WhenUSave est un programme qui s’installe généralement à votre insu via le téléchargement de logiciels gratuits.
– Il recueille vos habitudes de navigations et les communique à un serveur (Tracking).
– Il assure la promotion de ses produits (publicités) et bouste le classement des sites sponsorisés.
– Fiche créée le 23/05/2013.

0

Caractéristiques :

– Il appartient à une famille de PUP Optionnels (Potentially Unwanted Program).
– Vendeur : PUP.Optional.

Actions principales :

– Il modifie les paramètres URLSearchHook du navigateur Microsoft Internet Explorer (R3),
– Il s’installe en tant que BHO (Browser Helper Object) de Navigateur internet (O2),
– Il s’installe en tant que Toolbar de Navigateur internet (O3),
– Il place un raccourci Quick Launch sous Microsoft Internet Explorer (O4 GS),
– Il s’installe en tant que programme (O42),
– Il crée de multiples clés de Registre « Software »,
– Il crée des dossiers supplémentaires (O43),
– Il s’installe en export de clé d’application autorisée (ECAA) (O47),
– Il créé une clé de registre ShareTools MSconfig StartupReg (O53),
– Il crée une connexion entrante active dans les exceptions d’application du parefeu Windows (O87),

Aperçu ZHPDiag:

—\\ Internet Explorer, Démarrage,Recherche,URLSearchHook, Phishing (R0,R1,R3,R4)
R3 – URLSearchHook: Bitlord Toolbar – {7c5c0f58-e061-457d-9033-77307f5ed00c} – C:\Program Files\TorrentMan\prxtbTor2.dll

—\\ Browser Helper Objects de navigateur (O2)
O2 – BHO: Bitlord – {7c5c0f58-e061-457d-9033-77307f5ed00c} – C:\Program Files\TorrentMan\prxtbTor2.dll

—\\ Internet Explorer Toolbars (O3)
O3 – Toolbar: Bitlord Toolbar – {7c5c0f58-e061-457d-9033-77307f5ed00c} – C:\Program Files\TorrentMan\prxtbTor2.dll

—\\ Autres liens utilisateurs (O4)
O4 – GS\Desktop: BitLord.lnk . (.House of Life – BitLord.) — C:\Program Files\BitLord 2\Bitlord files\bitlord.exe

—\\ Logiciels installés (O42)
O42 – Logiciel: BitLord 2.1 – (.House of Life.)

[HKLM] — BitLord
O42 – Logiciel: BitLord 1.2 – (.House of Life.) [HKLM] — BitLord

—\\ HKCU & HKLM Software Keys
[HKCU\Software\WhenUSave] [HKLM\Software\WhenUSave] [HKCU\Software\bitlord]

—\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 21/06/2008 – 20:25:37 – [0] —-D C:\Program Files\M3Development_WhenUSave_Installer
O43 – CFD: 21/05/2013 – 19:43:53 – [55,926] —-D C:\Program Files (x86)\BitLord 2
O43 – CFD: 20/05/2013 – 09:57:57 – [8,376] —-D C:\Users\Coolman\AppData\Roaming\BitLord
O43 – CFD: 07/11/2012 – 23:57:16 – [1,358] —-D C:\Documents and Settings\Coolman\Application Data\BitLord
O43 – CFD: 22/06/2012 – 16:19:53 – [0,006] —-D C:\Documents and Settings\Coolman\Menu Démarrer\Programmes\BitLord

—\\ Export de clé d’application autorisée (O47)
O47 – AAKE:Key Export SP – « C:\Program Files\BitLord\BitLord.exe » [Enabled] .(…) (.not file.) — C:\Program Files\BitLord\BitLord.exe

—\\ ShareTools MSconfig StartupReg (SMSR) (O53)
O53 – SMSR:HKLM\…\startupreg\WhenUSave [Key] . (…) — C:\Program Files\Save\Save.exe

—\\ Firewall Active Exception List (FirewallRules) (O87)
O87 – FAEL: « TCP Query User{55424D91-C1A4-4EC2-801B-B7373FE7C481}C:\program files (x86)\bitlord\bitlord.exe » |In – Private – P6 – TRUE | .(…) — C:\program files (x86)\bitlord\bitlord.exe (.not file.)
O87 – FAEL: « UDP Query User{BC6C02BF-2323-444C-A0BE-174EC9FD9D16}C:\program files (x86)\bitlord\bitlord.exe » |In – Private – P17 – TRUE | .(…) — C:\program files (x86)\bitlord\bitlord.exe (.not file.)

—\\ Scan Additionnel (O88 )
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7c5c0f58-e061-457d-9033-77307f5ed00c}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\bitlord] [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\bitlord] [HKCU\Software\WhenUSave] [HKLM\Software\WhenUSave] [HKCU\Software\bitlord] C:\Program Files\M3Development_WhenUSave_Installer
C:\Program Files (x86)\BitLord
C:\Program Files (x86)\BitLord 2
C:\Users\Coolman\AppData\Roaming\BitLord
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BitLord
C:\Users\christio\AppData\Roaming\BitLord

Alias :

PUP.Hacktool.Patcher [MBAM] Adware.Win32.WhenUSave.AMN [Emsisoft] Adware/SaveNow [Fortinet] WebToolbar.Win32.WhenU.b [F-Secure] Adware/ClockSync

Liens :

TorrentMan Toolbar – a Conduit « Community Toolbar »
Remove WhenU.Save – Adware Removal Guide
Adware is any software application in which advertising is displayed while the program is running.

Supprimer (Remove) :

– Supprimer l’extension « BitLord » de tous les navigateurs installés,
– Supprimer l’extension « Toolbar.TorrentMan » de tous les navigateurs installés,
– Supprimer le plugin « BitLord » de tous les navigateurs installés,
– Supprimer le logiciel « BitLord » via le panneau de configuration Windows,
– Supprimer le logiciel « WhenUSave » via le panneau de configuration Windows,
– Modifier les pages de recherche et de démarrage de tous les navigateurs installés,
– Vider le cache des navigateurs
Nettoyer avec ZHPCleaner