PUP.Optional.ChatlandRedir

ChatlandRedir modifie les pages de recherche et de navigation de tous les navigateurs internet installés.
– Ce programme s’installe généralement à votre insu via le téléchargement de logiciels gratuits.
– Il redirige la recherche vers http://www.jerecherche.org, chercheUS,…
– Il recueille vos habitudes de navigations et les communique à un serveur (Tracking).
– Il assure la promotion de ses produits (publicités) et bouste le classement des sites sponsorisés.
– L’objectif de ce programme est de gagner de l’argent en générant du trafic Web.
– Fiche crée le 10/12/2011

Caractéristiques :

– Il appartient à une famille de PUP Optionnels (Potentially Unwanted Program).
– Vendeur : PUP.Optional.
pup.chatlandredir

Actions principales :

– Il pirate la page de démarrage du navigateur Google Chrome (G0),
– Il remplace la page de recherche du navigateur Google Chrome (G1),
– Il pirate la page de démarrage du navigateur Mozilla Firefox (M0),
– Il installe un plugin pour le navigateur Mozilla Firefox (M3),
– Il modifie la page de démarrage du navigateur Internet Explorer (R0),
– Il modifie la page de recherche du navigateur Internet Explorer (R1),
– Il s’installe dans la Base de Registres afin d’être lancé à chaque démarrage du système (O4),
– Il modifie les paramètres de sites dans la Zone de confiance d’Internet Explorer (O15),
– Il créé une clé de registre ShareTools MSconfig StartupReg (O53),
– Il modifie le fournisseur de recherche Internet (O69),

Aperçu ZHPDiag, NCDiag :

—\\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)
G1 – GCS: Preference

[User Data\Default] http://jerecherche.org
G0 – GCSP: Preference [User Data\Default] http://www.jerecherche.org
G0 – GCSP: Preference [User Data\Default][HomePage] http://www.jerecherche.org
G0 – GCSP: Preference [User Data\Default] http://www.jerecherche.org

—\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)
M0 – MFSP: prefs.js [Coolman – k38bvuzt.default] http://www.jerecherche.org
M3 – MFPP: Plugins – [Yves ECHAMPARD] — C:\Documents and Settings\Coolman\Application Data\Mozilla\Firefox\Profiles\1w7pmjpk.default\searchplugins\jerecherche.xml

—\\ Internet Explorer, Démarrage,Recherche,URLSearchHook, Phishing (R0,R1,R3,R4)
R0 – HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.jerecherche.org
R1 – HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://jerecherche.org
R1 – HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jerecherche.org
R1 – HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jerecherche.org
R1 – HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://jerecherche.org

—\\ Applications démarrées par registre & par dossier (O4)
O4 – HKCU\..\Run: [lan] . (…) — C:\Users\Coolman\chat-land\Chat-Landmessenger.jar
O4 – HKCU..\Run: [tempHome] C:\Users\Coolman\AppData\Local\Temp\racourci.vbe
O4 – HKUS\S-1-5-21-3404459497-2172828807-753186400-1000\..\Run: [lan] . (…) — C:\Users\Coolman\chat-land\Chat-Landmessenger.jar
O4 – HKUS\S-1-5-21-3404459497-2172828807-753186400-1000\..\Run: [tempHome] . (…) — ] C:\Users\Coolman\AppData\Local\Temp\racourci.vbe

—\\ Site dans la Zone de confiance d’Internet Explorer (O15)
O15 – Trusted Zone: [HKCU\…\Domains] *.jerecherche.org
O15 – Trusted Zone: [HKCU\…\Domains\www] *.jerecherche.org

—\\ ShareTools MSconfig StartupReg (SMSR) (O53)
O53 – SMSR:HKLM\…\startupreg\Chat-Landmessenger [Key] . (…) — C:\Users\Coolman\chat-land\Chat-Landmessenger.exe (.not file.)

—\\ Search Browser Infection (O69)
O69 – SBI: prefs.js [Coolman – 48y7pxev.default] user_pref(« CT2613520.SavedHomepage », « http://www.jerecherche.org/?nav=ff&zon=hp »);
O69 – SBI: prefs.js [Coolman – 48y7pxev.default] user_pref(« CommunityToolbar.SearchFromAddressBarSavedUrl », « http://www.jerecherche.org/ »);
O69 – SBI: prefs.js [Coolman – 48y7pxev.default] user_pref(« CommunityToolbar.originalHomepage », « http://www.jerecherche.org/?nav=ff&zon=hp »);

—\\ Scan Additionnel (O88 )
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:lan[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:tempHome
C:\Users\Coolman\chat-land
C:\Users\Coolman\AppData\Local\Temp\racourci.vbe
C:\Users\Coolman\chat-land\Chat-Landmessenger.jar

Liens :

jerecherche.org et chat-land.org
jerecherche.org fait partie des PUPs/LPIs (logiciels potentiellement indésirables)
Removing jerecherche.org / appinfo.exe search engine

Alias :

Hijack.starpage [Malwarebytes] Virus jecherche.org

Supprimer (Remove) :

– Modifier les pages de recherche et de démarrage de tous les navigateurs installés,
– Vider le cache des navigateurs
Nettoyer avec ZHPCleaner

2016-11-25T00:19:08+00:00Catégories : PUP|Mots-clés : |Commentaires fermés sur PUP.Optional.ChatlandRedir