Malekal's forum

[Malekal_morte]

Un nouveau bundle avec WhiteSmoke / Bandoo / Fun4IM / searchqutb et Quick Web Player.

• WhiteSmoke est un correcteur de grammaire.
• Bandoo et Fun4IM des émoticons
• searchqutb est un moteur de recherche (page de démarrage modifié pour le caser).
• Quick Web Player un player web.

Installé via un site de crack htxp://www.cracksfinder.com/
WhiteSmoke a aussi été installé depuis un botnet.



L'installation est celle de Quick Web Player qui ouvre un programme d'installation qui prévient aussi de l'installation de WhiteSmoke avec l'EULA.

Les icônes ajoutées :




L'icone Improve your PC! propose l'installation de Registry Booster pour vous le faire acheter aussi ..... Mon avis sur ces logiciels : Nettoyeur et Défragmenteur : ça sert à rien !



La page de démarrage modifiée pour faire la promotion du moteur de recherche searchqutb : htxp://www.searchqu.com/402
Sur Firefox, le moteur de recherche est aussi modifié pour Web Search.


Les lignes HijackThis :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchqu.com/sidebar.html?src=ssb&sysid=402
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchqu.com/402
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchqu.com/sidebar.html?src=ssb&sysid=402
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchqu.com/sidebar.html?src=ssb&sysid=402
O2 - BHO: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\WINDOW~4\ToolBar\SearchquDx.dll
O2 - BHO: Bandoo IE Plugin - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Fun4IM\Plugins\IE\ieplugin.dll
O3 - Toolbar: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\WINDOW~4\ToolBar\SearchquDx.dll
O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\WINDOW~4\Datamngr\DATAMN~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Launch WhiteSmoke.lnk = C:\Program Files\WhiteSmoke\WSEnrichment.exe
O20 - AppInit_DLLs: c:\progra~1\window~4\datamngr\datamngr.dll c:\progra~1\fun4im\bndhook.dll
O23 - Service: Fun4IM Coordinator - Discordia Limited - C:\PROGRA~1\Fun4IM\Bandoo.exe

Les dossiers ajoutés :

c:\Documents and Settings\All Users\Application Data\Bandoo
c:\Documents and Settings\All Users\Application Data\Bandoo\Repository
c:\Documents and Settings\All Users\Application Data\Fun4IM
c:\Documents and Settings\All Users\Menu Démarrer\Programmes\Fun4IM
c:\Documents and Settings\All Users\Menu Démarrer\Programmes\Quick Web Player
c:\Documents and Settings\All Users\Menu Démarrer\Programmes\WhiteSmoke
c:\Documents and Settings\Mak\Application Data\Bandoo
c:\Documents and Settings\Mak\Application Data\Microsoft\Crypto
c:\Documents and Settings\Mak\Application Data\Microsoft\Crypto\RSA
c:\Documents and Settings\Mak\Application Data\Microsoft\Crypto\RSA\S-1-5-21-823518204-725345543-786100373-1003
c:\Documents and Settings\Mak\Application Data\Mozilla\Plugins
c:\Documents and Settings\Mak\Application Data\searchqutb
c:\Documents and Settings\Mak\Application Data\searchqutb\games
c:\Documents and Settings\Mak\Application Data\searchqutb\weather
c:\Documents and Settings\Mak\Application Data\searchqutb\widgets_cache
c:\Documents and Settings\Mak\Application Data\WhiteSmoke
c:\Documents and Settings\Mak\Local Settings\Temp\Fun4IMFiles
c:\Documents and Settings\Mak\Local Settings\Temp\Searchqu_DM
c:\Documents and Settings\Mak\Local Settings\Temp\WhiteSmoke
c:\Program Files\Fun4IM
c:\Program Files\Quick Web Player
c:\Program Files\WhiteSmoke
c:\Program Files\Windows Searchqu Toolbar

Sur Firefox:

c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\extensions\{7FF99715-3016-4381-84CE-E4E4C9673020}
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\extensions\firefox@bandoo.com
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\searchplugins
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\searchqutb

Au niveau des symptômes, ralentissement
Tout ce beau petit monde a l'air de se désinstaller comme il faut.
Dans le cas de Firefox, pensez à aller faire un tour dans Outils / Extensions pour supprimer les extenstions relatives à ces programmes si elles sont encore présentes :


Pour s'en protéger, évitez d'installer les programmes proposées surtout via des publicités.
Soyez vigilant et lisez les conditions d'utilisation.
Activez la détection des PUP/LPI sur votre antivirus.

Vous pouvez filtrer ces PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts ... upsadware/

[Malekal_morte]

Autre exemple avec un programme iLivid proposé en téléchargement :



Ce dernier modifie la page de démarrage (searchqu) et ajoute une barre d'outils Bandoo - bref de quoi encore pourrir le PC.






Les modifications sur un rapport HijackThis :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dts.search-results.com/sidebar.h ... stemid=406
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search-results.com/sr?src=ie ... mid=406&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search-results.com/sr?src=ie ... mid=406&q={searchTerms}
O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WINDOW~4\Datamngr\ToolBar\searchqudtx.dll
O2 - BHO: UrlHelper Class - {A40DC6C5-79D0-4ca8-A185-8FF989AF1115} - C:\PROGRA~1\WINDOW~4\Datamngr\IEBHO.dll
O2 - BHO: Bandoo IE Plugin - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Bandoo\Plugins\IE\ieplugin.dll
O3 - Toolbar: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WINDOW~4\Datamngr\ToolBar\searchqudtx.dll
O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\WINDOW~4\Datamngr\DATAMN~1.EXE