5/5 - (1 vote)

ChangeLog (Mai 2017)

Les logiciels de la série ZHP sont mis à jour quotidiennement. Vous trouverez dans cet article les principales informations sur les modifications apportées. Ces modifications peuvent porter aussi bien sur une mise à jour des modules que sur un ajout de données en table. Lorsque cela le permet un lien donne des informations complémentaires sur la nature de la modification, c'est le cas notamment pour les nouveaux éléments détectés ou pour les mises à jour d'articles.

Logiciel légitime superflu.

29/05/2017 – Logiciel Potentiellement Superflu Advance SystemCare Suite (LPS)

O42 – Logiciel: Advance SystemCare Suite – (..) [HKLM] — {F751A81C-AAF7-4E24-8E40-231FD881A20B}_is1
HKLM\SOFTWARE\Advance SystemCare Suite For COOLMAN-PC

21/05/2017 – Logiciel Potentiellement Superflu WindowsTM (LPS)

O23 – Service: TMService (TMService) . (.Smart Software, Inc. – TMTips System Service.) – C:\Program Files\WindowsTM\TMService.exe
O42 – Logiciel: WindowsTM – (..) [HKLM] — WindowsTM

16/05/2017 – Logiciel Potentiellement Superflu Gplyra (LPS)

O4 – HKLM\..\Run: [gplyra] . (…) — C:\Users\Coolman\AppData\Roaming\gplyra\gplyra.exe
[MD5.3B59390AA57409ECA0B712AFB43CE5D4] – (…) — C:\Users\Coolman\AppData\Roaming\gplyra\gplyra.exe [1555968] [PID.2488]

15/05/2017 – Logiciel Potentiellement Superflu Weather Buddy (LPS)

O42 – Logiciel: WeatherBuddy – (.ELLS LLC.) [HKLM][64Bits] — {AE415C13-7935-4681-B33B-36C4F47B35B7}

07/05/2017 – Catalina Marketing Corporation est un éditeur américain (Floride) qui développe principalement des logiciels publicitaires (Adware).

Numéro de série : 0A236906277CCA1D180B2EC92A3F5D7D
P2 – EXT: (.Catalina Marketing Corporation – CouponNetwork Coupon Activator.) — C:\Program Files (x86)\Mozilla Firefox\Plugins\NPcol400.dll
Reason Heuristics PUP.Installer.CatalinaMarketingCorp
Boost by Reason Adware.Installer.CatalinaMarketingCorp.T, Optional.MozillaPlugin.CatalinaMarketing
ZHPCleaner  Superfluous.CatalinaMarketing

06/05/2017 – Logiciel Potentiellement Superflu PcRegBoost (LPS)

O4 – HKCU\..\Run: [WindowsGen] . (.Copyright © 2016 – WindowsGen.) — C:\Program Files (x86)\PcRegBoost\WindowsGen.exe
O4 – HKUS\S-1-5-21-3320059701-3397161431-519700241-1001\..\Run: [WindowsGen] . (.Copyright © 2016 – WindowsGen.) — C:\Program Files (x86)\PcRegBoost\WindowsGen.exe
[MD5.D4F4D149CAC8D6E387618621FC2D36A8] – (.Copyright © 2016 – WindowsGen.) — C:\Program Files (x86)\PcRegBoost\WindowsGen.exe [135928] [PID.7568]
O4 – GS\CommonDesktop [Public]: PcRegBoost.lnk . (.Copyright © 2016 – PcRegBoost.) C:\Program Files (x86)\PcRegBoost\PcRegBoost.exe
O4 – GS\ProgramsCommon [Public]: PcRegBoost.lnk . (.Copyright © 2016 – PcRegBoost.) C:\Program Files (x86)\PcRegBoost\PcRegBoost.exe
O42 – Logiciel: PcRegBoost version 1.3 – (.iNextITNetwork.) [HKLM][64Bits] — {D4FD61C1-0B3B-44D1-9BBF-12A14B0BF915}_is1
O43 – CFD: 05/05/2017 – [] D — C:\Program Files (x86)\PcRegBoost

01/05/2017 – Logiciel Potentiellement Superflu.Elex.kitty (LPS)  (VirusTotal)

O23 – Service: (Kitty) . (.kitty – kitty.) – C:\Users\Coolman\AppData\Local\Kitty\Kitty.dll
SR – Auto [28/04/2017] [ 257024] (Kitty) . (.kitty.) – C:\Users\Coolman\AppData\Local\Kitty\Kitty.dll
O43 – CFD: 28/04/2017 – [] D — C:\Users\Coolman\AppData\Local\Kitty
O61 – LFC: 2017/04/28 21:14:36 A . (.kitty.) — C:\Users\Coolman\AppData\Local\Kitty\Kitty.dll [257024]

 Logiciel Potentiellement Indésirable.

