PUP.Optional.Tracur

Tracur s’installe à votre insu via le téléchargement de gratuiciels. Il recueille vos habitudes de navigations et les communique à des serveurs (Tracking). Il se propage via les réseaux de partage de fichier (Peer To Peer). Il usurpe des noms de propriétaire légitime comme Inprise ou Borland Corporation. Recensé le 20/11/2010.

Caractéristiques Tracur :

– Il appartient à une famille de PUP Optionnels (Potentially Unwanted Program).
– Vendeur : PUP.Optional.

Actions principales Tracur :

– Il s’installe en tant que processus lancé au démarrage du système,
– Il s’installe en tant de Browser Helper Object de Navigateur internet,
– Il s’installe en tant que valeur de registre AppInit_DLLs,
– Il s’installe en tant que valeur de registre Winlogon Notify (autorun)(O20),
– Il s’installe en tant que service pour être lancé à chaque démarrage du système,
– Il installe un grand nombre de processus dans le dossier %System32%,
– Il s’installe en tant qu’application démarrée par le registre,

Aperçu ZHPDiag pour Tracur:

—\\ Processus lancés

[MD5.960AD562B1C7B905543402360F5DB7C2] – (…) — C:\WINDOWS\uxtuneupwow.exe [498688] [MD5.B3048A28ECEAA5ACB4EF09C0540832B9] – (.CodeGear – CodeGear File Information Dumper.) — C:\Users\Coolman\AppData\Roaming\SysWin\lsass.exe [166400] [MD5.CAE3A85A31FF0F36E38D4B3D05DA6A99] – (.Pas de propriétaire – Media Dashboard.) — C:\Windows\SysWOW64\lnsecsl.exe [1219741] [PID.348] [MD5.77D6C756EC70063758D0F0D31EF56EDE] – (.Pas de propriétaire – Media Dashboard.) — C:\Windows\TEMP\mrtEF99.tmp\stdrt.exe [647168] [PID.30292]

—\\ Browser Helper Objects de navigateur (O2)
O2 – BHO: (no name) – {013C5847-1BAF-4116-B6B5-54F217D1FF0E} . (.Inprise Corporation – Dynamic Link Run Time Library (VCL MT).) — C:\Windows\system32\COLORCNV32.dll
O2 – BHO: (no name) – {018EF03C-9D36-4765-BA50-9A29FFC47E48} . (.Inprise Corporation – Dynamic Link Run Time Library (VCL MT).) — C:\Windows\system32\COLORCNV32.dll
O2 – BHO: c664b84b – {0DB20761-F95D-6C6C-D40C-056CB7057E16} . (.Inprise Corporation – Dynamic Link Run Time Library (VCL MT).) — C:\Windows\system32\fdWNet32.dll
O2 – BHO: (no name) – {009B59BF-0E33-4CE2-8C6A-9FD50EEA72E2} . (.Inprise Corporation – Dynamic Link Run Time Library (VCL MT).) — C:\WINDOWS\system32\ativtmxx32.dll
O2 – BHO: (no name) – {01A78EF5-2ACA-46BA-AF2C-C20534085EA0} . (.Borland Software Corporation – Borland MIDAS Component Package.) — C:\WINDOWS\system32\ativcoxx32.dll
O2 – BHO: a4302e09 – {2ED9B7EF-A16E-9F1D-AC79-2901303176FF} . (.B (0021)orland Software [DW]=CoIXration – Borland MIDAS Component Package.) — C:\WINDOWS\system32\mmcshext32.dll
O2 – BHO: (no name) – {0C940060-1B41-4187-B87D-CBE0A16BEFE3} . (.Borland Software Corporation – Xerces XML DOM Interfaces.) — C:\Windows\system32\atiumdva32.dll
O2 – BHO: f6856ba9 – {A2B822CD-A093-8F09-6B7B-91F09C2DF0B7} . (.Borland Software Corporation – Xerces XML DOM Interfaces.) — C:\ProgramData\atiumdva32.dll)

—\\ Applications démarrées automatiquement par le registre (O4)
O4 – HKLM\..\Run: [uxtuneupwow.exe] . (…) — C:\WINDOWS\uxtuneupwow.exe
O4 – HKCU\..\Run: [] . (.CodeGear – CodeGear File Information Dumper.) — C:\Users\Coolman\AppData\Roaming\SysWin\lsass.exe
O4 – HKUS\S-1-5-21-4182469038-619941005-1582301568-1000\..\Run: [RTHDBPL] . (.CodeGear – CodeGear File Information Dumper.) — C:\Users\Coolman\AppData\Roaming\SysWin\lsass.

—\\ Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20)
O20 – AppInit_DLLs: . (.Inprise Corporation – Dynamic Link Run Time Library (VCL MT).) – C:\WINDOWS\System32\fdWNet32.dll
O20 – Winlogon Notify: acfe08c9982 . (.Borland Software Corporation – IDE XML Parser interface.) — C:\WINDOWS\system32\dot3msm32.dll
O20 – AppInit_DLLs: . (.Borland Software Corporation – Borland MIDAS Component Package.) – C:\WINDOWS\system32\mmcshext32.dll
O20 – AppInit_DLLs: . (.Borland Software Corporation – Xerces XML DOM Interfaces.) – C:\ProgramData\atiumdva32.dll

—\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 – Service: Superfetch (SysMain32) . (…) – C:\Windows\system32\COLORCNV32.exe
O23 – Service: Adobe Licensing Console (Adobe Licensing Console) . (.Pas de propriétaire – Windows Media Center Diagnostic Application.) – C:\Windows\SysWOW64\msvfd32.exe
O23 – Service: Adobe Licensing Console (Adobe Licensing Console) . (.Pas de propriétaire – Media Dashboard.) – C:\Windows\SysWOW64\lnsecsl.exe

