PUP.Optional.Incredibar - Nicolas Coolman

Incredibar est un programme qui s’installe à votre insu via le téléchargement de logiciels gratuits.

Contents

1 Caractéristiques
2 Actions principales
3 Aperçu ZHPDiag
4 Alias :
5 Liens :
6 Supprimer (Remove) :

Caractéristiques

– Il appartient à une famille de PUP (Potentially Unwanted Program).
– Vendeur : PUP.Optional.

Actions principales

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il installe un programme d’extension pour le navigateur Google Chrome (G2),
– Il remplace la page de recherche du navigateur Opera (B1),
– Il installe un programme d’extension pour le navigateur Mozilla Firefox (M2),
– Il s’installe en tant que BHO (Browser Helper Object) de Navigateur internet (O2),
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il s’installe en tant que programme (O42),
– Il crée de multiples clés de Registre « Software »,
– Il crée des dossiers supplémentaires (O43),
– Il installe des ressources dans le dossier système (O44),
– Il crée dans le Registre une clé Legacy pointant sur un service malware (O64),
– Il crée une connexion entrante active dans les exceptions d’application du parefeu Windows (O87),
– Il pollue la base de Registres avec de nombreuses clés et valeurs (O88 ),
– Il crée de multiples fichiers et dossiers (O88 ),

Aperçu ZHPDiag

—\\ Processus lancés
[fusion_builder_container hundred_percent= »yes » overflow= »visible »][fusion_builder_row][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][MD5.05B1323C82849E1CC4E774D470254215] – (…) — C:\WINDOWS\system32\dmwu.exe [1008496] [PID.] [MD5.C6F23975AF07B1FD909826206051FB55] – (…) — C:\Program Files\CoolPic\ExtensionUpdaterService.exe [185856] [PID.1680] [MD5.DB0A3AF070612DE1B605158DE5DBB924] – (…) — C:\Program Files\V-bates\ExtensionUpdaterService.exe [188760] [PID.1680]

—\\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)
G2 – GCE: Preference [User Data\Default] [dlnembnfbcpjnepmfjmngjenhhajpdfd] Web Assistant v.2.0.0.572, (Activé )

—\\ Opera, Plugins,Démarrage,Recherche (P1,B0,B1)
B1 – OSP: search.ini [Propriétaire] URL=https://mystart.incredibar.com/mb128/?loc=IB_DS&search=%s&a=6OyRUAks6H&i=26

—\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)
M2 – MFEP: prefs.js [PHILL – vhf9l0i8.Phill30\[email protected]] [] incredibar.com v1.5.0 (.incredibar.com.)

—\\ Browser Helper Objects de navigateur (O2)
O2 – BHO: Web Assistant – {336D0C35-8A85-403a-B9D2-65C292C39087} . (…) — C:\ Program Files\Web Assistant\Extension64.dll ()
O2 – BHO: V-bates Helper [64Bits] – {21EAF666-26B3-4a3c-ABD0-CA2F5A326744} . (…) — C:\Program Files\V-bates\Extension32.dll
O2 – BHO: CoolPic Helper [64Bits] – {FEFE89E5-A43F-4f4b-8211-B11D91D02135} . (…) — C:\Program Files\CoolPic\Extension32.dll

—\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 – Service: Web Assistant Updater (Web Assistant Updater) . (…) – C:\Program Files\Web Assistant\ExtensionUpdaterService.exe
O23 – Service: WebOptimizer . (…) – C:\Windows\System32\dmwu.exe
O23 – Service: IB Updater (IB Updater) . (…) – C:\Program Files\IB Updater\ExtensionUpdaterService.exe
O23 – Service: IBUpdaterService . (…) – C:\Windows\System32\dmwu.exe
O23 – Service: CoolPic Updater (CoolPic Updater) . (…) – C:\Program Files\CoolPic\ExtensionUpdaterService.exe
O23 – Service: V-bates Updater (V-bates Updater) . (…) – C:\Program Files\V-bates\ExtensionUpdaterService.exe

—\\ Logiciels installés (O42)
O42 – Logiciel: Incredibar Toolbar on IE and Chrome – (…) [HKLM][64Bits] — incredibar
O42 – Logiciel: Web Assistant 2.0.0.478 – (.IncrediBar.) [HKLM][64Bits] — {336D0C35-8A85-403a-B9D2-65C292C39087}_is1
O42 – Logiciel: Web Assistant 2.0.0.461 – (.IncrediBar.) [HKLM] — {336D0C35-8A85-403a-B9D2-65C292C39087}_is1
O42 – Logiciel: Web Optimizer – (…) [HKLM][64Bits] — WNLT
O42 – Logiciel: IB Updater 2.0.0.542 – (.IncrediBar.) [HKLM] — {336D0C35-8A85-403a-B9D2-65C292C39087}_is1
O42 – Logiciel: IB Updater Service – (…) [HKLM] — WNLT
O42 – Logiciel: CoolPic 2.0.0.429 – (.Bitcoktail.) [HKLM][64Bits] — {FEFE89E5-A43F-4f4b-8211-B11D91D02135}_is1
O42 – Logiciel: V-bates 2.0.0.433 – (.Southstarco.) [HKLM][64Bits] — {21EAF666-26B3-4a3c-ABD0-CA2F5A326744}_is1

