Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

WhiteSmoke / Bandoo / Fun4IM / searchqutb / Quick Web Player

Malekal_morte
Site Admin
Site Admin
Messages : 102522
Inscription : 10 sept. 2005 13:57
Contact :

WhiteSmoke / Bandoo / Fun4IM / searchqutb / Quick Web Player

Message par Malekal_morte »

Un nouveau bundle avec WhiteSmoke / Bandoo / Fun4IM / searchqutb et Quick Web Player.
  • WhiteSmoke est un correcteur de grammaire.
  • Bandoo et Fun4IM des émoticons
  • searchqutb est un moteur de recherche (page de démarrage modifié pour le caser).
  • Quick Web Player un player web.

Installé via un site de crack htxp://www.cracksfinder.com/
WhiteSmoke a aussi été installé depuis un botnet.

Image

L'installation est celle de Quick Web Player qui ouvre un programme d'installation qui prévient aussi de l'installation de WhiteSmoke avec l'EULA.

Les icônes ajoutées :
Image

Image

L'icone Improve your PC! propose l'installation de Registry Booster pour vous le faire acheter aussi ..... Mon avis sur ces logiciels : Nettoyeur et Défragmenteur : ça sert à rien !

Image

La page de démarrage modifiée pour faire la promotion du moteur de recherche searchqutb : htxp://www.searchqu.com/402
Sur Firefox, le moteur de recherche est aussi modifié pour Web Search.
Image

Les lignes HijackThis :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchqu.com/sidebar.html?src=ssb&sysid=402
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchqu.com/402
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchqu.com/sidebar.html?src=ssb&sysid=402
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchqu.com/sidebar.html?src=ssb&sysid=402
O2 - BHO: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\WINDOW~4\ToolBar\SearchquDx.dll
O2 - BHO: Bandoo IE Plugin - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Fun4IM\Plugins\IE\ieplugin.dll
O3 - Toolbar: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\WINDOW~4\ToolBar\SearchquDx.dll
O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\WINDOW~4\Datamngr\DATAMN~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Launch WhiteSmoke.lnk = C:\Program Files\WhiteSmoke\WSEnrichment.exe
O20 - AppInit_DLLs: c:\progra~1\window~4\datamngr\datamngr.dll c:\progra~1\fun4im\bndhook.dll
O23 - Service: Fun4IM Coordinator - Discordia Limited - C:\PROGRA~1\Fun4IM\Bandoo.exe

Les dossiers ajoutés :
c:\Documents and Settings\All Users\Application Data\Bandoo
c:\Documents and Settings\All Users\Application Data\Bandoo\Repository
c:\Documents and Settings\All Users\Application Data\Fun4IM
c:\Documents and Settings\All Users\Menu Démarrer\Programmes\Fun4IM
c:\Documents and Settings\All Users\Menu Démarrer\Programmes\Quick Web Player
c:\Documents and Settings\All Users\Menu Démarrer\Programmes\WhiteSmoke
c:\Documents and Settings\Mak\Application Data\Bandoo
c:\Documents and Settings\Mak\Application Data\Microsoft\Crypto
c:\Documents and Settings\Mak\Application Data\Microsoft\Crypto\RSA
c:\Documents and Settings\Mak\Application Data\Microsoft\Crypto\RSA\S-1-5-21-823518204-725345543-786100373-1003
c:\Documents and Settings\Mak\Application Data\Mozilla\Plugins
c:\Documents and Settings\Mak\Application Data\searchqutb
c:\Documents and Settings\Mak\Application Data\searchqutb\games
c:\Documents and Settings\Mak\Application Data\searchqutb\weather
c:\Documents and Settings\Mak\Application Data\searchqutb\widgets_cache
c:\Documents and Settings\Mak\Application Data\WhiteSmoke
c:\Documents and Settings\Mak\Local Settings\Temp\Fun4IMFiles
c:\Documents and Settings\Mak\Local Settings\Temp\Searchqu_DM
c:\Documents and Settings\Mak\Local Settings\Temp\WhiteSmoke
c:\Program Files\Fun4IM
c:\Program Files\Quick Web Player
c:\Program Files\WhiteSmoke
c:\Program Files\Windows Searchqu Toolbar
Sur Firefox:
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\extensions\{7FF99715-3016-4381-84CE-E4E4C9673020}
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\extensions\[email protected]
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\searchplugins
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\searchqutb
Au niveau des symptômes, ralentissement
Tout ce beau petit monde a l'air de se désinstaller comme il faut.
Dans le cas de Firefox, pensez à aller faire un tour dans Outils / Extensions pour supprimer les extenstions relatives à ces programmes si elles sont encore présentes :
Image

Pour s'en protéger, évitez d'installer les programmes proposées surtout via des publicités.
Soyez vigilant et lisez les conditions d'utilisation.
Activez la détection des PUP/LPI sur votre antivirus.

Vous pouvez filtrer ces PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : https://www.malekal.com/2012/01/10/hosts ... upsadware/

Image
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 102522
Inscription : 10 sept. 2005 13:57
Contact :

Re: WhiteSmoke / Bandoo / Fun4IM / searchqutb / Quick Web Pl

Message par Malekal_morte »

Autre exemple avec un programme iLivid proposé en téléchargement :

Image

Ce dernier modifie la page de démarrage (searchqu) et ajoute une barre d'outils Bandoo - bref de quoi encore pourrir le PC.
Image

Image

Image

Les modifications sur un rapport HijackThis :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dts.search-results.com/sidebar.h ... stemid=406
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search-results.com/sr?src=ie ... earchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search-results.com/sr?src=ie ... earchTerms}
O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WINDOW~4\Datamngr\ToolBar\searchqudtx.dll
O2 - BHO: UrlHelper Class - {A40DC6C5-79D0-4ca8-A185-8FF989AF1115} - C:\PROGRA~1\WINDOW~4\Datamngr\IEBHO.dll
O2 - BHO: Bandoo IE Plugin - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Bandoo\Plugins\IE\ieplugin.dll
O3 - Toolbar: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WINDOW~4\Datamngr\ToolBar\searchqudtx.dll
O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\WINDOW~4\Datamngr\DATAMN~1.EXE
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Adwares et PUPs (programmes indésirables) »