Hijacker.Proxy

– Un détournement Proxy avec une donnée ProxyOverride en boucle (“loopback”) peut bloquer toutes les ressources de votre système. Seul un arrêt manuel de la station peut mettre fin au bouclage.

Caractéristiques :

– Il appartient à une famille d’hijackers.
– Un hijacker pirate les pages de démarrage et de recherche des navigateurs internet.
– Il s’installe en tant que programme avec des noms variables “Notation” d’Advernet, “Homepage” de TheBestMatch,
– Développé par la société Unknown

Actions principales :

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il installe un programme d’extension pour le navigateur Mozilla Firefox (M2),
– Il modifie les paramètres Proxy pour Microsoft Internet Explorer (R5)
– Il s’installe dans la Base de Registres afin d’être lancé à chaque démarrage du système (O4),
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il s’installe en tant que programme (O42),
– Il crée des dossiers supplémentaires (O43),
– Il place un fichier de package MSI dans le dossier systeme Installer (O93)

Aperçu ZHPDiag, NCDiag :

—\\ Processus lancés
[MD5.50D981FC745F85C16EB78DF6202A9D42] – (.TheBestMatch – Homepage.) — C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe [273408] [PID.3644]
[MD5.C35DBD373D64FE3B8443E194DAA73150] – (.TheBestMatch – Homepage.) — C:\Program Files (x86)\TheBestMatch\Homepage\Homepage.exe [49664] [PID.]
[MD5.BB49EFB7F60B1624B0C060333D98922A] – (.TheBestMatch – HPMonitor.) — C:\Program Files (x86)\TheBestMatch\Homepage\HPMonitor.exe [30720] [PID.]
[MD5.940E626BC470367D5407C839B2CA696A] – (.Advernet – Notation.) — C:\Program Files\Notation\Notation.exe [54912] [PID.428]
[MD5.79AFB20A741152D24D967C75407E0332] – (.Advernet – SavdmMonitor.) — C:\Program Files\Notation\NotationMonitor.exe [33920] [PID.2140]

—\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)
M2 – MFEP: prefs.js [Coolman – 2q20i0cq.default\foxyproxy@eric.h.jung] [] FoxyProxy Basic v3.1.4 (..)
M2 – MFEP: prefs.js [Coolman – 2q20i0cq.default\foxyproxy@eric.h.jung] [] FoxyProxy Basic v3.2 (..)

—\\ Internet Explorer, Proxy Management (R5)
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <-loopback>
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8877;https=127.0.0.1:8877
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:56847
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888;https=127.0.0.1:8888
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 1
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1

—\\ Applications démarrées par registre & par dossier (O4)
O4 – HKCU\..\Run: [systray] . (.TheBestMatch – Homepage.) — C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe
O4 – HKUS\S-1-5-18\..\Run: [systray] . (.TheBestMatch – Homepage.) — C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe
O4 – HKUS\S-1-5-19\..\Run: [systray] . (.TheBestMatch – Homepage.) — C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe
O4 – HKUS\S-1-5-20\..\Run: [systray] . (.TheBestMatch – Homepage.) — C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe
O4 – HKUS\S-1-5-21-3142596488-2730052083-1217821645-1000\..\Run: [systray] . (.TheBestMatch – Homepage.) — C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe
O4 – HKUS\S-1-5-18\..\Run: [systray] . (.Advernet – Notation.) — C:\Program Files\Notation\NotationSysTray.exe
O4 – HKUS\S-1-5-19\..\Run: [systray] . (.Advernet – Notation.) — C:\Program Files\Notation\NotationSysTray.exe
O4 – HKUS\S-1-5-20\..\Run: [systray] . (.Advernet – Notation.) — C:\Program Files\Notation\NotationSysTray.exe

—\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 – Service: (Homepage) . (.TheBestMatch – Homepage.) – C:\Program Files (x86)\TheBestMatch\Homepage\Homepage.exe
O23 – Service: HPMonitor (HPMonitor) . (.TheBestMatch – HPMonitor.) – C:\Program Files (x86)\TheBestMatch\Homepage\HPMonitor.exe
O23 – Service: (Notation) . (.Advernet – Notation.) – C:\Program Files\Notation\Notation.exe
O23 – Service: NotationMonitor (NotationMonitor) . (.Advernet – SavdmMonitor.) – C:\Program Files\Notation\NotationMonitor.exe

—\\ Logiciels installés (O42)
O42 – Logiciel: Homepage – (.TheBestMatch.) [HKLM][64Bits] — {29633E53-BF13-41B5-9E10-19D7843BD9C3}
O42 – Logiciel: Notation – (.Advernet.) [HKLM] — {29633E53-BF13-41B5-9E10-19D7843BD9C3}

—\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 20/10/2012 – 20:52:34 – [1,565] —-D C:\Program Files (x86)\TheBestMatch
O43 – CFD: 20/10/2012 – 20:52:36 – [0,002] —-D C:\Users\Coolman\AppData\Local\TheBestMatch
O43 – CFD: 30/01/2013 – 02:54:01 – [1,739] —-D C:\Program Files\Notation
O43 – CFD: 30/01/2013 – 02:52:56 – [0,222] —-D C:\Users\Coolman\AppData\Local\Notation

—\\ Derniers fichiers modifiés ou crées (Utilisateur) (O61)
O61 – LFC: 27/05/2013 – 17:02:23 —A- C:\Users\Coolman\AppData\Local\Notation\config.dat [802]
O61 – LFC: 27/05/2013 – 21:02:47 —A- C:\Users\Coolman\AppData\Local\Notation\domains.dat [287090]

—\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SR – | Auto 27/07/2012 49664 | (Homepage) . (.TheBestMatch.) – C:\Program Files (x86)\TheBestMatch\Homepage\Homepage.exe
SR – | Auto 27/07/2012 30720 | (HPMonitor) . (.TheBestMatch.) – C:\Program Files (x86)\TheBestMatch\Homepage\HPMonitor.exe
SR – | Auto 28/12/2012 54912 | (Notation) . (.Advernet.) – C:\Program Files\Notation\Notation.exe
SR – | Auto 28/12/2012 33920 | (NotationMonitor) . (.Advernet.) – C:\Program Files\Notation\NotationMonitor.exe

—\\ Scan Additionnel (O88 )
[HKLM\SYSTEM\CurrentControlSet\Services\Homepage]
[HKLM\SYSTEM\CurrentControlSet\Services\HPMonitor]
[HKLM\SYSTEM\CurrentControlSet\Services\Notation]
[HKLM\SYSTEM\CurrentControlSet\Services\NotationMonitor]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{29633E53-BF13-41B5-9E10-19D7843BD9C3]
C:\Program Files (x86)\TheBestMatch
C:\Users\Coolman\AppData\Local\TheBestMatch
C:\Program Files\Notation

—\\ Windows Installer Scan (NTFS)(O93)
[MD5.6494BC85A3703C40528E66CDA37BF791] [WIS][18/01/2013] (.Advernet – .) — C:\Windows\Installer\ce2a255.msi [1084928]

Liens :

R5 – ProxyOverride en mode Loopback

Supprimer (Remove) :

Nettoyer avec ZHPCleaner

Les commentaires sont fermés.

Retour haut de page