05/05/2017 – Logiciel Optionnel Potentiellement Indésirable RocketSale (Adware.Multiplug)

TROUVÉ fichier: C:\Program Files\rocckketsAleo\rocckketsAleo.dat
TROUVÉ dossier: C:\Program Files\rocckketsAleo

03/05/2017 – Logiciel Optionnel Potentiellement Indésirable NeoBar (PUP)

TROUVÉ fichier: C:\Users\Coolman\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_jljkokagfomhfahkliblkggbiilcppnb_0.localstorage
TROUVÉ fichier: C:\Users\Coolman\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_jljkokagfomhfahkliblkggbiilcppnb_0.localstorage-journal
TROUVÉ dossier: C:\Users\Coolman\AppData\Local\Google\Chrome\User Data\Default\Extensions\jljkokagfomhfahkliblkggbiilcppnb
C:\Users\Coolman\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\jljkokagfomhfahkliblkggbiilcppnb
Malwarebytes PUP.Optional.NeoBar.ChrPRST
ZHPCleaner Adware.Agent

01/05/2017 – Logiciel Optionnel Potentiellement Indésirable Perion (PUP) (VirusTotal)

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SkywalkerSetup7ZLMI0BC.exe
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SkywalkerSetupDN7QRXW4.exe
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SkywalkerSetupQPZ83E7O.exe
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SkywalkerSetupUQ5PWVBN.exe
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SkywalkerSetupYV2SM5WD.exe
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WSSetup1XWI0E09.exe
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WSSetupCUEAM6VG.exe
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WSSetupQL0BFHUN.exe

 Logiciel Pirate de Navigateur.

30/05/2017 – Pirate de navigateurs launchpage (hxxp://launchpage.org) (Browser Hijacker)

O4 – GS\Quicklaunch [Administrateur]: Google Chrome.lnk . (.Google Inc. – Google Chrome.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe https://launchpage.org/
O4 – GS\TaskBar [Administrateur]: Google Chrome.lnk . (.Google Inc. – Google Chrome.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe https://launchpage.org/

16/05/2017 – Pirate de navigateurs Our Lucky Sites (www.ourluckysites.com) (Browser Hijacker)

G0 – GCSP: Secure Preferences [User Data\Default][HomePage] https://www.ourluckysites.com/
M0 – MFSP: prefs.js [Coolman – v17ldl0p.default] https://www.ourluckysites.com/

02/05/2017 – Barre d’outils, pirate de navigateurs WebmailWorld (Browser Hijacker)

G2 – GCE: Preference [User Data\Default] [jihpaielhdfkkagjmckmlhmoplfgaaoa] WebmailWorld
Reason PUP.Ask.ChromePlugin

 Logiciel publicitaire.

16/05/2017 – Logiciel Publicitaire TubeTime (Adware)

O42 – Logiciel: TubeTime – TubeTime for Desktop – (.TubeTime.) [HKLM][64Bits] — TubeTime
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\TubeTime

13/05/2017 – Logiciel Publicitaire VLC Media Player 2.1.2 Packages (Adware.InstallCore)

O42 – Logiciel: VLC Media Player 2.1.2 Packages – (…) [HKCU][64Bits] — VLC Media Player 2.1.2 Packages
TROUVÉ clé: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VLC Media Player 2.1.2 Packages [VLC Media Player 2.1.2 Packages]

10/05/2017 – Logiciel Publicitaire Adware.MSIL.jGreBW3fkMSs injecté par DNSUnlocker

