PUP.Optional.VidSaver - Nicolas Coolman

VidSaver est un programme qui se base sur vos habitudes de navigation internet. Il propose des annonces publicitaires de sites sponsorisés comme Youtube, Facebook ou Amazon dans le but de se faire de l’argent en fonction du trafic généré. Le logiciel ne se désinstalle que partiellement. Recensé le 16/11/2012.

Contents

1 Caractéristiques :
2 Actions principales :
3 Aperçu ZHPDiag :
4 Liens :
5 Alias :
6 Supprimer (Remove) :

Caractéristiques :

– Il appartient à une famille de PUP Optionnels (Potentially Unwanted Program).
– Vendeur : PUP.Optional.

Actions principales :

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il installe un programme d’extension pour le navigateur Mozilla Firefox (M2),
– Il installe un plugin pour le navigateur Mozilla Firefox (M3)
– Il pirate la page de démarrage du navigateur Google Chrome (G0),
– Il remplace la page de recherche du navigateur Google Chrome (G1),
– Il installe un programme d’extension pour le navigateur Google Chrome (G2),
– Il modifie la page de démarrage du navigateur Internet Explorer (R0),
– Il crée trois BHO « Browser Helper Object » de Navigateur internet (O2),
– Il s’installe en tant que Toolbar de Navigateur internet (O3),
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il installe de multiples programmes (O42), Amazon Browser Bar, Amazon Browser Bundle, Vid-Saver, Wajam, Giant Savings
– Il crée de multiples clés de Registre « Software »,
– Il crée de multiples fichiers (O43)(O88 )
– Il crée dans le Registre une clé Legacy pointant sur un service malware (O64),
– Il modifie le fournisseur de recherche Internet (O69),
– Il crée de multiples clés de registre (O88 )
– Il crée des clés de registre Tracing (O100)

Aperçu ZHPDiag :

—\\ Processus lancés
[fusion_builder_container hundred_percent= »yes » overflow= »visible »][fusion_builder_row][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][MD5.4AA2CC5979AFF984227364F2C23B04F3] – (.Wajam – Auto-updater.) — C:\Program Files\Wajam\Updater\WajamUpdater.exe [109064] [PID.] [MD5.B4DFFD5F9C322BB941305131ED1EB021] – (.215 Apps – Giant Savings exe.) — C:\program files\giant savings\giant savings-bg.exe [948608] [PID.768] [MD5.90B832F412151CD7BFB2C1FDC4656EBC] – (.215 Apps – Giant Savings exe.) — C:\program files\giant savings\giant savings-bg.exe [907648] [PID.3564]

—\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)
M3 – MFPP: Plugins – [Coolman] — C:\Program Files\Mozilla FireFox\searchplugins\amazon-france.xml
M2 – MFEP: prefs.js [Coolman – a0clgj9q.default\[email protected]] [] Vid-Saver v (.215 Apps.)
M2 – MFEP: prefs.js [Coolman – locap1y9.default\[email protected]] [] Giant Savings v (.215 Apps.)

—\\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)
G0 – GCSP: Preference [User Data\Default][HomePage] https://www.amazon.com
G0 – GCSP: Preference [User Data\Default] https://www.amazon.com
G1 – GCS: Preference [User Data\Default] https://www.amazon.com
G0 – GCSP: Preference [User Data\Default][HomePage] https://www.amazon.com
G0 – GCSP: Preference [User Data\Default] https://www.amazon.com
G2 – GCE: Preference [User Data\Default] [jpmbfleldcgkldadpdinhjjopdfpjfjp] Wajam v.1.24 (Activé )
G2 – GCE: Preference [User Data\Default] [pbjikboenpfhbbejgkoklgkhjpfogcam] Amazon pour Chrome v.2.2.2012.272 (Activé )
G2 – GCE: Preference [User Data\Default] [pgmfkblbflahhponhjmkcnpjinenhlnc] Vid-Saver v.1.19.31 (Activé )
G2 – GCE: Preference [User Data\Default] [ndkhncnongaclekkbelchmeafffimifj] Giant Savings v.1.20.44 (Désactivé )

