[DOSSIER] PopCorn.net

Premier dossier du forum Anti-Virus :

! ATTENTION ! Je n'ai pas la prétention, dans ce post, de donner une solution, facile et définitive au problème Popcorn.net mais nous allons ensemble essayer de trouver une manière d'éradiquer ce spyware.

Pour commencer, quelques explications :
Tout d'abord, ce PopCorn.net vient bien quelque part ! Il est (souvent) installé via un "Downloadware" (de la société Fordale), un petit logiciel qui est compris dans le package d'installation des logiciels soi-disant "gratuits" (ehh oui, il faut bien vivre...).
Apparement ce type de logiciel se retrouverait souvent dans quelques logiciels d'aide au téléchargement... mais pas seulement, la liste peut-être longue !

C'est insidieux car si le developpeur du logiciel est correct il va vous demander si vous voulez installer un logiciel en plus du sien (bien souvent la case est cochée par défaut et comme personne ne lit les CGV et autres joyeusetés du package d'installation (je ne vise personne ! ) l'installation du dis logiciel passe inaperçus... ou alors l'installation est comprise et invisible et là, nous avons affaire à un développeur ... vous voyez ce que je veux dire...)

Dans certains cas, l'installation se fait pas via Internet Explorer (à éviter comme la peste de nos jours !) en by-passant l'ActiveX (c'est ça la peste !). Est utilisé un contrôle ActiveX appelé ActiveInstall qui décode et lance l'installation de l'executable en cause.
Pour résumer, Internet explorer offre au sites la possibilité d'installer à votre insu des logiciels alors que Firefox (par exemple) vous demandera toujours ce que nous voulez faire avec ce logiciel qui arrive de nul part, il suffit juste de refuser et vous êtes tranquille

Donc, ce downloadware, une fois installé se lance au démarrage de Windows, il se connecte à des serveurs de données (en l'occurence les serveurs des sociétés qui ont payées le développeur la présence de leur petit rejeton dans le logiciel "gratuit") et va pouvoir installer des petites "choses" interessantes du type :

- Dialer de Movie Network
- PopCorn.net ( )
- MVPNetwork (Real teen)
- Medialords
- Clipgenie
- Network Essential, j'en passe et des meilleurs

Et cela sans acception de votre part vous allez me demander ?
Mais si, souvenez vous, lors de l'installation du logiciel "gratuit", l'acceptation s'est trouvé implicitement liée au fait de n'avoir pas refusé l'installation du logiciel "hôte" (ehh oui, les CGV c'est long et fastidieux à lire... on fait "ok" "ok" "ok" et le tour est joué ...)

Une fois la connection effectuée, il ne reste plus à votre nouvel hôte qu'a faire son travail : deverser des publicités, espionner votre surf pour cibler les publicités et ainsi de suite ...

Et si je désinstalle le logiciel "gratuit" tout va partir ?
Eh non ! le logiciel "gratuit" seul partira, malheuresement, le spyware va rester même si une entrée de desinstallation est prévue dans ajout/suppression de programmes, elle servira juste à lancer votre explorateur Internet pour vous amener sur la page Web de la société... sympathique n'est ce pas ?

Dans le cas de Popcorn.net, le spyware est lié (dans la plupart des cas) à la plateforme Java ce qui rends délicates les tentatives de desinstallation et l'impossibilité de toucher au répertoire contenant le logiciel.

Nous allons donc tenter une petite manipulation, simple pour commencer, pour essayer d'éradiquer ce petit méchant de PopCorn...

Tout d'abord il nous faut HiJackThis (un logiciel d'éradication de spyware) disponible ici :
http://www.infos-du-net.com/telecharger/HijackThis.html
Une fois cela fait, il suffit de l'installer, nous y reviendront plus tard...

-Allez dans ajout/suppression de programmes et désinstaller les lignes corespondantes à Java (nous le téléchargerons plus tard, pas de panique !) et redemarrez votre PC

-Lancer HiJackThis et faire un "system scan only"
Dans la plupart des cas vous devriez avoir les lignes suivante dans la liste, il suffit des les décocher pour les supprimer :

- F2 - REG:system.ini: UserInit=userinit.exe
- O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
- O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
- O4 - HKCU\..\Run: [License Manager] "C:\Program Files\License_Manager\license_manager.exe " /silent
- O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
- O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

-Cliquez sur "fix" pour supprimer et quittez Hijackthis

-Redémarrez votre PC

-allez dans l'explorateur de fichiers et trouvez le répertoire "License_manager" se trouvant dans "c:\program files" et supprimez le.

- Redemarrez votre PC. Les choses devraient être rentrées dans l'ordre (logiquement !)

Rien ne vous empêche d'installer d'autre utilitaires de nettoyage :
- Spybot
- Ad-aware
- Spybot
- Spysweeper
nettoyage de la base de registre
- Regcleaner
- Easycleaner
la liste est non exhaustive ...

Il vous suffit d'aller sur le site de Sun ( http://java.com ) pour récupérer et installer la dernière version de Java.

Bonne idée de l'avoir mis la aussi

Je vais voir si je peux te donner d'autres noms de logiciels pour ajouter a ta liste

pouf pouf je suis la zero du siecle avec la question bete que je vais poser là
alors
coment sait on que l'on a choppe ce truc

sayez maintenant je vais me cacher
bisous :argh: