Malicious Software Information

Sécurité informatique & Diagnostic.

Blog

PUP.WowSearch

Posted on April 13, 2014 at 12:00 PM Comments comments (0)


 

Origine :

- Fiche Créée le 12/03/2014 par Nicolas Coolman.

- Fiche modifiée le 13/04/2014.

 

Caractéristiques :

- Il appartient à une famille de PUP avec des fonctionnalités de spyware et d'hijacker.

- Un PUP (Potentially Unwanted Programs) est un programme indésirable.

- Un spyware affiche de nombreux bandeaux et popup publicitaires (Coupons) lors de la navigation internet.

- Un hijacker modifie les pages de démarrage et de recherche des navigateurs internet.

- Il redirige la navigation internet vers http://wow.utop.it

- Développé par la société utop.it.

 

Actions principales :

- Il modifie la page de démarrage du navigateur Internet Explorer (R0),

- Il crée de multiples clés de Registre "Software",

- Il crée des dossiers supplémentaires (O43),

- Il modifie le fournisseur de recherche Internet (O69),

 

Aperçu ZHPDiag, NCDiag :

 

---\\ Internet Explorer, Démarrage,Recherche,URLSearchHook, Phishing (R0,R1,R3,R4)

R0 - HKCU\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\Main,Start Page = http://wow.utop.it

 

---\\ HKCU & HKLM Software Keys

[HKLM\Software\wow search]

[HKLM\Software\Wow6432Node\wow search]

 

---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)

O43 - CFD: 13/04/2014 - 00:57:37 - [0,096] ----D C:\Program Files (x86)\wow search

 

---\\ Search Browser Infection (SBI) (O69)

O69 - SBI: SearchScopes [HKCU] {77AA745B-F4F8-45DA-9B14-61D2D95054C8} - (wow search) - http://wow.utop.it

O69 - SBI: SearchScopes [HKCU] {9bb2c1cc-4a7d-4cd5-bce9-0ca5f9ff8391} [DefaultScope] - (wow search) - http://wow.utop.it

O69 - SBI: SearchScopes [HKCR] {9bb2c1cc-4a7d-4cd5-bce9-0ca5f9ff8391} [DefaultScope] - (wow search) - http://wow.utop.it

O69 - SBI: SearchScopes [HKUS\.DEFAULT] {9bb2c1cc-4a7d-4cd5-bce9-0ca5f9ff8391} [DefaultScope] - (wow search) - http://wow.utop.it

O69 - SBI: SearchScopes [HKUS\S-1-5-18] {9bb2c1cc-4a7d-4cd5-bce9-0ca5f9ff8391} [DefaultScope] - (wow search) - http://wow.utop.it

O69 - SBI: SearchScopes [HKUS\S-1-5-19] {9bb2c1cc-4a7d-4cd5-bce9-0ca5f9ff8391} [DefaultScope] - (wow search) - http://wow.utop.it

O69 - SBI: SearchScopes [HKUS\S-1-5-20] {9bb2c1cc-4a7d-4cd5-bce9-0ca5f9ff8391} [DefaultScope] - (wow search) - http://wow.utop.it

 

---\\ Scan Additionnel (O88 )

[HKLM\Software\wow search]

[HKLM\Software\Wow6432Node\wow search]

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9bb2c1cc-4a7d-4cd5-bce9-0ca5f9ff8391}]

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{77AA745B-F4F8-45DA-9B14-61D2D95054C8}]

C:\Program Files (x86)\wow search

 

Liens :

malwaretips.com 

 

Alias :

Hijacker.WowUtopit

 

Supprimer (Remove) :

- Supprimer l'extension "WowSearch" de tous les navigateurs installés,

- Supprimer le plugin "WowSearch" de tous les navigateurs installés,

- Supprimer le logiciel "WowSearch" via le panneau de configuration Windows,

- Modifier les pages de recherche et de démarrage de tous les navigateurs installés,

- Vider le cache des navigateurs

- Appliquer un script de nettoyage ZHPFix pour les lignes identifiées dans les rapportq ZHPDiag & NCDiag

Hijacker.SearchNet

Posted on April 2, 2014 at 8:00 AM Comments comments (0)


 

Origine :

- Fiche Créée le 01/03/2014 par Nicolas Coolman.