—\\ Internet Explorer, Démarrage,Recherche,URLSearchHook, Phishing (R0,R1,R3,R4)
R0 – HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://www.amazon.fr

—\\ Browser Helper Objects de navigateur (O2)
O2 – BHO: (no name) – {11111111-1111-1111-1111-110011341191} Clé orpheline
O2 – BHO: (no name) – {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} Clé orpheline
O2 – BHO: (no name) – {F443A627-5009-4323-9C1D-7FD598D0D712} Clé orpheline
~ Scan BHO in 00mn 00s

—\\ Internet Explorer Toolbars (O3)
O3 – Toolbar: (no name) – [HKLM]{EA582743-9076-4178-9AA6-7393FDF4D5CE} . (…) — (.not file.)
~ Scan Toolbar in 00mn 00s

—\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 – Service: WajamUpdater (WajamUpdater) . (.Wajam – Auto-updater.) – C:\Program Files\Wajam\Updater\WajamUpdater.exe

—\\ Logiciels installés (O42)
O42 – Logiciel: Amazon Browser Bar – (.Amazon.com.) [HKLM] — Amazon Browser Bar
O42 – Logiciel: Amazon Browser Bundle for Firefox and Chrome – (.Amazon.com.) [HKLM] — Amazon Browser Bundle
O42 – Logiciel: Vid-Saver – (.215 Apps.) [HKLM] — Vid-Saver
O42 – Logiciel: Wajam – (.Wajam.) [HKLM] — Wajam
O42 – Logiciel: Giant Savings – (.215 Apps.) [HKLM] — Giant Savings

—\\ HKCU & HKLM Software Keys
[HKCU\Software\Alexa Internet] [HKCU\Software\Cr_Installer] [HKCU\Software\Crossrider] [HKCU\Software\InstalledBrowserExtensions] [HKCU\Software\Vid-Saver] [HKCU\Software\Wajam] [HKLM\Software\Wow6432Node] [HKCU\Software\AppDataLow\Software\Giant Savings]

—\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 16/11/2012 – 13:15:54 – [0,838] —-D C:\Program Files\Amazon
O43 – CFD: 16/11/2012 – 13:15:26 – [2,785] —-D C:\Program Files\Amazon Browser Bar
O43 – CFD: 16/11/2012 – 13:16:18 – [1,371] —-D C:\Program Files\Vid-Saver
O43 – CFD: 16/11/2012 – 13:15:36 – [0,496] —-D C:\Program Files\Wajam
O43 – CFD: 16/11/2012 – 13:15:59 – [0,077] —-D C:\Documents and Settings\Coolman\Local Settings\Application Data\Vid-Saver
O43 – CFD: 16/11/2012 – 13:15:12 – [0,054] —-D C:\Documents and Settings\Coolman\Local Settings\Application Data\Wajam
O43 – CFD: 16/11/2012 – 13:13:41 – [0,000] R—D C:\Documents and Settings\Coolman\Menu Démarrer\Programmes\Outils d’administration
O43 – CFD: 16/11/2012 – 13:15:27 – [0,001] —-D C:\Documents and Settings\Coolman\Menu Démarrer\Programmes\Wajam
O43 – CFD: 17/11/2012 – 15:17:42 – [2,976] —-D C:\Program Files\Giant Savings
O43 – CFD: 17/11/2012 – 15:17:26 – [0,038] —-D C:\Users\Coolman\AppData\Local\Giant Savings

—\\ Liste des services Legacy (O64)
O64 – Services: CurCS – 05/10/2012 – C:\Program Files\Wajam\Updater\WajamUpdater.exe (WajamUpdater) .(.Wajam – Auto-updater.) – LEGACY_WAJAMUPDATER

