PUP.Optional.Offerware

Offerware s’installe généralement à votre insu via le téléchargement de logiciels gratuits.
– Il s’installe avec des noms aléatoires comme CoNtoinnueyTTosoaave,coNttienuetoosaavee,caOnutinuetOOsave,…
– Il recueille vos habitudes de navigations et les communique à un serveur.
– Recensé le 16/05/2012.

Caractéristiques :

– Il appartient à une famille de PUP Optionnels (Potentially Unwanted Program).
– Vendeur : PUP.Optional.

Actions principales :

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il installe un programme d’extension pour le navigateur Google Chrome (G2),
– Il installe un programme d’extension pour le navigateur Mozilla Firefox (M2),
– Il s’installe en tant que BHO (Browser Helper Object) de Navigateur internet (O2),
– Il s’installe en tant que valeur de registre AppInit_DLLs (O20),
– Il démarre une tâche planifiée en automatique (O39),
– Il s’installe en tant que programme (O42),
– Il crée des dossiers supplémentaires (O43),
– Il s’installe dans le dossier Windows prefetcher (O45),
– Il pollue la base de Registres avec de nombreuses clés et valeurs (O88 ),
– Il crée de multiples fichiers et dossiers (O88 ),

Similitudes (Multiplug) :

Adware.Browse2Save, PUP.CoolSaleCoupon, PUP.Deal2Dealit, Adware.DownloadnSave, PUP.EasyToShop, Adware.eBookBrowse, PUP.FlexibleShoper, Adware.MagniPic, PUP.MinimumPrice, PUP.NetCoupon, PUP.RandomPrice, PUP.RoboSaver, Adware.SafeSave, Adware.SaveShare, PUP.SaverOn, Adware.SurfAndKeep, PUP.TableViewer, PUP.TabAllConvert, PUP.UTubeNoAdS, PUP.WatchAdBlock, PUP.WebSave, PUP.WOwCoupon,PUP.BrowseMark, PUP.UTubeAdRemoval, PUP.DiscountExtens, PUP.RemoveTheADApp, PUP.DiGiCoupon, PUP.CostMin, PUP.SaveOn, PUP.ContentExplorer, PUP.DownSave

Aperçu ZHPDiag :

—\\ Processus lancés
[MD5.2960400094498DAE47B36173286D76A0] – (.Pas de propriétaire – Updater.) — C:\ProgramData\BetterSoft\ContinueToSave\ContinueToSave.exe [348160] [PID.3696]

—\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2)
M2 – MFEP: prefs.js [Coolman – pvda42x7.default\lpag1vdrud1@jleys.net] [] coNttienuetoosaavee v3.9 (..)
M2 – MFEP: prefs.js [Coolman – pvda42x7.default\hfbhti0au@eo-dcmojl.com] [] CoNtoinnueyTTosoaave v3.9 (..)
M2 – MFEP: prefs.js [Coolman – pvda42x7.default\hfbhti0au@eo-dcmojl.com] [] CoNtoinnueyTTosoaave v3.9 (..)
M2 – MFEP: prefs.js [Coolman – pvda42x7.default\fkbg@uuuu.net] [] caOnutinuetOOsave v3.9 (..)

—\\ Browser Helper Objects de navigateur (O2)
O2 – BHO: continuetosave [64Bits] – {766B7FB8-CB68-76CC-A41B-0DDB58862878} . (…) — C:\ProgramData\continuetosave\511a5fd740475.dll
O2 – BHO: continuetosiavee [64Bits] – {108BB739-E41F-EC5D-F33B-0577AA221711} . (…) — C:\ProgramData\continuetosiavee\518424cbcad93.dll
O2 – BHO: coontinouuetosoAve – {1C4B81E7-CF47-D06D-7967-35BFF7EE01F8} . (…) — C:\ProgramData\coontinouuetosoAve\519d26f946d28.dll
O2 – BHO: caOntuinueattousavve – {39D3C41B-613E-8E6B-773C-1E118AA2D4E9} . (…) — C:\ProgramData\caOntuinueattousavve\51a100b9accab.dll

—\\ Tâches planifiées en automatique (O39)
O39 – APT:Automatic Planified Task – C:\Windows\Tasks\schedule!1143840799.job [436]
[MD5.2960400094498DAE47B36173286D76A0] [APT] [schedule!1143840799] (…) — C:\ProgramData\BetterSoft\ContinueToSave\ContinueToSave.exe [348160]