- Fiche modifiée le 02/04/2014.

 

Caractéristiques :

- Il appartient à une famille d'hijackers avec des fonctionnalités de spyware et de PUP.

- Un hijacker modifie les pages de démarrage et de recherche des navigateurs internet.

- Un spyware affiche de nombreux bandeaux et popup publicitaires (Coupons) lors de la navigation internet.

- Un PUP (Potentially Unwanted Programs) est un programme potentiellement indésirable.

- il redirige la navigation et la recherche internet vers www-search.net

- Développé par la société Tuvaro.

 

Actions principales :

- Il remplace la page de recherche du navigateur Google Chrome (G1),

- Il place de multiples raccourcis d'application, Program, QuickLaunch, Taskbar (O4GS)

- Il modifie le fournisseur de recherche Internet (O69),

 

Aperçu ZHPDiag, NCDiag :

 

---\\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)

G1 - GCS: Preference [User Data\Default] http://www-search.net

 

---\\ Autres liens utilisateurs (O4)

O4 - GS\QuickLaunch [christian]: Launch Internet Explorer Browser.lnk . (.Microsoft Corporation.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www-search.net

O4 - GS\TaskBar [christian]: Internet Explorer.lnk . (.Microsoft Corporation.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www-search.net

O4 - GS\Program [christian]: Internet Explorer.lnk . (.Microsoft Corporation.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www-search.net

 

---\\ Search Browser Infection (SBI) (O69)

O69 - SBI: SearchScopes [HKCU] {7F4EFF06-7032-458e-AE16-1C1D8255C28A} [DefaultScope] - (Search) - http://www-search.net

O69 - SBI: SearchScopes [HKUS\.DEFAULT] {7F4EFF06-7032-458e-AE16-1C1D8255C28A} - (Search) - http://www-search.net

O69 - SBI: SearchScopes [HKUS\S-1-5-18] {7F4EFF06-7032-458e-AE16-1C1D8255C28A} - (Search) - http://www-search.net

 

 

Liens :

malwaretips.com 

www.fixyourbrowser.com 

 

Supprimer (Remove) :

- Modifier les pages de recherche et de démarrage de tous les navigateurs installés,

- Vider le cache des navigateurs

- Appliquer un script de nettoyage ZHPFix pour les lignes identifiées dans le rapport ZHPDiag,NCDiag

PUP.LinkeySearch

Posted on April 1, 2014 at 11:00 AM Comments comments (0)


 

Origine :

- Fiche Créée le 01/03/2014 par Nicolas Coolman.

- Fiche modifiée le 01/04/2014.

 

Caractéristiques :

- Il appartient à une famille de PUP avec des fonctionnalités d'hijacker.

- Un PUP (Potentially Unwanted Programs) est un programme indésirable.

- Un hijacker modifie les pages de démarrage et de recherche des navigateurs internet.

- Il redigige vers www.linkeyproject.com et d'autres sites comme par exemple search.conduit.com

- Développé par la société Aztec Media Inc.

 

Actions principales :

- Il pirate la page de démarrage du navigateur Opera (B0),

- Il remplace la page de recherche du navigateur Opera (B1),

- Il pirate la page de démarrage du navigateur Mozilla Firefox (M0),

- Il remplace la page de recherche du navigateur Mozilla Firefox (M1),

- Il pirate la page de démarrage du navigateur Google Chrome (G0),

- Il remplace la page de recherche du navigateur Google Chrome (G1),

- Il modifie la page de démarrage du navigateur Internet Explorer (R0),

- Il modifie la page de recherche du navigateur Internet Explorer (R1),

- Il s'installe en tant que Browser Helper Object (BHO) de Navigateur internet (O2),

- Il crée de multiples clés de Registre "Software",

 

 

Aperçu ZHPDiag, NCDiag :

 

---\\ Opera, Pages de démarrage et de recherche (B0,B1)

---\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)

---\\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)

---\\ Internet Explorer, Démarrage,Recherche,URLSearchHook, Phishing (R0,R1,R3,R4)

 

---\\ Browser Helper Objects de navigateur (O2)

O2 - BHO: LinkeyBHO - {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} . (.Linkey - LinkeyBHO.) -- C:\Program Files (x86)\Linkey\IEExtension\iedll64.dll

