PUP.Optional.Zugo

StartNow est une barre d’outil qui s’installe généralement à votre insu via le téléchargement de logiciels gratuits.
– Il recueille vos habitudes de navigations et les communique à un serveur (Tracking).
– Il redirige la recherche internet vers http://search.yahoo.com.
– Il assure la promotion de ses produits (publicités) et bouste le classement des sites sponsorisés.

Caractéristiques :

– Il appartient à une famille de PUP Optionnels (Potentially Unwanted Program).
– Vendeur : PUP.Optional.

Actions principales :

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il pirate la page de démarrage du navigateur Mozilla Firefox (M0),
– Il installe un plugin de navigateur Mozilla Firefox (M3),
– Il installe un programme d’extension pour le navigateur Google Chrome (G2),
– Il s’installe en tant de Browser Helper Object de Navigateur internet (O2),
– Il s’installe en tant que Toolbar de Navigateur internet (O3),
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il s’installe en tant que programme (O42),
– Il créé un dossier supplémentaire dans les dossiers de l’utilisateur (O43),
– Il crée des clés de Registre « Software »,
– Il crée dans le Registre une clé Legacy pointant sur un service malware (O64),
– Il modifie le fournisseur de recherche Internet (O69),
– Il crée de multiples fichiers et dossiers (O88 )

Aperçu ZHPDiag :

—-\\ Processus lancés

[MD5.70EB41A4417BA0AA36AE12BF2B4D98F6] – (…) — C:\Program Files\StartNow Toolbar\ToolbarUpdaterService.exe [244960] [PID.]

—\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)
M3 – MFPP: Plugins – [Administrateur] — C:\Documents and Settings\Coolman\Application Data\Mozilla\Firefox\Profiles\g0dd14jd.default\searchplugins\yahoo-zugo.xml
M0 – MFSP: prefs.js [Administrateur – g0dd14jd.default] http://klit.startnow.com

—\\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)
G2 – GCE: Preference [User Data\Default] [incfcgceegpikennjoplhfghaaikdgei] StartNow v.2.5.0 (Désactivé )

—\\ Browser Helper Objects de navigateur (O2)
O2 – BHO: StartNow Toolbar Helper – {6E13D095-45C3-4271-9475-F3B48227DD9F} . (.. – Toolbar.) — C:\Program Files\StartNow Toolbar\Toolbar32.dll

—\\ Internet Explorer Toolbars (O3)
O3 – Toolbar: StartNow Toolbar – {5911488E-9D1E-40ec-8CBB-06B231CC153F} . (.. – Toolbar.) — C:\Program Files\StartNow Toolbar\Toolbar32.dll

—\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 – Service: Updater Service for StartNow Toolbar () . (…) – C:\Program Files\StartNow Toolbar\ToolbarUpdaterService.exe

—\\ Logiciels installés (O42)
O42 – Logiciel: StartNow Toolbar – (.StartNow.com.) [HKLM] — StartNow Toolbar

—\\ HKCU & HKLM Software Keys
[HKCU\Software\Zugo]

—\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 03/12/2011 – 10:57:38 – [1,240] —-D- C:\Program Files\StartNow Toolbar

—\\ Liste des services Legacy (LALS) (O64)
O64 – Services: CurCS – 25/10/2011 – C:\Program Files\StartNow Toolbar\ToolbarUpdaterService.exe – Updater Service for StartNow Toolbar (Updater Service for StartNow Toolbar) .(…) – LEGACY_UPDATER_SERVICE_FOR_STARTNOW_TOOLBAR

—\\ Search Browser Infection (O69)
O69 – SBI: SearchScopes [HKCU] {0388404D-6072-4CEB-B521-8F090FEAEE57} [DefaultScope] – (Yahoo!) – http://klit.startnow.com
O69 – SBI: SearchScopes [HKCU] {B224AA02-F7C8-3A2B-859F-560B80767E4A} – (Yahoo!) – http://kl.startnow.com

—\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SR – | Auto 244960 | (Updater Service for StartNow Toolbar) . (…) – C:\Program Files\StartNow Toolbar\ToolbarUpdaterService.exe

—\\ Scan Additionnel (O88 )[HKLM\Software\Google\Chrome\Extensions\incfcgceegpikennjoplhfghaaikdgei] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6E13D095-45C3-4271-9475-F3B48227DD9F}] [HKLM\SYSTEM\CurrentControlSet\Services\Updater Service for StartNow Toolbar] [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATER_SERVICE_FOR_STARTNOW_TOOLBAR] [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\StartNow Toolbar] [HKCU\Software\Zugo] C:\Users\Coolman\AppData\Local\Google\Chrome\User Data\Default\Extensions\incfcgceegpikennjoplhfghaaikdgei
C:\Program Files\StartNow Toolbar
C:\Users\Coolman\AppData\Roaming\StartNow Toolbar
C:\Program Files\StartNow Toolbar\Toolbar32.dll

Liens :

www.systemlookup.com
www.threatexpert.com
malwaretips.com

Alias :

PUP.startnow toolbar
StartNow Toolbar
Search.StartNow.com

Supprimer (Remove) :

– Supprimer l’extension « StartNow » de tous les navigateurs installés,
– Supprimer le plugin « StartNow » de tous les navigateurs installés,
– Supprimer le logiciel « StartNow Toolbar » via le panneau de configuration Windows,
– Modifier les pages de recherche et de démarrage de tous les navigateurs installés,
– Vider le cache des navigateurs
Nettoyer avec ZHPCleaner

2016-11-25T00:19:11+00:00Catégories : PUP, Toolbar|Mots-clés : , |Commentaires fermés sur PUP.Optional.Zugo