—\\ HKCU & HKLM Software Keys
[HKCU\Software\Incredibar.com] [HKCU\Software\WNLT] [HKLM\Software\Wow6432Node\Incredibar.com] [HKLM\Software\Web Assistant] [HKLM\Software\CoolPic] [HKLM\Software\V-bates] [HKLM\Software\Wow6432Node\CoolPic] [HKLM\Software\Wow6432Node\V-bates]

—\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 07/06/2012 – 11:37:45 – [2,014] —-D C:\Program Files (x86)\Incredibar.com

—\\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)
O44 – LFC:[MD5.05B1323C82849E1CC4E774D470254215] – 02/10/2012 – 16:20:26 —A- . (…) — C:\WINDOWS\system32\dmwu.exe [1008496] O44 – LFC:[MD5.5DE269F115618460F12044966770C6A1] – 02/10/2012 – 16:18:42 —A- . (…) — C:\WINDOWS\system32\ImHttpComm.dll [28160]

—\\ Liste des services Legacy (O64)
O64 – Services: CurCS – 06/06/2012 – C:\Program Files\Web Assistant\ExtensionUpdaterService.exe – Web Assistant Updater (Web Assistant Updater) .(…) – LEGACY_WEB_ASSISTANT_UPDATER
O64 – Services: CurCS – 02/10/2012 – C:\WINDOWS\system32\dmwu.exe – IBUpdaterService (IBUpdaterService) .(…) – LEGACY_IBUPDATERSERVICE

—\\ Firewall Active Exception List (FirewallRules) (O87)
O87 – FAEL: « {6FDBC445-004A-49D8-A2C6-AF8C8BA4EE80} » | In – Public – P6 – TRUE | .(…) — C:\Windows\System32\dmwu.exe
O87 – FAEL: « {5608F25E-870B-4B34-8D6B-1EAD35C8CFFC} » | In – Public – P17 – TRUE | .(…) — C:\Windows\System32\dmwu.exe

—\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SR – | Auto 188760 | (Web Assistant Updater) . (…) – C:\Program Files\Web Assistant\ExtensionUpdaterService.exe
SR – | Auto 1259888 | (WebOptimizer) . (…) – C:\Windows\System32\dmwu.exe
SR – | Auto 1008496 | (IBUpdaterService) . (…) – C:\WINDOWS\system32\dmwu.exe
SR – | Auto 08/10/2013 185856 | (CoolPic Updater) . (…) – C:\Program Files\CoolPic\ExtensionUpdaterService.exe
SR – | Auto 07/10/2013 188760 | (V-bates Updater) . (…) – C:\Program Files\V-bates\ExtensionUpdaterService.exe

—\\ Scan Additionnel (O88 )
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}] [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\incredibar] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{336D0C35-8A85-403a-B9D2-65C292C39087}_is1] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WNLT] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{336D0C35-8A85-403a-B9D2-65C292C39087}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{336D0C35-8A85-403a-B9D2-65C292C39087}] [HKLM\Software\Classes\CLSID\{336D0C35-8A85-403a-B9D2-65C292C39087}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{336D0C35-8A85-403a-B9D2-65C292C39087}] [HKCU\Software\Incredibar.com] [HKCU\Software\WNLT] [HKLM\Software\Web Assistant] [HKLM\Software\Wow6432Node\Incredibar.com] [HKLM\Software\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd] [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\incredibar] C:\Program Files (x86)\Incredibar.com
C:\Program Files\Web Assistant
C:\Users\Coolman\AppData\LocalLow\Incredibar.com
C:\ProgramData\IBUpdaterService

Alias :

PUP.Incredibar
Incredibar Toolbar

Liens :

malwaretips.com

Supprimer (Remove) :

– Supprimer l’extension « Web Assistant » de tous les navigateurs installés,
– Supprimer le logiciel « Incredibar Toolbar » via le panneau de configuration Windows,
– Supprimer le logiciel « Web Assistant » via le panneau de configuration Windows,
– Supprimer le logiciel « Web Optimizer » via le panneau de configuration Windows,
– Supprimer le logiciel « IB Updater » via le panneau de configuration Windows,
– Supprimer le logiciel « CoolPic » via le panneau de configuration Windows,
– Supprimer le logiciel « V-bates » via le panneau de configuration Windows,
– Nettoyer avec ZHPCleaner

Rate this post