—\\ Search Browser Infection (O69)
O69 – SBI: SearchScopes [HKCU] {A6F643DE-1A69-43CE-B67F-76315C57513C} [DefaultScope] – (Recherche intelligente Amazon) – https://www.amazon.frrchTerms}

—\\ Recherche particuliere à la racine de certains dossiers (O84)
[MD5.91426C831971CD78196B3C4BB0A9E9B5] [SPRF][13/11/2012] (…) — C:\Users\Coolman\AppData\Local\Temp\wajam_install.exe [417088] [MD5.2D1CAF7F6878AC5E0ECB9A87F842DE37] [SPRF][03/12/2012] (.215 Apps – Vid-Saver Installer.) — C:\Users\Coolman\AppData\Local\Temp\Vid-Saver-rev.exe [2373376] [MD5.8E61C521B1592E545CEB3CF303DB7C71] [SPRF][06/05/2012] (.215 Apps – Vid-Saver Installer.) — C:\Users\Coolman\AppData\Local\Temp\VidSaver_1.exe [2017376]

—\\ Scan Additionnel (O88 )
[HKLM\Software\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011341191}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F443A627-5009-4323-9C1D-7FD598D0D712}] [HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{EA582743-9076-4178-9AA6-7393FDF4D5CE}] [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011341191}] [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011341191}] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011341191}] [HKCR\CLSID\{11111111-1111-1111-1111-110011341191}] [HKCR\TypeLib\{44444444-4444-4444-4444-440044344491}] [HKCR\Interface\{55555555-5555-5555-5555-550055345591}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Wajam] [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Giant Savings] [HKCU\Software\Vid-Saver] [HKCU\Software\Cr_Installer] C:\Program Files\Vid-Saver
C:\Documents and Settings\Coolman\Local Settings\Application Data\Vid-Saver
C:\Program Files\Giant Savings
[HKLM\SOFTWARE\Google\Chrome\Extensions\dhdepfaagokllfmhfbcfmocaeigmoebo] [HKLM\SOFTWARE\Classes\CrossriderApp0005060.BHO] [HKLM\SOFTWARE\Classes\CrossriderApp0005060.BHO.1] [HKLM\SOFTWARE\Classes\CrossriderApp0005060.Sandbox] [HKLM\SOFTWARE\Classes\CrossriderApp0005060.Sandbox.1] [HKLM\SOFTWARE\Google\Chrome\Extensions\dhdepfaagokllfmhfbcfmocaeigmoebo] [HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}]

—\\ Recherche de clés de registre Tracing (O100)
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Giant Savings Extension-InternalInstaller_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Giant Savings Extension-InternalInstaller_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Giant Savings Extension_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Giant Savings Extension_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Giant Savings-InternalInstaller_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Giant Savings-InternalInstaller_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Giant Savings_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Giant Savings_RASMANCS

—\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SR – | Auto 05/10/2012 109064 | (WajamUpdater) . (.Wajam.) – C:\Program Files\Wajam\Updater\WajamUpdater.exe

Liens :

www.sophos.com
www.exterminate-it
malwaretips.com

Alias :

Adware:Win32/Vidsaver [Windows Defender] PUP.GiantSavings

Supprimer (Remove) :

– Supprimer l’extension « Vid-Saver » de tous les navigateurs installés,
– Supprimer le plugin « Vid-Saver » de tous les navigateurs installés,
– Supprimer le logiciel « Vid-Saver » via le panneau de configuration Windows,
– Supprimer le logiciel « Amazon Browser » via le panneau de configuration Windows,
– Supprimer le logiciel « Wajam » via le panneau de configuration Windows,
– Supprimer le logiciel « Giant Savings » via le panneau de configuration Windows,
– Modifier les pages de recherche et de démarrage de tous les navigateurs installés,
– Vider le cache des navigateurs
– Nettoyer avec ZHPCleaner

Rate this post