FOUND file: C:\Program Files (x86)\jGreBW3fkMSs Updater\jGreBW3fkMSs Updater.exe
FOUND folder: C:\Program Files (x86)\jGreBW3fkMSs Updater
FOUND file: C:\Program Files (x86)\jGreBW3fkMSs Updater\cfg.ini
FOUND file: C:\Program Files (x86)\jGreBW3fkMSs Updater\unins000.dat
FOUND file: C:\Program Files (x86)\jGreBW3fkMSs Updater\unins000.exe [ – Setup/Uninstall]
FOUND file: C:\Program Files (x86)\jGreBW3fkMSs Updater\updateStatus.ini
FOUND folder: C:\Program Files (x86)\jGreBW3fkMSs Updater\temp
FOUND folder: C:\Program Files (x86)\jGreBW3fkMSs Updater\update
FOUND key: HKLM\SYSTEM\CurrentControlSet\Services\jGreBW3fkMSs Updater [C:\Program Files (x86)\jGreBW3fkMSs Updater\jGreBW3fkMSs Updater.exe](..)
FOUND key: HKLM\SYSTEM\CurrentControlSet\Services\jGreBW3fkMSs Updater []
FOUND key: [X64] HKLM\SOFTWARE\Wow6432Node\jGreBW3fkMSs Updater []

04/05/2017 – Logiciel Publicitaire Microsoft Outlook Packages (Adware.InstallCore)

O42 – Logiciel: Microsoft Outlook Packages – (…) [HKCU][64Bits] — Microsoft Outlook Packages
TROUVÉ clé: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Microsoft Outlook Packages [Microsoft Outlook Packages]

04/05/2017 – Logiciel Publicitaire WhatsApp + BlueStacks Packages (Adware.InstallCore)

O42 – Logiciel: WhatsApp + BlueStacks Packages – (…) [HKCU][64Bits] — WhatsApp + BlueStacks Packages
TROUVÉ Clé: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhatsApp + BlueStacks Packages [WhatsApp + BlueStacks Packages]

02/05/2017 – Application Publicitaire, Service SrcSrv (VirusTotal)

O23 – Service: SrcSrv (srcsrv) . (.Copyright © 2017 – winsrcsrv.) – C:\Windows\src_srv\winsrcsrv.exe
SR – Auto [04/04/2017] [ 16384] SrcSrv (srcsrv) . (.Copyright © 2017.) – C:\Windows\src_srv\winsrcsrv.exe
[MD5.FD950429D3E314137F751DBA115346C0] – (.Copyright © 2017 – winsrcsrv.) — C:\Windows\src_srv\winsrcsrv.exe [16384] [PID.3060]
TrendMicro-HouseCall Suspicious_GEN.F47V0411 20170428
ZHPCleaner  Adware.Suspect

01/05/2017 – Logiciel Publicitaire Adware.MSIL (Wizzcaster)

O43 – CFD: 18/04/2017 – [] D — C:\Program Files\22QB50VJMD
O43 – CFD: 18/04/2017 – [] D — C:\Program Files\2NRXGRRIXL
O43 – CFD: 18/04/2017 – [] D — C:\Program Files\3G4WV471S5
O43 – CFD: 18/04/2017 – [] D — C:\Program Files\5QRGHC6YTC
O43 – CFD: 18/04/2017 – [] D — C:\Program Files\9VR0FTP2TW
O43 – CFD: 18/04/2017 – [] D — C:\Program Files\AFOXIXN0BK
O43 – CFD: 18/04/2017 – [] D — C:\Program Files\MK3AJKPCYO
O43 – CFD: 18/04/2017 – [] D — C:\Program Files\TNIPHF23UT
O43 – CFD: 18/04/2017 – [] D — C:\Program Files\XA7I70OENJ
O43 – CFD: 18/04/2017 – [] D — C:\Program Files\YJQDT4XW2P
O43 – CFD: 21/04/2017 – [] D — C:\Program Files (x86)\22QB50VJMD
O43 – CFD: 21/04/2017 – [] D — C:\Program Files (x86)\3G4WV471S
C:\Program Files\22QB50VJMD\22QB50VJM.exe
C:\Program Files\22QB50VJMD\uninstaller.exe
C:\Program Files\2NRXGRRIXL\48N935QD1.exe
C:\Program Files\2NRXGRRIXL\uninstaller.exe

01/05/2017 – Logiciel Publicitaire Adware.BestZiper (Wizzcaster)   (VirusTotal )