O2 - BHO: LinkeyBHO - {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} . (.Linkey - Linkey.) -- C:\Program Files (x86)\Linkey\IEExtension\iedll.dll

 

---\\ HKCU & HKLM Software Keys

HKLM\SOFTWARE\Linkey

 

---\\ Scan Additionnel (O88 )

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}]

[HKLM\Software\Classes\CLSID\{4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}]

HKLM\SOFTWARE\Linkey

HKCR\Linkey.Linkey

C:\Program Files (x86)\Linkey

C:\Program Files (x86)\Linkey\IEExtension\iedll.dll

C:\Program Files (x86)\Linkey\IEExtension\iedll64.dll

 

 

Liens :

www.systemlookup.com 

malwaretips.com 

botcrawl.com 

www.pcrisk.com 

 

Alias :

ADWARE/Adware.Gen [Avira]

PUP.Optional.Linkey.A (Malwarebytes)

 

Supprimer (Remove) :

- Supprimer l'extension "Linkey" de tous les navigateurs installés,

- Supprimer le plugin "Linkey" de tous les navigateurs installés,

- Supprimer le logiciel "Linkey" via le panneau de configuration Windows,

- Modifier les pages de recherche et de démarrage de tous les navigateurs installés,

- Vider le cache des navigateurs

- Appliquer un script de nettoyage ZHPFix pour les lignes identifiées dans le rapport ZHPDiag,NCDiag

PUP.RebateInformer

Posted on March 24, 2014 at 6:35 AM Comments comments (0)


 

Origine :

- Fiche Créée le 20/02/2014 par Nicolas Coolman.

- Fiche modifiée le 24/03/2014.

 

Caractéristiques :

- Il s'agit d'un logiciel publicitaire.

- Il appartient à une famille de PUP avec des fonctionnalités de spyware, d'hijacker, d'adware et de toolbar.

- Un PUP (Potentially Unwanted Programs) est un programme indésirable.

- Un spyware affiche de nombreux bandeaux et popup publicitaires (Coupons) lors de la navigation internet.

- Un hijacker modifie les pages de démarrage et de recherche des navigateurs internet.

- Un adware est un programme qui ajoute d'autres programmes à l'insu de l'utilisateur.

- Une toolbar est une barre additionnelle de navigateur internet.

- Développé par la société ?

 

Actions principales :

- Il s'installe en tant que Browser Helper Object (BHO) de Navigateur internet (O2),

- Il s'installe dans la Base de Registres afin d'être lancé à chaque démarrage du système (O4)

- Il pratique le piratage de protocole (O18),

- Il crée de multiples clés de Registre "Software",

- Il s'installe dans le dossier Windows prefetcher (O45),

 

Aperçu ZHPDiag, NCDiag :

 

---\\ Browser Helper Objects de navigateur (O2)

O2 - BHO: (no name) - {CCB69577-088B-4004-9ED8-FF5BCC83A039} - C:\PROGRA~1\REBATE~1\RebateI.dll

 

---\\ Applications démarrées par registre & par dossier (O4)

O4 - HKCU\..\Run: [RebateInformer] C:\PROGRA~1\REBATE~1\REBATE~1.EXE /STARTUP

 

---\\ Protocole additionnel (O18)

O18 - Protocol: rebinfo - {AF808758-C780-404C-A4EE-4526323FD9B6} - C:\PROGRA~1\REBATE~1\RebateI.dll

 

---\\ Derniers fichiers créés par Windows Prefetcher (O45)

O45 - LFCP:[MD5.7A8BC17A841AF02C47F858967CAF36B6] - 11/02/2014 - 08:41:07 ---A- - C:\Windows\Prefetch\REBATEINF.EXE-A6263A1F.pf

 

---\\ HKCU & HKLM Software Keys

HKLM\Software\Rebate Informer

 

---\\ Scan Additionnel (O88 )

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CCB69577-088B-4004-9ED8-FF5BCC83A039}]

[HKLM\Software\Classes\CLSID\{CCB69577-088B-4004-9ED8-FF5BCC83A039}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CCB69577-088B-4004-9ED8-FF5BCC83A039}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CCB69577-088B-4004-9ED8-FF5BCC83A039}]

HKLM\Software\Rebate Informer

HKLM\SOFTWARE\Classes\RebateInf.RebateInfObj

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:RebateInformer

C:\Program Files (x86)\RebateInformer

C:\Program Files (x86)\RebateInformer\RebateInf.exe

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RebateInformer

C:\Users\Coolman\AppData\LocalLow\RebateInformer

C:\Users\Public\Desktop\RebateInformer.lnk

C:\Windows\Prefetch\REBATEINF.EXE-A6263A1F.pf

 

 

Liens :

www.supprimervirusspyware.com 

www.systemlookup.com 

 


 

Supprimer (Remove) :

- Supprimer l'extension "RebateInformer" de tous les navigateurs installés,

- Supprimer le plugin "RebateInformer" de tous les navigateurs installés,

- Supprimer le logiciel "RebateInformer" via le panneau de configuration Windows,

- Modifier les pages de recherche et de démarrage de tous les navigateurs installés,

- Vider le cache des navigateurs

- Appliquer un script de nettoyage ZHPFix pour les lignes identifiées dans le rapport ZHPDiag,NCDiag

PUP.QuickStart

Posted on March 21, 2014 at 4:45 PM Comments comments (0)


 

Origine :

- Fiche Créée le 20/02/2014 par Nicolas Coolman.

- Fiche modifiée le 21/03/2014.

 

Caractéristiques :

- Il appartient à une famille de PUP avec des fonctionnalités d'hijacker et de polluteware.

- Un PUP (Potentially Unwanted Programs) est un programme indésirable.

- Un hijacker modifie les pages de démarrage et de recherche des navigateurs internet.

- Un polluteware est un logiciel qui pollue les unités de stockage et/ou la Base de Registres.

- Développé par la société ?

 

Actions principales :

- Il installe un programme d'extension pour le navigateur Google Chrome (G2),

- Il installe un programme d'extension pour le navigateur Mozilla Firefox (M2),

- Il crée de multiples fichiers utilisateurs (O61),

 

Aperçu ZHPDiag, NCDiag :

 

---\\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)

G2 - GCE: Preference [User Data\Default] [pelmeidfhdlhlbjimpabfcbnnojbboma] Quick Start v.3.1.1, (Désactivé)

 

---\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)

M2 - MFEP: prefs.js [Coolman - qon1dgdq.default\lightningnewtab@gmail.com] [] Quick Start v1.6.0 (..)

M2 - MFEP: prefs.js [Coolman - qon1dgdq.default\quick_start@gmail.com] [] Quick Start v1.6.0 (..)

 

---\\ Derniers fichiers modifiés ou crées (Utilisateur) (O61)

O61 - LFC: 21/02/2014 - 12:14:49 ---A- . (...) -- C:\Users\Coolman\AppData\Local\Google\Chrome\User Data\Default\Extensions\pelmeidfhdlhlbjimpabfcbnnojbboma\3.1.2_1\_locales\en\messages.json [3200]

O61 - LFC: 21/02/2014 - 12:14:49 ---A- . (...) -- C:\Users\Coolman\AppData\Local\Google\Chrome\User Data\Default\Extensions\pelmeidfhdlhlbjimpabfcbnnojbboma\3.1.2_1\_locales\es\messages.json [3428]

O61 - LFC: 21/02/2014 - 12:14:49 ---A- . (...) -- C:\Users\Coolman\AppData\Local\Google\Chrome\User Data\Default\Extensions\pelmeidfhdlhlbjimpabfcbnnojbboma\3.1.2_1\_locales\es_419\messages.json [3428]

 

---\\ Scan Additionnel (O88 )

[HKLM\Software\Google\Chrome\Extensions\pelmeidfhdlhlbjimpabfcbnnojbboma]

C:\Users\Coolman\AppData\Local\Google\Chrome\User Data\Default\Extensions\pelmeidfhdlhlbjimpabfcbnnojbboma

 

Liens :

malwaretips.com 

 

Alias :

PUP.Optional.QuickStart.A (Malwarebytes)

 

Supprimer (Remove) :

- Supprimer l'extension "QuickStart" de tous les navigateurs installés,

- Supprimer le plugin "QuickStart" de tous les navigateurs installés,

- Supprimer le logiciel "QuickStart" via le panneau de configuration Windows,

- Modifier les pages de recherche et de démarrage de tous les navigateurs installés,

- Vider le cache des navigateurs

- Appliquer un script de nettoyage ZHPFix pour les lignes identifiées dans le rapport ZHPDiag,NCDiag

Hijacker.WebsSearches

Posted on March 21, 2014 at 4:05 PM Comments comments (0)


 

- Fiche Créée le 20/02/2014 par Nicolas Coolman.