—\\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)
O44 – LFC:[MD5.D8D4CE1E77BE19AECF8A7D46525F1617] – 20/10/2010 – 20:36:28 —A- . (…) — C:\Windows\System32\GnuHashes.ini [1872] O44 – LFC:[MD5.762D061BC427C16CDCF44C1DECCBA143] – 19/10/2010 – 15:47:52 —A- . (.Inprise Corporation – Dynamic Link Run Time Library (VCL MT).) — C:\Windows\System32\fdWNet32.dll [250880] O44 – LFC:[MD5.E74A0884F59478BF8D65049672F914E4] – 19/10/2010 – 15:45:12 —A- . (.Inprise Corporation – Dynamic Link Run Time Library (VCL MT).) — C:\Windows\System32\devenum32.dll [365056] O44 – LFC:[MD5.0597417DCFD2BDE8DA964F0802973E93] – 19/10/2010 – 15:09:02 —A- . (.Inprise Corporation – Dynamic Link Run Time Library (VCL MT).) — C:\Windows\System32\bitsigd32.dll [359936] O44 – LFC:[MD5.E74A0884F59478BF8D65049672F914E4] – 19/10/2010 – 15:08:26 —A- . (.Inprise Corporation – Dynamic Link Run Time Library (VCL MT).) — C:\Windows\System32\COLORCNV32.dll [365056] O44 – LFC:[MD5.D4EEB0D3CA3F03B6847D4F7099376544] – 19/10/2010 – 15:08:24 —A- . (…) — C:\Windows\System32\COLORCNV32.exe [1338880] O44 – LFC:[MD5.D4EEB0D3CA3F03B6847D4F7099376544] – 19/10/2010 – 15:08:24 —A- . (…) — C:\Windows\System32\compstui32.exe [1338880] O44 – LFC:[MD5.026358E573048839D0D83227F1DF7F2A] – 31.10.2010 – 17:38:49 -SHA- . (.Inprise Corporation – Dynamic Link Run Time Library (VCL MT).) — C:\WINDOWS\System32\1.tmp [1121280] O44 – LFC:[MD5.2CBB6331628C612BDFFADFEF58CF340F] – 22.10.2010 – 22:32:03 —A- . (.Inprise Corporation – Dynamic Link Run Time Library (VCL MT).) — C:\WINDOWS\System32\ativtmxx32.dll [372736] O44 – LFC:[MD5.B28DD447C434C0533663F8F4D2BFA0F8] – 30/12/2010 – 22:06:27 -SHA- . (.Borland Software Corporation – Borland MIDAS Component Package.) — C:\WINDOWS\System32\51.tmp [1073152] O44 – LFC:[MD5.9DC89F663A49C83FB790B40508B2B8AB] – 30/12/2010 – 22:06:17 —A- . (.Borland Softem32\mmcshext32.dll [252928] O44 – LFC:[MD5.99695523FA23CF46DE1B442A195D6354] – 30/12/2010 – 22:06:12 —A- . (.Borland Software Corporation – Borland MIDAS Component Package.) — C:\WINDOWS\System32\ativcoxx32.dll [415744] O44 – LFC:[MD5.B3048A28ECEAA5ACB4EF09C0540832B9] – 03/02/2011 – 23:56:04 —A- . (.CodeGear – CodeGear File Information Dumper.) —

—\\ Export de clé d’application autorisée (ECAA) (O47)
O47 – AAKE:Key Export SP – « C:\WINDOWS\uxtuneupwow.exe » [Enabled] .(…) (.not file.) — C:\WINDOWS\uxtuneupwow.exe

—\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SR – | Auto 19/10/2010 1338880 | C:\Windows\system32\COLORCNV32.exe (SysMain32) . (…) – C:\Windows\system32\COLORCNV32.exe
SS – | Auto 0 | (Adobe Licensing Console) . (…) – C:\Windows\System32\msvfd32.exe
SS – | Auto 20/07/2012 1219741 | (Adobe Licensing Console) . (…) – C:\Windows\SysWOW64\lnsecsl.exe

—\\ Scan Additionnel (O88 )[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:uxtuneupwow.exe[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:RTHDBPL[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{013C5847-1BAF-4116-B6B5-54F217D1FF0E}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{018EF03C-9D36-4765-BA50-9A29FFC47E48}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0DB20761-F95D-6C6C-D40C-056CB7057E16}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{009B59BF-0E33-4CE2-8C6A-9FD50EEA72E2}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01A78EF5-2ACA-46BA-AF2C-C20534085EA0}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2ED9B7EF-A16E-9F1D-AC79-2901303176FF}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0C940060-1B41-4187-B87D-CBE0A16BEFE3}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A2B822CD-A093-8F09-6B7B-91F09C2DF0B7}] [HKLM\SYSTEM\CurrentControlSet\Services\SysMain32] [HKLM\SYSTEM\CurrentControlSet\Services\Adobe Licensing Console]

Liens Tracur :

Trojan.Tracur is a Trojan horse that redirects web search queries to a malicious URL…
A trojan that secretly downloads malicious files from a remote server
Remove Trojan.Tracur (Uninstall Guide)

Alias Tracur :

Trojan.Tracur [Symantec] Trojan-Downloader:W32/Tracur [F-Secure] Trojan Win32 Tracur.AV

Supprimer (Remove) Tracur :

– Modifier les pages de recherche et de démarrage de tous les navigateurs installés,
– Vider le cache des navigateurs
Nettoyer avec ZHPCleaner

2016-11-25T00:19:06+00:00Catégories : PUP, Toolbar|Mots-clés : , |Commentaires fermés sur PUP.Optional.Tracur