Adware IPNetwork : gorecherche

IP-Network est l’éditeur de l’adware InstallPedia qui est maintenant plus en ligne : http://forum.malekal.com/offerbox-installpedia-t28757.html#p230617
L’adware s’installent via des programmes téléchargés puis leurs réseaux.

Les sujets commencent à arriver :

fenêtre internet explorer et moteur gorecherche
gorecherche.com : Aide pour rapport OTL

Depuis un nouvel Adware est maintenant en ligne depuis quelques jours, ce dernier modifie les navigateurs et change la page de démarrage vers l’adresse www.gorecherche.com

IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.gorecherche.com/ [Pays IE - 188.165.1.188]
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.gorecherche.com/ [Pays IE - 188.165.1.188]
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.gorecherche.com/ [Pays IE - 188.165.1.188]
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.gorecherche.com/ [Pays IE - 188.165.1.188]
IE - HKU\S-1-5-21-2101594572-3211572978-2349789384-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.gorecherche.com/ [Pays IE - 188.165.1.188]

L’adware ouvre des popups de pubs sur les adresses : http://www.lfkjlkjer.com/ads.php?c=900

Le fichier : http://www3.malekal.com/malwares/index.php?malware=0d22d1bf4a48b6913db737c4b181c72b

En .Net on peux voir en autre :

CreateEnvironmentBlock Error: {0}
explorer
fr.ws.ip-ntwk.com
SELECT ProcessorId FROM Win32_Processor
ProcessorId

RSDSQ
C:\Users\samas\Desktop\sysNM\sysNM\obj\x86\Debug\sysNM.pdb
_CorExeMain
mscoree.dll

Le scan VirusTotal est de 0 : http://www.virustotal.com/file-scan/report.html?id=dd09e4d284f25e62c0c9f401f186f726297e1c416fd6b4adab048fd07353b785-1307309079

Malwarebyte, Ad-Remover ne le détecte pas non plus.

Les lignes ajoutées par l’adware :

PRC - [2011/04/13 18:01:02 | 000,022,528 | RHS- | M] (Microsoft) -- C:\Program Files\Microsoft\sysNM.exe
SRV  - [2011/04/13 18:01:02 | 000,022,528 | RHS- | M] (Microsoft) [Auto |  Running] -- C:\Program Files\Microsoft\sysNM.exe -- (WinSysINM)

Le fichier est en caché.

Supprimer l’adware

Actuellement pour supprimer l’adware, vous pouvez :

Ouvre ce fichier texte sur votre navigateur : http://www.malekal.com/download/gorecherche.txt

* Télécharger OTL sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu’administrateur)

o sous Personnalisation, copier/coller le contenu du fichier texte ouvert précédemment http://www.malekal.com/download/gorecherche.txt dans le cadre tout en bas.
o Clicquer sur le bouton Correction (ou fix), un rapport apparaitra suite à l’operation que tu conserveras sur clé usb par exemple afin d’en coller le resultat:

o redémarrer le pc sous Windows

(Visited 14 times, 1 visits today)

2 thoughts on “Adware IPNetwork : gorecherche

  1. J’ai suivi la méthode mais j’ai toujours « gorecherche » ainsi que des pubs
    Le message obtenu après execution de OTL est le suivant :
    All processes killed
    ========== OTL ==========
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{C86FF9FA-AEED-451B-A9CC-39A53173AE2E} not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C86FF9FA-AEED-451B-A9CC-39A53173AE2E}\ not found.
    HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
    HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
    HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
    HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
    Unable to set value : HKU\S-1-5-21-2101594572-3211572978-2349789384-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E!
    Process sysNM.exe killed successfully!
    Service WinSysINM stopped successfully!
    Service WinSysINM deleted successfully!
    C:\Program Files\Microsoft\sysNM.exe moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrator

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Marie José
    ->Temp folder emptied: 2336194 bytes
    ->Temporary Internet Files folder emptied: 172659 bytes

    User: Philippe
    ->Temp folder emptied: 183717599 bytes
    ->Temporary Internet Files folder emptied: 741866051 bytes
    ->Google Chrome cache emptied: 5972377 bytes
    ->Flash cache emptied: 792 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 294196561 bytes
    RecycleBin emptied: 1262 bytes

    Total Files Cleaned = 1 171,00 mb

    OTL by OldTimer – Version 3.2.23.0 log created on 06062011_122535

    Files\Folders moved on Reboot…
    File\Folder C:\Users\Philippe\AppData\Local\Temp\~DF0EFDF7FA540B22B7.TMP not found!
    File\Folder C:\Users\Philippe\AppData\Local\Temp\~DFA76EB26541275A64.TMP not found!
    File\Folder C:\Users\Philippe\AppData\Local\Temp\~DFB65FBF44937C1512.TMP not found!
    File\Folder C:\Users\Philippe\AppData\Local\Temp\~DFF19307DBEA377C0C.TMP not found!
    C:\Users\Philippe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WK65Z4ZW\adware-ipnetwork-gorecherche[1].txt moved successfully.
    C:\Users\Philippe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RA2TEXO7\ads[5].htm moved successfully.
    C:\Users\Philippe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QVCFSG6K\ads[3].htm moved successfully.
    C:\Users\Philippe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LSWXUSBH\ads[4].htm moved successfully.
    C:\Users\Philippe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LSWXUSBH\extra[1].htm moved successfully.
    C:\Users\Philippe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LSWXUSBH\OTL[1].exe moved successfully.
    C:\Users\Philippe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
    C:\Users\Philippe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.

    Registry entries deleted on Reboot…

    Merci pour votre aide

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *