stopovirus Index du Forum
Connexion S’enregistrer FAQ Membres Rechercher stopovirus Index du Forum

Les PUPS (programmes potentiellement indésirables)


 
Poster un nouveau sujet   Ce sujet est verrouillé; vous ne pouvez pas éditer les messages ou faire de réponses.    stopovirus Index du Forum » Informations » Les infections typiques
Sujet précédent :: Sujet suivant  
Auteur Message
Geronimo
Administrateur

En ligne

Inscrit le: 07 Fév 2010
Messages: 4 173
Localisation: Dans mon tepee
Sexe: Masculin
Système d'exploitation: Windows 8
memoire ram: 8 Giga
carte graphique:
disque dur: 1,5 tera

MessagePosté le: Mar 26 Juil - 12:25 (2011)    Sujet du message: Les PUPS (programmes potentiellement indésirables) Répondre en citant

Ces programmes ont besoin de votre accord pour pouvoir s'installer la plupart du temps ils sont légaux

On va prendre deux exemples flagrants
Les programmes eoRezo et PC Tuto sont censés vous faciliter la vie je vous laisse juge
Voyons ce qui se passe en téléchargeant l'un de ces programmes par exemple eoDesk 3D







Jusqu'ici tout se passe bien on peut encore quitter sans dommages si l'on clique pas sur le gros bouton rouge Téléchargez gratuitement




A partir d'ici cela commence à devenir plus sérieux



Ils ne demandent pas le numéro du téléphone fixe allez savoir pourquoi mais, ce n'est pas très difficile à deviner

Après avoir rempli le formulaire et accepté les conditions puis cliqué sur Télécharger

Choses commencent à se gâter si l'on lit bien ce qui est en dessous du formulaire d'inscription :

Citation:
EN TÉLÉCHARGEANT GRATUITEMENT CET APPLICATIF VOUS BÉNÉFICIEREZ AUSSI EN SITE UNDER
D'UNE SÉLECTION DES MEILLEURES OFFRES COMMERCIALES DU NET.


Vous avez accepté d'eux et de leurs partenaires des mails et des SMS sur votre portable.

L'application téléchargée on l'installe et la ça empire votre page de démarrage est changée sans votre consentement et vous redirigent vers lo.st qui appartient à EoRezo

Cette catégorie de malware modifie les paramètres des navigateurs WEB (pages de démarrage, pages de recherche) s'appelle un Browser hijacker pour être un plus clair un pirate de navigateur, il s'agit la du moteur de recherche lo.st installé à l'insu votre plein gré.


Le mal est fait on ne plus changer sa page de démarrage lo.st la remplace et EeoRezo infecte le PC

Exemple

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://lo.st#first
    O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
    O2 - BHO: PCTBHO - {293A63F7-C3B6-423a-9845-901AC0A7EE6E} . (.PcTuto - ....) -- C:\Program Files\Agence-Exclusive\pctutoBHO.dll
    O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\*****\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
    O4 - HKLM\..\Run: [pctuto] . (.PcTuto - PcTuto.) -- C:\Program Files\Agence-Exclusive\pctuto.exe => Infection BT (Spyware.AgenceExclusive)
    O4 - HKLM\..\RunOnce: [autoupdater] . (.Agence-Exclusive - autoupdater.) -- C:\Users\christian\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\autoupdater.exe => Infection BT (Spyware.AgenceExclusive)


    O4 - HKLM\..\Wow6432Node\Run: [PCTuto] . (.PCTUTO - PCTUTO.) -- C:\Program Files\PCTuto\pctuto.exe
    O4 - HKLM\..\Wow6432Node\RunOnce: [autoupdater] . (.PCTuto - autoupdater.) -- C:\Users\Proprietaire\AppData\Roaming\PCtuto\UpdatePCTuto\autoupdater.exe
    O42 - Logiciel: PcTuto 1.1 - (.Agence-Exclusive.) [HKLM] -- PcTuto_is1


Clés du Registre infectées :

    HKEY_CLASSES_ROOT\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
    HKEY_CLASSES_ROOT\EoEngineBHO.EOBHO.1
    HKEY_CLASSES_ROOT\EoEngineBHO.EOBHO
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
    HKEY_CLASSES_ROOT\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
    HKEY_CLASSES_ROOT\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
    HKEY_CLASSES_ROOT\CLSID\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
    HKEY_CLASSES_ROOT\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}
    HKEY_CLASSES_ROOT\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}
    HKEY_CLASSES_ROOT\PCTutoBHO.PCTBHO.1
    HKEY_CLASSES_ROOT\PCTutoBHO.PCTBHO
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}
    HKEY_CURRENT_USER\Software\EoRezo
    HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EoRezo_is1



Valeurs du Registre infectées :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eorezo



Dossier infecté :

c:\program files\EoRezo

Fichiers infectés :

    c:\program files\EoRezo\eorezo.exe
    c:\program files\EoRezo\eorezobho.dll
    c:\program files\PCTuto\pctutobho.dll
    c:\program files\EoRezo\confmedia.cyp
    c:\program files\EoRezo\unins000.dat
    c:\program files\EoRezo\unins000.exe
    C:\Program Files\Agence-Exclusive\pctuto.exe

C:\Program Files (x86) pour Vista et Seven 64 bits

Avec PC Tuto le même phénomène se reproduit lenteur du PC pages de publicités intempestives ect..




Pour supprimer Eorezo / Eoengine / Lo.st et PC Tuto

Ad-remover

Cet outil n'est plus mis à jour depuis Avril 2011
http://www.teamxscript.org/too/AD-R.exe
http://forum-aide-contre-virus.be/download/C_XX/AD-R.exe


AdwCleaner
MalwareBytes' Anti-Malware



Le nettoyage avec ces trois outils est parfois incomplet suivez ce tutoriel ZHPDiag et postez le rapport en lien sur le forum sur lequel ce scan a été demandé.

D'autres exemples de toolbars où de programmes qui sont installés à l'insu de votre plein gré

Avast 6.0 et Google Chrome




Foxit et la toolbar d'ASK



Izarc et la toolbar de sécurité d'AVG




_________________
Revenir en haut
Publicité






MessagePosté le: Mar 26 Juil - 12:25 (2011)    Sujet du message: Publicité

PublicitéSupprimer les publicités ?


Revenir en haut
Montrer les messages depuis:   
Poster un nouveau sujet   Ce sujet est verrouillé; vous ne pouvez pas éditer les messages ou faire de réponses.    stopovirus Index du Forum » Informations » Les infections typiques Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 
Sauter vers:  

Index | Panneau d’administration | forum gratuit | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001- 2004 phpBB Group
Designed for Trushkin.net | Styles Database
Traduction par : phpBB-fr.com