—\\ Logiciels installés (O42)
O42 – Logiciel: ContinueToSave – (.BetterSoft.) [HKLM][64Bits] — ContinueToSave
O42 – Logiciel: ContinueToSave 1.74 – (…) [HKLM][64Bits] — SP_e14dcdfa
O42 – Logiciel: continuetosave – (.continue to save.) [HKLM][64Bits] — {C1C6816E-CBB3-A748-85F9-A8B47B68985B}
O42 – Logiciel: coNttienuetoosaavee – (.continue to save.) [HKLM][64Bits] — {C1C6816E-CBB3-A748-85F9-A8B47B68985B}
O42 – Logiciel: ContinueToSave – (…) [HKLM][64Bits] — {1D7F1AA8-B058-45CE-A725-F87AC69C385E}

—\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 12/02/2013 – 17:01:01 – [1,536] —-D C:\Program Files (x86)\ContinueToSave
O43 – CFD: 2013-04-16 – 14:45:35 – [0,072] —-D C:\ProgramData\coNttienuetoosaavee

—\\ Derniers fichiers créés dans Windows Prefetcher (O45)
O45 – LFCP:[MD5.F94E198DEDAD7A1B0534362329BB8110] – 15/05/2013 – 14:20:08 —A- – C:\Windows\Prefetch\CONTINUETOSAVE.EXE-13D5D185.pf

—\\ Scan Additionnel (O88 )
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{766B7FB8-CB68-76CC-A41B-0DDB58862878}]
[HKLM\Software\Classes\CLSID\{766B7FB8-CB68-76CC-A41B-0DDB58862878}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{766B7FB8-CB68-76CC-A41B-0DDB58862878}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{766B7FB8-CB68-76CC-A41B-0DDB58862878}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{108BB739-E41F-EC5D-F33B-0577AA221711}]
[HKLM\Software\Classes\CLSID\{108BB739-E41F-EC5D-F33B-0577AA221711}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{108BB739-E41F-EC5D-F33B-0577AA221711}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{108BB739-E41F-EC5D-F33B-0577AA221711}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1C4B81E7-CF47-D06D-7967-35BFF7EE01F8}]
[HKLM\Software\Classes\CLSID\{1C4B81E7-CF47-D06D-7967-35BFF7EE01F8}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1C4B81E7-CF47-D06D-7967-35BFF7EE01F8}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1C4B81E7-CF47-D06D-7967-35BFF7EE01F8}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39D3C41B-613E-8E6B-773C-1E118AA2D4E9}]
[HKLM\Software\Classes\CLSID\{39D3C41B-613E-8E6B-773C-1E118AA2D4E9}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{39D3C41B-613E-8E6B-773C-1E118AA2D4E9}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{39D3C41B-613E-8E6B-773C-1E118AA2D4E9}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ContinueToSave]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SP_{random}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{C1C6816E-CBB3-A748-85F9-A8B47B68985B}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{1D7F1AA8-B058-45CE-A725-F87AC69C385E}]
C:\Program Files (x86)\continuetosave
C:\ProgramData\continuetosave
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\continuetosave
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\contiNuetoasavve
C:\Users\Jean-Paul.TAFFE\AppData\LocalLow\continuetosave
C:\ProgramData\continuetosave
C:\ProgramData\coNttienuetoosaavee
C:\Windows\Tasks\schedule!1143840799.job

Alias :

Win32/Adware.MultiPlug [ESET Nod32]
Adware.Win32.FastSaveApp [Microsoft]
PUP.Optional.Multiplug.A [Malwarebytes]
Adware.MegaSearch
PUP.Multiplug

 

Supprimer (Remove) :

– Supprimer l’extension « ContinueToSave » de tous les navigateurs installés,
– Supprimer le plugin « ContinueToSave » de tous les navigateurs installés,
– Supprimer le logiciel « ContinueToSave » via le panneau de configuration Windows,
– Modifier les pages de recherche et de démarrage de tous les navigateurs installés,
– Vider le cache des navigateurs
Nettoyer avec ZHPCleaner

2015-11-21T10:58:12+00:00Catégories : PUP|Mots-clés : |Commentaires fermés sur PUP.Optional.Offerware