WhiteSmoke / Bandoo / Fun4IM / searchqutb / Quick Web Player

Malekal_morte
Messages : 108942
Inscription : 10 sept. 2005 13:57

WhiteSmoke / Bandoo / Fun4IM / searchqutb / Quick Web Player

par Malekal_morte »

Un nouveau bundle avec WhiteSmoke / Bandoo / Fun4IM / searchqutb et Quick Web Player.
  • WhiteSmoke est un correcteur de grammaire.
  • Bandoo et Fun4IM des émoticons
  • searchqutb est un moteur de recherche (page de démarrage modifié pour le caser).
  • Quick Web Player un player web.

Installé via un site de crack htxp://www.cracksfinder.com/
WhiteSmoke a aussi été installé depuis un botnet.

Image

L'installation est celle de Quick Web Player qui ouvre un programme d'installation qui prévient aussi de l'installation de WhiteSmoke avec l'EULA.

Les icônes ajoutées :
Image

Image

L'icone Improve your PC! propose l'installation de Registry Booster pour vous le faire acheter aussi ..... Mon avis sur ces logiciels : Nettoyeur et Défragmenteur : ça sert à rien !

Image

La page de démarrage modifiée pour faire la promotion du moteur de recherche searchqutb : htxp://www.searchqu.com/402
Sur Firefox, le moteur de recherche est aussi modifié pour Web Search.
Image

Les lignes HijackThis :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchqu.com/sidebar.html?src=ssb&sysid=402
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchqu.com/402
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchqu.com/sidebar.html?src=ssb&sysid=402
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchqu.com/sidebar.html?src=ssb&sysid=402
O2 - BHO: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\WINDOW~4\ToolBar\SearchquDx.dll
O2 - BHO: Bandoo IE Plugin - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Fun4IM\Plugins\IE\ieplugin.dll
O3 - Toolbar: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\WINDOW~4\ToolBar\SearchquDx.dll
O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\WINDOW~4\Datamngr\DATAMN~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Launch WhiteSmoke.lnk = C:\Program Files\WhiteSmoke\WSEnrichment.exe
O20 - AppInit_DLLs: c:\progra~1\window~4\datamngr\datamngr.dll c:\progra~1\fun4im\bndhook.dll
O23 - Service: Fun4IM Coordinator - Discordia Limited - C:\PROGRA~1\Fun4IM\Bandoo.exe

Les dossiers ajoutés :
c:\Documents and Settings\All Users\Application Data\Bandoo
c:\Documents and Settings\All Users\Application Data\Bandoo\Repository
c:\Documents and Settings\All Users\Application Data\Fun4IM
c:\Documents and Settings\All Users\Menu Démarrer\Programmes\Fun4IM
c:\Documents and Settings\All Users\Menu Démarrer\Programmes\Quick Web Player
c:\Documents and Settings\All Users\Menu Démarrer\Programmes\WhiteSmoke
c:\Documents and Settings\Mak\Application Data\Bandoo
c:\Documents and Settings\Mak\Application Data\Microsoft\Crypto
c:\Documents and Settings\Mak\Application Data\Microsoft\Crypto\RSA
c:\Documents and Settings\Mak\Application Data\Microsoft\Crypto\RSA\S-1-5-21-823518204-725345543-786100373-1003
c:\Documents and Settings\Mak\Application Data\Mozilla\Plugins
c:\Documents and Settings\Mak\Application Data\searchqutb
c:\Documents and Settings\Mak\Application Data\searchqutb\games
c:\Documents and Settings\Mak\Application Data\searchqutb\weather
c:\Documents and Settings\Mak\Application Data\searchqutb\widgets_cache
c:\Documents and Settings\Mak\Application Data\WhiteSmoke
c:\Documents and Settings\Mak\Local Settings\Temp\Fun4IMFiles
c:\Documents and Settings\Mak\Local Settings\Temp\Searchqu_DM
c:\Documents and Settings\Mak\Local Settings\Temp\WhiteSmoke
c:\Program Files\Fun4IM
c:\Program Files\Quick Web Player
c:\Program Files\WhiteSmoke
c:\Program Files\Windows Searchqu Toolbar
Sur Firefox:
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\extensions\{7FF99715-3016-4381-84CE-E4E4C9673020}
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\extensions\[email protected]
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\searchplugins
c:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\searchqutb
Au niveau des symptômes, ralentissement
Tout ce beau petit monde a l'air de se désinstaller comme il faut.
Dans le cas de Firefox, pensez à aller faire un tour dans Outils / Extensions pour supprimer les extenstions relatives à ces programmes si elles sont encore présentes :
Image

Pour s'en protéger, évitez d'installer les programmes proposées surtout via des publicités.
Soyez vigilant et lisez les conditions d'utilisation.
Activez la détection des PUP/LPI sur votre antivirus.

Vous pouvez filtrer ces PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : https://www.malekal.com/2012/01/10/host ... upsadware/

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 108942
Inscription : 10 sept. 2005 13:57

Re: WhiteSmoke / Bandoo / Fun4IM / searchqutb / Quick Web Pl

par Malekal_morte »

Autre exemple avec un programme iLivid proposé en téléchargement :

Image

Ce dernier modifie la page de démarrage (searchqu) et ajoute une barre d'outils Bandoo - bref de quoi encore pourrir le PC.
Image

Image

Image

Les modifications sur un rapport HijackThis :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dts.search-results.com/sidebar.h ... stemid=406
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search-results.com/sr?src=ie ... earchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search-results.com/sr?src=ie ... earchTerms}
O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WINDOW~4\Datamngr\ToolBar\searchqudtx.dll
O2 - BHO: UrlHelper Class - {A40DC6C5-79D0-4ca8-A185-8FF989AF1115} - C:\PROGRA~1\WINDOW~4\Datamngr\IEBHO.dll
O2 - BHO: Bandoo IE Plugin - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Bandoo\Plugins\IE\ieplugin.dll
O3 - Toolbar: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WINDOW~4\Datamngr\ToolBar\searchqudtx.dll
O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\WINDOW~4\Datamngr\DATAMN~1.EXE
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Adwares et PUPs (programmes indésirables) »