- Fiche modifiée le 21/03/2014.

 

Caractéristiques :

- Il appartient à une famille d'hijackers avec des fonctionnalités de PUP.

- Un hijacker modifie les pages de démarrage et de recherche des navigateurs internet.

- Un PUP (Potentially Unwanted Programs) est un programme potentiellement indésirable.

- Développé par la société EMG Technologir Ltd.

 

Actions principales :

 

- Il pirate la page de démarrage du navigateur Mozilla Firefox (M0),

- Il pirate la page de démarrage du navigateur Opera (B0),

- Il modifie la page de démarrage du navigateur Internet Explorer (R0),

- Il modifie la page de recherche du navigateur Internet Explorer (R1),

- Il place un raccourci de redirection sous Microsoft Internet Explorer (O4 GS),

- Il place un raccourci de redirection sous Mozilla Firefox (O4 GS),

- Il place un raccourci de redirection sous Google Chrome (O4 GS),

- Il démarre une tâche planifiée en automatique (O39),

- Il s'installe en tant que programme (O42),

- Il crée de multiples clés de Registre "Software",

- Il crée des dossiers supplémentaires (O43),

- Il crée de multiples fichiers utilisateurs (O61),

- Il pirate le démarrage des navigateurs Mozilla Firefox et d'Internet Explorer (O68),

 

Aperçu ZHPDiag, NCDiag :

 

---\\ Internet Explorer, Démarrage,Recherche,URLSearchHook, Phishing (R0,R1,R3,R4)

R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com

R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com

R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com

R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com

R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com

 

---\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)

M0 - MFSP: prefs.js [Coolman - n5vs13la.default] http://istart.webssearches.com

 

---\\ Opera, Plugins,Démarrage,Recherche (P1,B0,B1)

B0 - SPO: operaprefs.ini [Coolman] Home URL=http://istart.webssearches.com

 

---\\ Autres liens utilisateurs (O4)

O4 - GS\Desktop [Public]: Google Chrome.lnk . (.Google Inc. - Google Chrome.) -- C:\Program Files\Google\Chrome\Application\chrome.exe http://istart.webssearches.com

O4 - GS\QuickLaunch [tack]: Google Chrome.lnk . (.Google Inc. - Google Chrome.) -- C:\Program Files\Google\Chrome\Application\chrome.exe http://istart.webssearches.com

O4 - GS\QuickLaunch [tack]: Launch Internet Explorer Browser.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com

O4 - GS\TaskBar [tack]: Google Chrome.lnk . (.Google Inc. - Google Chrome.) -- C:\Program Files\Google\Chrome\Application\chrome.exe http://istart.webssearches.com

O4 - GS\TaskBar [tack]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com

 

---\\ Tâches planifiées en automatique (O39)

[MD5.00000000000000000000000000000000] [APT] [{FC2F4940-C928-4203-8940-0DA20A1CDA01}] (...) -- C:\Users\tack\AppData\Roaming\webssearches\UninstallManager.exe (.not file.)

 

---\\ Logiciels installés (O42)

O42 - Logiciel: webssearches uninstaller - (.webssearches.) [HKLM] -- webssearches uninstaller

 

---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)

O43 - CFD: 22/03/2014 - 08:52:50 - [1,683] ----D C:\Users\Coolman\AppData\Roaming\webssearches

 

---\\ Derniers fichiers modifiés ou crées (Utilisateur) (O61)

O61 - LFC: 21/03/2014 - 11:32:44 ---A- . (...) -- C:\Users\Coolman\AppData\Roaming\webssearches\92.json [280]

O61 - LFC: 21/03/2014 - 11:32:44 ---A- . (...) -- C:\Users\Coolman\AppData\Roaming\webssearches\uninstallDlg.xml [3424]

 

---\\ Start Menu Internet (SMI) (O68)

O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (...) -- C:\Program Files\Google\Chrome\Application\chrome.exe" http://istart.webssearches.com

