http://easy-search.com
  • Résumé : http://easy-search.com; http://easy-search.biz
  

http://easy-search.com
 
 
 
 
 



http://easy-search.com; http://easy-search.biz



Alias :   http://easy-search.com
http://easy-search.biz
runwin32.exe
Adware.EasySearch [Norton]
Classes :   Usurpateur ( Hijacker ) et téléchargeur ( Downloader ).
Nota : Ce parasite est classé de nombreuses fois à " Cheval de Troie " (Trojan) ce qu'il n'est absolument pas. Il est parfois classé à "Adware" ce qu'il n'est pas non plus.
Risque :
Editeur :   Hans Schnauber
Directeur de l'équipe de développement du réseau global de recherches easy-search.com. Durecteur de http://easy-search.com
Découverte :  
Installation : Le parasitage de votre installation provient d'une opération manuelle. Le parasite n'a pas la capacité de se répliquer et de se propager par lui-même.
Affectés :   Internet Explorer
Epargnés :    
Activité :   Usurpation (hijacker) des réglages de page de démarrage d'Internet Explorer sous Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Le parasite a la capacité de télécharger du code (d'autres programmes) sur les systèmes infectés.

Le fichier de base du parasitage est runwin32.exe
Lorsque ce fichier est exécuté il exécute les opérations suivantes :
  1. télécharge un programme depuis un serveur prédéterminé dans son code et l'installe en tant que %Windir%\iau.exe

  2. Copie le programme précédent dans les fichiers suivants :
  3. Ajoute la valeur
    "Start Page"="[URL on the domain easy-search.biz]"
    aux clés de registre
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
    Afin de redirriger la page de démarrage d'Internet Explorer

  4. Ajoute les valeurs :
    "ProxyServer"="127.0.0.1:8080"
    "ProxyOverride"="local"
    à la clé de registre
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    pour qu'Internet Explorer utilise runwin32 comme un server proxy d'accès au Net

  5. Ajoute les valeurs :
    "Microsoft Internet Acceleration Utility"="iau.exe"
    "Internet Connection Wizard"="stisvsq.exe"
    "Games Acceleration"="svshost.exe"
    "Internet Mail and News"="msqdevl.exe"
    "Microsoft Management Console"="lssas.exe"
    "Multimedia extensions"="mservice.exe"
    aux clés de registre
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    afin d'être lancé automatiquement au démarrage de Windows

  6. Le proxy s'exécute sur le port habituel 8080 de l'ordinateur infecté.

  7. Redirrige l'utilisateur, périodiquement, vers l'un des domaines suivants
    • worldtracker.biz
    • pornlandz.com


Vie privée :  
Faille :    
Instabilité :  
Conséquences : Une éradication de cet usurpateur (hijacker) n'a strictement aucune conséquence domageable, au contraire.
Précautions : Réglage de l'antivirus au maximum
Sauvegarde de la base de registre
Désactiver les points de restauration
Redémarer en mode sans échec





Eradication automatique
    Scan avec votre antivirus
    Si vous avez un antivirus, utilisez-le, sinon télécharger BitDefender Pro ou Kaspersky AVP maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont scannés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Scanner et détruire tous les fichiers trouvés. Les antivirus ne sont pas des anti-trojans et n'arrivent pas à éradiquer complètement les parasites non viraux dont ils s'occupent. Une intervention manuelle est souvent nécessaire. S'assurer d'avoir un antivirus paramétré à son maximum puis lancer le scan.
    Bien que ce ne soit pas leur coeur de métier, certains antivirus peuvent s'occuper d'autres choses que de virus. Norton est donné pour éradiquer Easy-search.


    Analyse avec votre anti-trojan
    Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro ou Tauscan maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum (voir mode d'emploi de PestPatrol en français). Scanner et détruire tous les objets malicieux trouvés. En version d'essai, illimitée dans le temps et autorisant les mises à jour, PestPatrol effectue seulement la détection complète mais pas l'éradication. A charge pour vous de faire l'éradication à la main.
    X-Cleaner est donné pour correctement éradiquer ce parasite.


    Eradication en utilisant l'outil proposé par l'auteur du parasite
    Aucun outil de disponible.




Eradication manuelle


    Précautions initiales génériques

    Tuer les processus suivants, s'il sont lancés
    Comment tuer un processus
    runwin32.exe


    Désenregistrer les DLLs suivantes
    Comment désenregistrer une DLL


    Redémarrer en mode sans echec
    Comment démarrer / redémarrer en mode "sans échec"


    Supprimer les clés et/ou entrées suivantes lorsqu'elles existent.
    Comment détruire une clé de registre - Comment détruire une entrée d'une clé de registre
    Démarrer > Exécuter > regedit > Ok

    Naviguer jusqu'à la clé suivante (dans le volet de gauche)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Dans le volet de droite, détruire les valeurs
    "Microsoft Internet Acceleration Utility"="iau.exe"
    "Internet Connection Wizard"="stisvsq.exe"
    "Games Acceleration"="svshost.exe"
    "Internet Mail and News"="msqdevl.exe"
    "Microsoft Management Console"="lssas.exe"
    "Multimedia extensions"="mservice.exe"

    Naviguer jusqu'à la clé suivante (dans le volet de gauche)
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Dans le volet de droite, détruire les valeurs
    "Microsoft Internet Acceleration Utility"="iau.exe"
    "Internet Connection Wizard"="stisvsq.exe"
    "Games Acceleration"="svshost.exe"
    "Internet Mail and News"="msqdevl.exe"
    "Microsoft Management Console"="lssas.exe"
    "Multimedia extensions"="mservice.exe"

    Naviguer jusqu'à la clé (dans le volet de gauche)
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    Dans le volet de droite, détruire les valeurs
    "ProxyServer"="127.0.0.1:8080"
    "ProxyOverride"="local"

    Quitter l'éditeur de base de registre


    Maintenant vous pouvez restaurer vos réglages d'Internet Explorer :
    Lancez Internet Explorer
    Connectez-vous à l'Internet
    Allez sur le site dont vous souhaitez faire votre page de démarrage
    Dans Internet Explorer faites Outils > Options Internet > Dans l'onglet "Général", cliquez sur le bouton "Page actuelle" > Ok.


    Détruire les répertoires suivants, s'ils existent (et tout ce qu'ils contiennent).
    Comment détruire un répertoire


    Détruire les fichiers suivants, s'ils existent
    Comment détruire un fichier
    Il peut être nécessaire de redémarrer en mode sans echec
    Comment redémarrer en mode sans échec

    runwin32.exe
    %Windir%\iau.exe
    %Windir%\stisvsq.exe
    %Windir%\svshost.exe NE PAS DETRUIRE svchost.exe
    %Windir%\msqdevl.exe
    %Windir%\lssas.exe NE PAS DETRUIRE lsass.exe
    %Windir%\mservice.exe




    Suggestion de serveurs à bloquer par leurs noms de domaine dans hosts
    Qu'est-ce que hosts
    easy-search.com
    easy-search.biz
    worldtracker.biz
    pornlandz.com




    Rechercher les parasites connexes
    En amont, ce parasite a pu être installé par le ou les parasites ci-dessous qui ont agit en Downloader (téléchargeurs)
    En aval, ce parasite a pu agir en Downloader (téléchargeur) et installer le ou les parasites ci-dessous.


    Ressources
    Des informations complémentaires peuvent être trouvées sur ces pages







Cordialement
Pierre Pinard


Je vous ai aidé ? Merci de m'aider à poursuivre.
Soutien et donnations





Rédigé en écoutant :