleaner:
http://www.ccleaner.com/ccdownload.asp
 
Désactive Microsoft Antispyware pour ne pas gêner les corrections avec Hijackthis
 
Supprime cette application via ajout suppression de pragrammes si elle est présente:
 
Media Access
 
Démarre en mode sans échec (F8 ou F5)
 
Assure toi d'avoir accès à tous les fichiers.
 

 
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
R3 - Default URLSearchHook is missing
 
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
 
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
 
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
 
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
 
C:\Program Files\Media Access< le dossier
 
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
Exécute CCleaner sur chaque session utilisateur
 
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.
 
Fais analyser ce chemin C:\WINDOWS\SYSTEM32\e4mserv.exe sur:
http://virusscan.jotti.org/ Colle l'analyse ici.
 
Télécharge  
Ad-aware 1.06
http://www.majorgeeks.com/download506.html
 
SpyBot 1.4 RC2b
http://www.majorgeeks.com/SpyBot-S [...] d2471.html
 
Mets les à jour. Scanne ton ordinateur avec et supprimme ce qu'ils te proposent.
 
 
 
 
 
 
 
 

 
 
j'ai Windows XP SP2 (Professional Edition)

Pour C:\WINDOWS\system32\wscntfy.exe voir ici:
 
http://www.processlibrary.com/directory/files/wscntfy/

je viens encore de faire un scan avec Ad-aware, et j'ai encore trouvé Claria. dois-je d'abord l'enlever avant de faire tout ceci, Stonangel? ou dois-je l'enlever après seulement?
 
et comment on fait pour désactiver Microsoft Antispyware? je crois que je l'ai fait depuis pas mal de temps déjà, mais il est toujours dans la barre des tâches, en bas à droite, et il tente de se faire une mise à jour régulièrement (alors que ça me gêne: je préfère choisir quand je fais les mises à jours, et seulement scanner le PC quand je le décide)

Re, clic droit sur M$ Anti spyware> Shutdown.  
 
Lance cet outil:
http://forum.hijackthis.de/attachm [...] hmentid=71
 
Effectue les corrections avec Hijackthis puis passe les deux utilitaires.

quand je clic droit sur l'icone en bas, j'ai "ouvrir le centre de sécurité", et "accéder au site web de Microsoft traitant de la sécurité". c'est tout. juste ces deux choix.

C'est curieux... Saute l'étape

j'ai fait tout ça, ça y est. sauf qu'il n'y a pas de ligne "O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe " et pas non plus de dossier Media Access dans Program Files.
 
je viens aussi de faire tourner Ad-aware, et voilà le résultat:
un spyware trouvé (comme toujours!):
Claria, Regkey, Data Miner, HKEY_LOCAL_MACHINE:software\gator.com\
 
voici le dernier rapport de Hijackthis, après les manips:
 
Logfile of HijackThis v1.99.1
Scan saved at 15:18:31, on 26/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\ZoneAlarm\zlclient.exe
C:\Program Files\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
C:\Program Files\TotalRecorder\TotRecSched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE
C:\Program Files\Adobe Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\VSTASCAN\vsaccess.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\e4mserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\HJT\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Program Files\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKCU\..\Run: [EPSON Stylus COLOR 480SXU] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /P25 "EPSON Stylus COLOR 480SXU" /O6 "USB001" /M "Stylus COLOR 480SXU"
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\NetTransport 2\NTAddList.html
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {10B80396-96A7-11D3-B7A6-00A0C94C6AE0} (ParallelGraphics Cortona VRML 1.0 to VRML 2.0 convertor) - http://www.parallelgraphics.com/bin/cortvrml10.cab
O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} (StreamPlug Class) - http://www.streamplug.com/StreamPlug/SP.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 3905055734
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: E4M service (e4mservice) - Unknown owner - C:\WINDOWS\SYSTEM32\e4mserv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

... le résultat du scan sur http://virusscan.jotti.org/ :
 
File:  e4mserv.exe  
 
Status:  OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)  
 
MD5  2798e788d99396220ee12ba7ddbb060d  
 
Packers detected:  -  
 
Scanner results  
 
AntiVir               Found nothing  
ArcaVir               Found nothing  
Avast                 Found nothing  
AVG Antivirus         Found nothing  
BitDefender           Found nothing  
ClamAV                Found nothing  
Dr.Web                Found nothing  
F-Prot Antivirus      Found nothing  
Fortinet              Found nothing  
Kaspersky Anti-Virus  Found nothing  
NOD32                 Found nothing  
Norman Virus Control  Found nothing  
UNA                   Found nothing  
VBA32                 Found nothing  

Re, télécharge, installe et mets à jour Ewido
http://www.ewido.net/
 
Démarre en mode sans échec. Scanne avec Ewido.
 
Redémarre normalement et poste le rapport dans le forum.

là j'ai enlevé Claria avec Ad-aware. je vais quand même attendre que Claria revienne avant de faire cette manip. je pense que c'est préférable. non?

apparemment Gator se réinstalle dans la BdR chaque fois que j'utilise DivX (j'enregistre des documentaires sur mon PC en mpg, puis les reconvertis en DivX, pour faire de l'économisage de place)

Donc il reste un dll pour refoutre toute la merde !
Il faut que tu trouves le dll qui reste chargé au démarrage et que tu l'éradiques !

Bonsoir est-ce qu'il ne serait pas intégré dans ton codec?

j'en ai bien peur, oui. il me semble avoir lu dans d'autres forums que Gator est intégré à DivX. ou peut-être que je n'ai pas bien compris

Bon, alors tu trouves une version non merdique de tous tes codecs (genre : K-Lite v2.5x OFFICIEL), et après tu vois si la merde tient toujours !

Non c'est bien ça, j'avais l'impression de l'avoir lu aussi quelque part... Il y a de plus en plus de programmes qui embarquent un ou plusieurs spy, voir les accélérateurs de téléchargement.

ce qui m'étonne, c'est que si c'est ça, normalement tous ceux qui utilisent DivX devraient avoir Gator sur leur PC, non?

Bah perso, je ne prend mes utilitaires indispensables QUE sur les sites officiels (même pas de Téléchargement sur Site Mirroir).

A noter que Microsoft Antispyware ne considère plus gator/claria comme spyware depuis le rachat de la dite société par Bilou.

oups! Microsoft c'est VRAIMENT pas une référence pour ce qu'il est de l'honnêteté. si un virus tueur était rentable pour cette Société, je ne doute pas un instant qu'elle le considérerait comme "entièrement inoffensif"