O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (...) -- C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com

 

---\\ HKCU & HKLM Software Keys

[HKLM\Software\webssearchesSoftware]

 

---\\ Scan Additionnel (O88 )

[HKLM\Software\webssearchesSoftware]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\webssearches uninstaller]

C:\Users\Coolman\AppData\Roaming\webssearches

 


Liens :

www.anvisoft.com 

 

Supprimer (Remove) :

- Supprimer l'extension "webssearches" de tous les navigateurs installés,

- Supprimer le plugin "webssearches" de tous les navigateurs installés,

- Supprimer le logiciel "webssearches" via le panneau de configuration Windows,

- Modifier les pages de recherche et de démarrage de tous les navigateurs installés,

- Vider le cache des navigateurs

- Appliquer un script de nettoyage ZHPFix pour les lignes identifiées dans le rapport ZHPDiag,NCDiag

PUP.WatchAdBlock

Posted on March 10, 2014 at 5:40 AM Comments comments (0)

Origine :

- Fiche Créée le 17/02/2014 par Nicolas Coolman.

- Fiche modifiée le 10/03/2014.

 

Caractéristiques :

- Il appartient à une famille d'adwares avec des fonctionnalités de d'hijacker et de spyware.

- Un adware est un programme qui ajoute d'autres programmes à l'insu de l'utilisateur.

- Un hijacker pirate les pages de démarrage et de recherche des navigateurs internet.

- Un spyware affiche de nombreux bandeaux et popup publicitaires lors de la navigation internet.

- Développé par la société ?

 

Actions principales :

- Il pirate la page de démarrage du navigateur Google Chrome (G0),

- Il installe un programme d'extension pour le navigateur Google Chrome (G2),

- Il installe un programme d'extension pour le navigateur Mozilla Firefox (M2),

- Il modifie la page de démarrage du navigateur Internet Explorer (R0),

- Il s'installe en tant que BHO (Browser Helper Object) de Navigateur internet (O2),

- Il s'installe en tant que programme (O42),

- Il crée des dossiers supplémentaires (O43),

- Il modifie le fournisseur de recherche Internet (O69),

 

 

Aperçu ZHPDiag :

 

---\\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)

G2 - GCE: Preference [User Data\Default] [nhglbhedoecjmlhimkjlhpmigfnnccel] WatchItAdBloCCKe v.2.91 (Activé )   

 

---\\ Browser Helper Objects de navigateur (O2)

O2 - BHO: WatchItAdBloCCKe [64Bits] - {883D3F64-9F7E-161B-E605-425032F14ED2} . (...) -- C:\ProgramData\WatchItAdBloCCKe\zKt.dll

 

---\\ Logiciels installés (O42)

O42 - Logiciel: WatchItAdBloCCKe - (.WatcHHIatAdBlockei.) [HKLM][64Bits] -- {E599C983-3397-8338-16C0-A5C5B8C7D1FE}

 

---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)

O43 - CFD: 07/02/2014 - 21:28:55 - [0,009] ----D C:\ProgramData\nhglbhedoecjmlhimkjlhpmigfnnccel

O43 - CFD: 07/02/2014 - 21:28:59 - [1,339] ----D C:\ProgramData\WatchItAdBloCCKe

 

---\\ Scan Additionnel (O88 )

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{883D3F64-9F7E-161B-E605-425032F14ED2}]

[HKLM\Software\Classes\CLSID\{883D3F64-9F7E-161B-E605-425032F14ED2}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{883D3F64-9F7E-161B-E605-425032F14ED2}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{883D3F64-9F7E-161B-E605-425032F14ED2}]

[HKLM\Software\Google\Chrome\Extensions\nhglbhedoecjmlhimkjlhpmigfnnccel]

C:\Users\Coolman\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhglbhedoecjmlhimkjlhpmigfnnccel 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E599C983-3397-8338-16C0-A5C5B8C7D1FE}]

C:\ProgramData\WatchItAdBloCCKe

C:\ProgramData\nhglbhedoecjmlhimkjlhpmigfnnccel

C:\ProgramData\WatchItAdBloCCKe\zKt.dll

 

Similitudes :