O4 – HKLM\..\Run: [BestZiper] . (.Copyright © 2017 – BestZiper.) — C:\Program Files\BestZiper\BestZiper.exe
O4 – HKLM\..\RunOnce: [OMEWPRODUCT_CRO6W] . (.W6IQ – W6IQNA.) — C:\Program Files\BestZiper\KNIB69MCEE0D5F1.exe
O4 – HKCU\..\Run: [36IBBSINZ1XXVEQ] . (.W6IQ – W6IQNA.) — C:\Program Files\BestZiper\D9HMX.exe
O4 – HKUS\S-1-5-21-50051860-661384414-8614766944-1000\..\Run: [36IBBSINZ1XXVEQ] . (.W6IQ – W6IQNA.) — C:\Program Files\BestZiper\D9HMX.exe
[MD5.0C9ED165155B55AFC041EDE5442C572F] – (.W6IQ – W6IQNA.) — C:\Program Files\BestZiper\KNIB69MCEE0D5F1.exe [436224] [PID.1276]
[MD5.7F7DCC3410065A44AB446C925DF04057] – (.W6IQ – W6IQNA.) — C:\Program Files\BestZiper\D9HMX.exe [1041920] [PID.3720]
O42 – Logiciel: BestZiper version 1.0 – (.WeMonetize.) [HKLM] — BestZiper_is1 =>.Superfluous.Tuto4PC
O43 – CFD: 30/04/2017 – [] D — C:\Program Files\BestZiper

 Cheval de Troie (Trojan).

30/05/2017 – Cheval de Troie Kelios (Trojan) (VirusTotal)

O2 – BHO: VKOKAdBlock [64Bits] – {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} . (…) — C:\Program Files (x86)\VKOKAblockIE\k4LFKAB1a.dll
O42 – Logiciel: VKOKAdBlock – (.Company Inc..) [HKLM][64Bits] — FF20459C-DA6E-41A7-80BC-8F4FEFD9C575

01/05/2017 – Cheval de Troie BitcoinMiner (Trojan)  (VirusTotal)

O4 – HKLM\..\Run: [vnlgp] . (…) — C:\Users\Coolman\AppData\Roaming\vnlgp\vnlgp.exe
[MD5.AD9F8CFCE6C28422A85CD631FC398F7A] – (…) — C:\Users\Coolman\AppData\Roaming\vnlgp\vnlgp.exe [1573888] [PID.6336]
O43 – CFD: 28/04/2017 – [] D — C:\Users\Coolman\AppData\Roaming\vnlgp
O61 – LFC: 2017/04/26 00:06:06 A . (..) — C:\Users\Coolman\AppData\Roaming\vnlgp\vnlgp.exe [1573888]
O61 – LFC: 2017/04/28 20:16:12 A . (..) — C:\Users\Coolman\AppData\Roaming\vnlgp\vnlgp-uninst.exe [70982]

 Modification de module.

24/05/2017 – ZHPDiag, ZHPCleaner, Ajout d’une détection générique Elex dans le dossier système “Installer”.

C:\Windows\Installer\MSI8DF9.tmp
C:\Windows\Installer\MSI906A.tmp

14/05/2017 – ZHPDiag, ZHPCleaner, mise en place d’un contrôle de validité du logiciel. Toute version du logiciel supérieure à un mois ne pourra plus être démarrée.

01/05/2017 – ZHPDiag, ZHPCleaner, Recherche heuristique Trojan.GenericKD  (VirusTotal)

O4 – HKCU\..\Run: [985236] . (.Copyright © 2017 – AffichagePops.) — C:\Users\Coolman\AppData\Roaming\658248\808400.exe
O4 – HKUS\S-1-5-21-3420059701-3497161431-519700241-1001\..\Run: [985236] . (.Copyright © 2017 – AffichagePops.) — C:\Users\Coolman\AppData\Roaming\658248\808400.exe
[MD5.6A175E60D9E29EB1E26100E5D22E8922] – (.Copyright © 2017 – AffichagePops.) — C:\Users\Coolman\AppData\Roaming\658248\808400.exe [7168] [PID.7172]
O43 – CFD: 28/04/2017 – [] D — C:\Users\Coolman\AppData\Roaming\658248
O61 – LFC: 2017/04/28 20:09:12 A . (.Copyright © 2017.) — C:\Users\Coolman\AppData\Roaming\658248\808400.exe [7168]
DEPLACÉ fichier: C:\Users\Coolman2\AppData\Roaming\658248\808400.exe
DEPLACÉ dossier: C:\Users\Coolman2\AppData\Roaming\658248
SUPPRIMÉ valeur: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\658248 [C:\Users\Coolman2\AppData\Roaming\658248\808400.exe]

A propos de l'auteur

Retour en haut