Supprimer Adware.Fotomoto/Adware:Win32/AdRotator : Addsite/gzmrotate/cpmrotate/mysidesearch/rightonadz/FBrowserAdvisor

Supprimer Adware.Fotomoto/Adware:Win32/AdRotator : Addsite/gzmrotate/cpmrotate/mysidesearch/rightonadz/FBrowserAdvisor



Infection ouvrant des popups ads served by adssite et ajoutant des barres d’outils « rightonadz browser optimizer », « Adssite Toolbar » et « ads_optimizer » etc…
et depuis peu : Skyblueads browser optmizer.

Ces infections s’attrapent généralement après avoir téléchargé un fichier pourri sur P2P. Encore une fois faites attention à vos sources de téléchargements, ouvrir un fichier, installer un programme n’est pas une chose anodine.

Détection Adware.Fotomoto/Adware:Win32/AdRotator : Addsite/gzmrotate/cpmrotate/mysidesearch/rightonadz/FBrowserAdvisor

Ajoute la ligne suivante sur HijackThis :

L’infection est composée de deux BHO :

  • une avec un fichier aléatoire ns*.dll
  • et une autre dll gzmrotate.dll ou cpmrotate.dll

Les lignes suivantes sont aléatoires sur le nom de fichiers :
O2 – BHO: ads_optimizer – {26E45419-7205-4fac-BBFE-174BC7337A79} – D:WINDOWSSystem32\nsi6.dll
O2 – BHO: ads_optimizer – {26E45419-7205-4fac-BBFE-174BC7337A79} – C:\Windows\System32nsk11.dll
O2 – BHO: ads_optimizer – {26E45419-7205-4fac-BBFE-174BC7337A79} – C:\Windows\System32nsdC5D.dll
O2 – BHO: ads_optimizer – {26E45419-7205-4fac-BBFE-174BC7337A79} – C:\Windows\System32nsk5E.dll
Ou :
O2 – BHO: HTML Exploits Prevent – {245463AB-6F21-456A-9EB4-FAB802DB8062} – C:\Windows\System32nsg42.dll

Seconde BHO
O2 – BHO: rightonadz browser optimizer – {971C3384-F75E-4562-95B3-CBE7417529BC} – C:\Windows\System32gzmrotate.dll
O2 – BHO: Skyblueads browser optmizer – {7DB476DD-EA1E-4c91-880F-DCD1888740A1} – C:\Windows\System32cpmrotate.dll

Autres BHO possibles :
O2 – BHO: targettedbanner.biz browser enhancer – {16B435F6-B6CE-4F24-A568-944B27ED919C} – C:\Windows\System32atgban.dll
O2 – BHO: browser optimizer superiorads – {43FC67B6-4C25-4afd-AE7A-9EF3E4587026} – C:\Windows\System32sprt_ads.dll
O2 – BHO: rightonadz browser enhancer – {74B42F25-4107-404D-A892-F9A31C106D06} – C:\Windows\System32rgtndz.dll
O2 – BHO: ads_optimizer – {9C8A568E-4201-478a-8536-526CF371D2E2} – C:\Windows\System32nsvF.dll
O2 – BHO: mysidesearch browser optimizer – {c74c7082-e032-1736-b90c-b2802e31e9b5} – C:\Windows\System32{58262674-85ae-f4aa-3f43-99fddce7f94b}.dll
O2 – BHO: adzgalore – {ff5cf2a2-d586-65dd-130f-11e7656bc9b0} – C:\Windows\System32nsc19.dll
O2 – BHO: mysidesearch browser optimizer – {c74c7082-e032-1736-b90c-b2802e31e9b5} – C:\Windows\System32{58262674-85ae-f4aa-3f43-99fddce7f94b}.dll

O4 – HKLM..Run: [{fe4a03b6-ba52-7285-75b6-af24eb7d1941}] C:WINDOWSSystem32Rundll32.exe « C:\Windows\System32{57e92188-8407-8208-e755-64ed5b03742e}.dll » DllStart

Toolbar possible :
O3 – Toolbar: Adssite Toolbar – {41C29B07-6F91-4966-91BE-2E2841643C83} – C:\Program Files\Adssite Advanced Toolbartoolbar.dll

On peut avoir ces lignes :

O4 – HKLM..Run: [hid_start] D:WINDOWSSystem32Rundll32.exe « D:WINDOWSSystem32\gzmrotate.dll » DllVerify
O4 – HKLM..Run: [hid_start] C:WINDOWSSystem32Rundll32.exe « C:\Windows\System32gzmrotate.dll » DllVerify

etc.. etc…

Quelques détections :
Complete scanning result of « adzgalore_silent4511.exe », processed in VirusTotal at 07/05/2008 13:40:37 (CET).

[ file data ]
* name..: adzgalore_silent4511.exe
* size..: 288057
* md5…: c34e223d025eaf5526e62c4fd2438697
* sha1..: ddd6b58ad03c9c654780ef48e3490fff5ecda614
* peid..: –

[ scan result ]
AhnLab-V3       2008.7.4.1/20080705     found nothing
AntiVir 7.8.0.64/20080704       found nothing
Authentium      5.1.0.4/20080704        found nothing
Avast   4.8.1195.0/20080704     found [Win32:Trojan-gen {Other}]
AVG     7.5.0.516/20080704      found nothing
BitDefender     7.2/20080705    found [Adware.Fotomoto.Gen]
CAT-QuickHeal   9.50/20080704   found nothing
ClamAV  0.93.1/20080704 found nothing
DrWeb   4.44.0.09170/20080705   found nothing
eSafe   7.0.17.0/20080703       found nothing
eTrust-Vet      31.6.5929/20080705      found nothing
Ewido   4.0/20080705    found nothing
F-Prot  4.4.4.56/20080704       found nothing
F-Secure        7.60.13501.0/20080703   found [Downloader.Win32.AdLoad.c]
Fortinet        3.14.0.0/20080705       found nothing
GData   2.0.7306.1023/20080705  found nothing
Ikarus  T3.1.1.26.0/20080705    found nothing
Kaspersky       7.0.0.125/20080705      found [not-a-virus:Downloader.Win32.AdLoad.c]
McAfee  5332/20080704   found nothing
Microsoft       1.3704/20080705 found nothing
NOD32v2 3244/20080705   found nothing
Norman  5.80.02/20080704        found nothing
Panda   9.0.0.4/20080705        found nothing
Prevx1  V2/20080705     found nothing
Rising  20.51.42.00/20080704    found nothing
Sophos  4.31.0/20080705 found nothing
Sunbelt 3.1.1509.1/20080704     found nothing
Symantec        10/20080705     found nothing
TheHacker       6.2.96.371/20080704     found nothing
TrendMicro      8.700.0.1004/20080705   found nothing
VBA32   3.12.6.8/20080704       found nothing
VirusBuster     4.5.11.0/20080704       found nothing
Webwasher-Gateway       6.6.2/20080705  found nothing

Complete scanning result of « 12.exe », processed in VirusTotal at 07/05/2008 13:40:33 (CET).

[ file data ]
* name..: 12.exe
* size..: 440354
* md5…: 6848096de20cad17ccff110149de1cf6
* sha1..: 02dd03292b276ddf8062a7727ab8725dbaafa677
* peid..: –

[ scan result ]
AhnLab-V3       2008.7.4.1/20080705     found nothing
AntiVir 7.8.0.64/20080704       found nothing
Authentium      5.1.0.4/20080704        found nothing
Avast   4.8.1195.0/20080704     found nothing
AVG     7.5.0.516/20080704      found nothing
BitDefender     7.2/20080705    found [Adware.Rotator.F]
CAT-QuickHeal   9.50/20080704   found nothing
ClamAV  0.93.1/20080704 found nothing
DrWeb   4.44.0.09170/20080705   found nothing
eSafe   7.0.17.0/20080703       found nothing
eTrust-Vet      31.6.5929/20080705      found nothing
Ewido   4.0/20080705    found nothing
F-Prot  4.4.4.56/20080704       found nothing
F-Secure        7.60.13501.0/20080703   found nothing
Fortinet        3.14.0.0/20080705       found nothing
GData   2.0.7306.1023/20080705  found nothing
Ikarus  T3.1.1.26.0/20080705    found [Win32.SuspectCrc]
Kaspersky       7.0.0.125/20080705      found nothing
McAfee  5332/20080704   found nothing
Microsoft       1.3704/20080705 found [Adware:Win32/AdRotator.A]
NOD32v2 3244/20080705   found nothing
Norman  5.80.02/20080704        found nothing
Panda   9.0.0.4/20080705        found nothing
Prevx1  V2/20080705     found nothing
Rising  20.51.42.00/20080704    found [AdWare.Win32.Agent.bwm]
Sophos  4.31.0/20080705 found [AdRotate]
Sunbelt 3.1.1509.1/20080704     found nothing
Symantec        10/20080705     found nothing
TheHacker       6.2.96.371/20080704     found nothing
TrendMicro      8.700.0.1004/20080705   found [TROJ_ZLOB.DNZ]
VBA32   3.12.6.8/20080704       found nothing
VirusBuster     4.5.11.0/20080704       found nothing
Webwasher-Gateway       6.6.2/20080705  found nothing

