OfferBox est un programme publicitaire qui s’installe généralement à votre insu via le téléchargement de logiciels gratuits. L’objectif de ce programme est de gagner de l’argent en générant du trafic Web. Il peut modifier les paramètres Proxy d’Internet Explorer.

Caractéristiques :

– Il appartient à une famille de PUP Optionnels (Potentially Unwanted Program).
– Vendeur : PUP.Optional.

Actions principales :

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il modifie les paramètres Proxy pour Microsoft Internet Explorer (R5)
– Il installe un programme d’extension pour le navigateur Google Chrome (G2),
– Il installe un plugin pour le navigateur Mozilla Firefox (M3)
– Il s’installe en tant de Browser Helper Object de Navigateur internet (O2),
– il installe de multiples fichiers de lien dans les dossiers utilisateurs,
– Il place un raccourci dans le dossier de démarrage de Windows (O4 GS),
– Il démarre une tâche planifiée en automatique (O39),
– Il s’installe en tant que programme (O42),
– Il crée des clés de Registre « Software » (O43),
– Il modifie le fournisseur de recherche Internet (O69),
– Il pirate la page de démarrage du navigateur Mozilla Firefox (M0),
– Il crée des clés registre Installer (O90),
– Il place un fichier de package MSI dans le dossier systeme Installer (O93)
– Il crée des clés de registre CLSID (O101)

Aperçu ZHPDiag :

—-\\ Processus lancés
[MD5.2E33EB8D43CF15EC73E45BAA0DF06191] – (.Secure Digital Services Limited – OfferBox.) — C:\Program Files\OfferBox\OfferBox.exe [1965912]

—\\ Internet Explorer, Proxy Management (R5)
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>;*.offerbox.com

—\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)
M0 – MFSP: prefs.js [anne so – z4okkiwl.default] http://www.fissa.com/fr/?s=h&c=1101224009&suid=Emm7KRf.U&d=6&pid=30
M3 – MFPP: Plugins – [Coolman] — C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\xse2lc9s.default\searchplugins\fissa.xml
M3 – MFPP: Plugins – [Coolman — C:\Documents and Settings\Coolman\Application Data\Mozilla\Firefox\Profiles\vljmz4ej.default\searchplugins\OfferBox Search.xml

—\\ Browser Helper Objects de navigateur (O2)
O2 – BHO: OfferBox – {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} . (.Secure Digital Services Limited – OfferBox.) — C:\Program Files\OfferBox\OfferBoxBHO.dll

—\\ Autres liens utilisateurs (O4)
O4 – Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Navigateur OfferBox.lnk . (.Secure Digital Services Limited.) — C:\Program Files\OfferBox\OfferBoxLauncher.exe

—\\ Google Chrome Extensions (G2)
G2 – GCE: Preference [User Data\Default] [bjeikeheijdjdfjbmknpefojickbkmom] Offerbox v.2.1.3182.77 (Activé )

—\\ Tâches planifiées en automatique (O39)
O39 – APT:Automatic Planified Task – C:\Windows\Tasks\OfferBoxUpdate.job
[MD5.00000000000000000000000000000000] [APT] [OfferBoxUpdate] (…) — C:\Program Files\OfferBox\OfferBox.exe

—\\ Logiciels installés (O42)
O42 – Logiciel: OfferBox – (.Secure Digital Services Limited.) [HKLM] — OfferBox
O42 – Logiciel: OfferBox Browser – (.Secure Digital Services Limited.) [HKLM] — OfferBox Browser

—\\ Contenu des dossiers Program Files (O43)
O43 – CFD: 13/11/2010 – 10:52:46 —-D- C:\Program Files\OfferBox
O43 – CFD: 11/05/2010 – 09:22:54 —-D- C:\Program Files (x86)\OfferBoxSearch
O43 – CFD: 13/08/2010 – 12:35:32 —-D- C:\Users\Coolman\AppData\Roaming\FissaSearch

—\\ HKCU & HKLM Software Keys
[HKCU\Software\OfferBox]
[HKLM\Software\OfferBox]

—\\ Derniers fichiers modifiés ou crées (Utilisateur) (O61)
O61 – LFC:Last File Created 29/01/2011 – 10:58:47 —A- C:\Users\Coolman\AppData\Roaming\OfferBox\config.dat [236894]
O61 – LFC:Last File Created 29/01/2011 – 11:39:41 —A- C:\Users\Coolman\AppData\Roaming\OfferBox\config.xml [1848]

—\\ Search Browser Infection (SBI) (O69)
O69 – SBI: SearchScopes [HKCU] {b41306c6-96d0-442a-bcc4-b0f621e82ce9} – (OfferBox Search) – http://search.offerbox.com/fr/results/?s=b&c=1003204372&q={searchTerms}
O69 – SBI: SearchScopes [HKCU] {b41306c6-96d0-442a-bcc4-b0f621e82ce9} – (Fissa) – http://www.fissa.com

—\\ Recherche particuliere à la racine de certains dossiers (SPRF) (O84)
[MD5.64799A0A4118C6CCB56C8C8BD9DAE0C0] [SPRF] (.Secure Digital Services Limited – OfferBox Browser setup.) — C:\Users\Coolman\AppData\Local\Temp\OB.exe [1732464]

—\\ Compléments de recherche
[MD5.00000000000000000000000000000000] 13/11/2010 | —-D | — C:\Program Files\OfferBox
[MD5.2E33EB8D43CF15EC73E45BAA0DF06191] – (.Secure Digital Services Limited.) 22/10/2010 13:38:04 | —A- | — C:\Program Files\OfferBox\OfferBox.exe [1965912]
[MD5.B4B61F417DF1F173A78A55E9029BE6FB] – (.Secure Digital Services Limited.) 22/10/2010 13:38:08 | —A- | — C:\Program Files\OfferBox\OfferBoxBHO.dll [135000]
[MD5.341ABC6CD6BE5B6FE64E19D79912716D] 22/10/2010 13:38:10 | —A- | — C:\Program Files\OfferBox\OfferBoxChromeExtension.crx [39284]
[MD5.648BCB283D84F257184BB390D0D3A375] – (.Secure Digital Services Limited.) 22/10/2010 13:38:04 | —A- | — C:\Program Files\OfferBox\OfferBoxEngine.dll [1073496]
[MD5.00000000000000000000000000000000] 13/11/2010 | —-D | — C:\Program Files\OfferBox\offerboxffx@offerbox.com
[MD5.2E619BBB0C7D078B79BE4EA94B8F9C31] – (.Secure Digital Services Limited.) 22/10/2010 13:38:06 | —A- | — C:\Program Files\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.dll [96600]
[MD5.2F5F9011741B1E65E6E0D2480B2259E9] 22/10/2010 13:37:34 | —A- | — C:\Program Files\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.xpt [150]
[MD5.7D440D531F816402DC37CE1B96B1B6B1] – (.Secure Digital Services Limited.) 22/10/2010 13:38:02 | —A- | — C:\Program Files\OfferBox\OfferBoxLauncher.exe [69976]
[MD5.FD496DC1EF9C9AB5008C475336CCE9B0] 13/11/2010 10:52:42 | —A- | — C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk [1117]
[MD5.FD496DC1EF9C9AB5008C475336CCE9B0] 13/11/2010 10:52:42 | —A- | — C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk [1117]
[MD5.AE42CC8F93664BF54C6BAA3DA2A0E114] 13/11/2010 10:59:26 | —A- | — C:\Users\Coolman\AppData\Local\Google\Chrome\User Data\Default\Extensions\bjeikeheijdjdfjbmknpefojickbkmom\2.1.3182.77_0\OfferboxChromePlugin.dll [70488]
[MD5.6A7B25A406FA28D9D21E478EA80A4605] 23/11/2010 23:06:25 | —A- | — C:\Users\Coolman\AppData\Roaming\Microsoft\Windows\Cookies\coolman@offerbox[2].txt [357]
[MD5.6DAA27125E3CD9DCD25D6BA7458B4EBA] 24/11/2010 18:09:30 | —A- | — C:\Users\Coolman\AppData\Roaming\Microsoft\Windows\Cookies\coolman@shop.offerbox[1].txt [291]
[MD5.46A56949A78589E37E8E3634ECC089BC] 23/11/2010 23:06:24 | —A- | — C:\Users\Coolman\AppData\Roaming\Microsoft\Windows\Cookies\coolman@www.offerbox[1].txt [340]
[MD5.2CFECF273E7676F5B9BFF4E94336E070] 25/11/2010 17:47:45 | —A- | — C:\Users\Coolman\AppData\Roaming\Microsoft\Windows\Recent\ZHPDiag_PUP.OfferBox.html.lnk [961]
[MD5.00000000000000000000000000000000] 24/11/2010 | —-D | — C:\Users\Coolman\AppData\Roaming\OfferBox
[MD5.CD08264BEB74AFBC13DC01EFA31B8E1E] 24/11/2010 18:08:07 | —A- | — C:\Windows\Prefetch\OFFERBOX.EXE-3103CF07.pf [36848]/i]

—\\ Scan Additionnel (O88 )
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser]
[HKLM\Software\Classes\OfferBox.OfferBoxServer]
[HKLM\Software\Classes\OfferBox.OfferBoxServer.1]
[HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom]
[HKLM\Software\mozilla\firefox\extensions]:offerboxffx@offerbox.com
C:\Users\Coolman\AppData\Roaming\OfferBox
C:\Program Files\OfferBox
C:\Program Files\OfferBoxSearch

—\\ Product Upgrade Codes (O90)
O90 – PUC: « BA172DB42E6685D4FA8808EFB370074C » . (.Fissa.) — C:\Windows\Installer\{4BD271AB-66E2-4D58-AF88-80FE3B0770C4}\ARPPRODUCTICON.exe

—\\ Recherche des packages WindowsInstaller (WIS) (O93) (NTFS)
[MD5.6F8091A146A8E92458F8042C242123C5] [WIS][23/04/2011] (.Secure Digital Services – Fissa.) — C:\Windows\Installer\1e828e8.msi [1275392]

—\\ Recherche de clés de registre CLSID (O101)
[HKCR\CLSID\{AF0C0AA7-AFBA-46a0-A394-B1E1345FD936}] (OfferBoxUI.TheBoxDeskBand)

 

Liens :

www.offerbox.com
malwaretips.com
nicolascoolman.webs.com

Alias :

PUP.Optional.OfferBox.A [Malwarebytes]

 

Supprimer (Remove) :

– Supprimer l’extension « Offerbox » de tous les navigateurs installés,
– Supprimer le plugin « Offerbox » de tous les navigateurs installés,
– Supprimer le logiciel « Offerbox » via le panneau de configuration Windows,
– Modifier les pages de recherche et de démarrage de tous les navigateurs installés,
– Vider le cache des navigateurs
Nettoyer avec ZHPCleaner