- Adware.Browse2Save,

- PUP.CoolSaleCoupon,

- PUP.Deal2Dealit,

- Adware.DownloadnSave,

- PUP.EasyToShop,

- Adware.eBookBrowse,

- PUP.FlexibleShoper

- Adware.MagniPic,

- PUP.MinimumPrice,

- PUP.NetCoupon,

- PUP.RandomPrice,

- PUP.RoboSaver,

- Adware.SafeSave,

- Adware.SaveShare,

- PUP.SaverOn

- Adware.SurfAndKeep,

- PUP.TableViewer,

- PUP.TabAllConvert,

- PUP.UTubeNoAdS

- PUP.WebSave,

- PUP.WOwCoupon,

 


Supprimer (Remove) :

- Supprimer l'extension "PUP.WatchAdBlock" de tous les navigateurs installés,

- Supprimer le plugin "PUP.WatchAdBlock" de tous les navigateurs installés,

- Supprimer le logiciel "PUP.WatchAdBlock" via le panneau de configuration Windows,

- Modifier les pages de recherche et de démarrage de tous les navigateurs installés,

- Vider le cache des navigateurs

- Appliquer un script de nettoyage ZHPFix pour les lignes identifiées dans le rapport ZHPDiag,

Hijacker.Trovigo

Posted on February 26, 2014 at 8:55 AM Comments comments (0)


 

Origine :

- Fiche Créée le 13/02/2014 par Nicolas Coolman.

- Fiche modifiée le 24/02/2014.

 

Caractéristiques :

- Il appartient à une famille d'hijackers avec des fonctionnalités d'adware.

- Un hijacker modifie les pages de démarrage et de recherche des navigateurs internet.

- Un adware est un programme qui ajoute d'autres programmes à l'insu de l'utilisateur.

- Il redirige le démarrage et la recherche vers www.trovigo.com.

- Développé par la société Conduit Ltd.

 

Actions principales :

- Il modifie le fournisseur de recherche Internet (O69),

 

Aperçu ZHPDiag :

 

---\\ Search Browser Infection (SBI) (O69)

O69 - SBI: SearchScopes [HKCU] {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} - (Conduit Search) - http://www.trovigo.com

O69 - SBI: SearchScopes [HKCU] {EBD839AE-B08C-4fb7-859B-F54AF16C159F} - (Conduit Search) - http://www.trovigo.com

 

---\\ Scan Additionnel (O88 )

 

Liens :

forum.malekal.com 


 

Supprimer (Remove) :

- Supprimer l'extension "Trovigo" de tous les navigateurs installés,

- Supprimer le plugin "Trovigo" de tous les navigateurs installés,

- Supprimer le logiciel "Trovigo" via le panneau de configuration Windows,

- Modifier les pages de recherche et de démarrage de tous les navigateurs installés,

- Vider le cache des navigateurs

- Appliquer un script de nettoyage ZHPFix pour les lignes identifiées dans le rapport ZHPDiag,

PUP.SystemSpeedup

Posted on February 14, 2014 at 4:00 PM Comments comments (0)

Origine :

- Fiche Créée le 03/01/2014 par Nicolas Coolman.

- Fiche modifiée le 14/02/2014.

 

Caractéristiques :

- Il appartient à une famille de PUP avec des fonctionnalités d'hijacker

- Un PUP (Potentially Unwanted Programs) est un programme indésirable.

- Un hijacker modifie les pages de démarrage et de recherche des navigateurs internet.

- Développé par la société systemspeedup.com, Tuguu SL.

 

Actions principales :

- Il démarre une tâche planifiée en automatique (O39),

- Il s'installe en tant que programme (O42),

- Il crée de multiples clés de Registre "Software",

- Il crée des dossiers supplémentaires (O43),

 

Aperçu ZHPDiag :

 

---\\ Tâches planifiées en automatique (O39)

O39 - APT:Automatic Planified Task - C:\Windows\Tasks\System Speedup_DEFAULT.job [298]

O39 - APT:Automatic Planified Task - C:\Windows\Tasks\System Speedup_UPDATES.job [306]

[MD5.02D5B7F0AC2CA0EA954CA21E9C3A010F] [APT] [System Speedup_DEFAULT] (.System Speedup.) -- C:\Program Files (x86)\System Speedup\SystemSpeedup.exe [7833176]

[MD5.02D5B7F0AC2CA0EA954CA21E9C3A010F] [APT] [System Speedup_UPDATES] (.System Speedup.) -- C:\Program Files (x86)\System Speedup\SystemSpeedup.exe [7833176]

 

---\\ Logiciels installés (O42)

O42 - Logiciel: System Speedup - (.systemspeedup.com.) [HKLM][64Bits] -- System Speedup_is1

 

---\\ HKCU & HKLM Software Keys

[HKCU\Software\System Speedup]

[HKLM\Software\Wow6432Node\System Speedup]

 

---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)

O43 - CFD: 07/02/2014 - 02:33:49 - [14,156] ----D C:\Program Files (x86)\System Speedup

O43 - CFD: 12/02/2014 - 02:34:37 - [0,068] ----D C:\UsersCoolman\AppData\Roaming\System Speedup

 

---\\ Scan Additionnel (O88 )

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\System Speedup_is1]

[HKCU\Software\System Speedup]

[HKLM\Software\Wow6432Node\System Speedup]

C:\Program Files (x86)\System Speedup

C:\UsersCoolman\AppData\Roaming\System Speedup

C:\Program Files (x86)\System Speedup\SystemSpeedup.exe

 

 

Supprimer (Remove) :

- Supprimer l'extension "System Speedup" de tous les navigateurs installés,

- Supprimer le plugin "System Speedup" de tous les navigateurs installés,

- Supprimer le logiciel "System Speedup" via le panneau de configuration Windows,

- Modifier les pages de recherche et de démarrage de tous les navigateurs installés,

- Vider le cache des navigateurs

- Appliquer un script de nettoyage ZHPFix pour les lignes identifiées dans le rapport ZHPDiag,

PUP.SupTab

Posted on January 29, 2014 at 5:45 AM Comments comments (0)

Origine :

- Fiche Créée le 03/01/2014 par Nicolas Coolman.

- Fiche modifiée le 29/01/2014.

 

Caractéristiques :

- Il appartient à une famille de PUP avec des fonctionnalités d'adware et d'hijacker.

- Un PUP (Potentially Unwanted Programs) est un programme indésirable.

- Un adware est un programme qui ajoute d'autres programmes à l'insu de l'utilisateur.

- Un hijacker modifie les pages de démarrage et de recherche des navigateurs internet.

- Développé par la société Thinknice Co. Limited

 

Actions principales :

- Il s'installe en tant que Browser Helper Object (BHO) de Navigateur internet (O2),

- Il s'installe en tant que programme (O42),

- Il crée de multiples clés de Registre "Software",

- Il crée des dossiers supplémentaires (O43),

 

Aperçu ZHPDiag :

 

 

---\\ Browser Helper Objects de navigateur (O2)

O2 - BHO: IETabPage Class [64Bits] - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} . (.Thinknice Co. Limited - SupTab setup package.) -- C:\Program Files (x86)\SupTab\SupTab.dll

 

---\\ Logiciels installés (O42)

O42 - Logiciel: SupTab - (...) [HKLM][64Bits] -- SupTab

 

---\\ HKCU & HKLM Software Keys

[HKLM\Software\SupTab]

[HKLM\Software\Wow6432Node\supTab]

 

---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)

O43 - CFD: 28/01/2014 - 22:10:45 - [0,489] ----D C:\Program Files (x86)\SupTab

 

---\\ Scan Additionnel (O88 )

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}]

[HKLM\Software\Classes\CLSID\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}]

[HKLM\Software\Wow6432Node\supTab]

[HKLM\Software\SupTab]

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SupTab]

C:\Program Files (x86)\SupTab

C:\Program Files (x86)\SupTab\SupTab.dll

 

 

Liens :

www.systemlookup.com

 

Alias :

Adware.Win32.SupTab.A

 

Supprimer (Remove) :

- Supprimer l'extension "SupTab" de tous les navigateurs installés,

- Supprimer le plugin "SupTab" de tous les navigateurs installés,

- Supprimer le logiciel "SupTab" via le panneau de configuration Windows,

- Modifier les pages de recherche et de démarrage de tous les navigateurs installés,

- Vider le cache des navigateurs

- Appliquer un script de nettoyage ZHPFix pour les lignes identifiées dans le rapport ZHPDiag,


Derniers billets...

0 comments
0 comments
0 comments
0 comments

Google Analytics