Complete scanning result of « snappy_myss_1019.exe », processed in VirusTotal at 07/05/2008 13:40:48 (CET).

[ file data ]
* name..: snappy_myss_1019.exe
* size..: 298303
* md5…: f07e4bd10cd440bb6d706460d0e4393c
* sha1..: 05d7590926af8949c291f5fb8e91c1d0fffb6a17
* peid..: –

[ scan result ]
AhnLab-V3       2008.7.4.1/20080705     found nothing
AntiVir 7.8.0.64/20080704       found [ADSPY/AdSpy.Gen]
Authentium      5.1.0.4/20080704        found nothing
Avast   4.8.1195.0/20080704     found nothing
AVG     7.5.0.516/20080704      found nothing
BitDefender     7.2/20080705    found [Adware.BHO.WRG]
CAT-QuickHeal   9.50/20080704   found nothing
ClamAV  0.93.1/20080704 found nothing
DrWeb   4.44.0.09170/20080705   found nothing
eSafe   7.0.17.0/20080703       found nothing
eTrust-Vet      31.6.5929/20080705      found nothing
Ewido   4.0/20080705    found nothing
F-Prot  4.4.4.56/20080704       found nothing
F-Secure        7.60.13501.0/20080703   found nothing
Fortinet        3.14.0.0/20080705       found nothing
GData   2.0.7306.1023/20080705  found nothing
Ikarus  T3.1.1.26.0/20080705    found nothing
Kaspersky       7.0.0.125/20080705      found nothing
McAfee  5332/20080704   found nothing
Microsoft       1.3704/20080705 found nothing
NOD32v2 3244/20080705   found [Win32/Adware.Sidebar]
Norman  5.80.02/20080704        found nothing
Panda   9.0.0.4/20080705        found nothing
Prevx1  V2/20080705     found [Cloaked Malware]
Rising  20.51.42.00/20080704    found nothing
Sophos  4.31.0/20080705 found nothing
Sunbelt 3.1.1509.1/20080704     found nothing
Symantec        10/20080705     found nothing
TheHacker       6.2.96.371/20080704     found nothing
TrendMicro      8.700.0.1004/20080705   found nothing
VBA32   3.12.6.8/20080704       found [AdWare.Win32.Agent.bds]
VirusBuster     4.5.11.0/20080704       found nothing
Webwasher-Gateway       6.6.2/20080705  found [Ad-Spyware.AdSpy.Gen]
 

Suppression Adware.Fotomoto/Adware:Win32/AdRotator : Addsite/gzmrotate/cpmrotate/mysidesearch/rightonadz/FBrowserAdvisor

  • Allez dans ajout/suppression de programmes du panneau de configuration
  • Désinstallez :
    • Adssite Advanced Toolbar
    • Browser Optimizer Adssite
    • Browser Optimizer Adzgalore
    • Enhancement Browser Tools Gooochi
    • Enhancement Browser Tools Rightonadz
    • Enhancement Browser Tools Superiorads
    • Enhancement Browser Tools Targetedbanner
    • FBrowserAdvisor
    • FBrowsingAdvisor
    • MySidesearch Search Assistant Adzgalore
    • Secure Browsing
  • Tout ce qui comporte le mot
    • Adssite
    • Optimizer

Suivez ensuite la Procédure de désinfection des Trojans/Backdoor

Autres Liens

Pour plus d’informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)

(Visited 20 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *