http://easy-search.com; http://easy-search.biz
Alias : |
|
http://easy-search.com
http://easy-search.biz
runwin32.exe
Adware.EasySearch [Norton] |
Classes : |
|
Usurpateur ( Hijacker ) et téléchargeur ( Downloader ).
Nota : Ce parasite est classé de nombreuses fois à " Cheval de Troie " (Trojan) ce qu'il n'est absolument pas. Il est parfois classé à "Adware" ce qu'il n'est pas non plus. |
Risque : |
|
|
Editeur : |
|
Hans Schnauber
Directeur de l'équipe de développement du réseau global de recherches easy-search.com. Durecteur de http://easy-search.com
|
Découverte : |
|
|
Installation : |
|
Le parasitage de votre installation provient d'une opération manuelle. Le parasite n'a pas la capacité de se répliquer et de se propager par lui-même.
|
Affectés : |
|
Internet Explorer |
Epargnés : |
|
|
Activité : |
|
Usurpation (hijacker) des réglages de page de démarrage d'Internet Explorer sous Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Le parasite a la capacité de télécharger du code (d'autres programmes) sur les systèmes infectés.
Le fichier de base du parasitage est runwin32.exe
Lorsque ce fichier est exécuté il exécute les opérations suivantes :
- télécharge un programme depuis un serveur prédéterminé dans son code et l'installe en tant que %Windir%\iau.exe
- Copie le programme précédent dans les fichiers suivants :
- Ajoute la valeur
"Start Page"="[URL on the domain easy-search.biz]"
aux clés de registre
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
Afin de redirriger la page de démarrage d'Internet Explorer
- Ajoute les valeurs :
"ProxyServer"="127.0.0.1:8080"
"ProxyOverride"="local"
à la clé de registre
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
pour qu'Internet Explorer utilise runwin32 comme un server proxy d'accès au Net
- Ajoute les valeurs :
"Microsoft Internet Acceleration Utility"="iau.exe"
"Internet Connection Wizard"="stisvsq.exe"
"Games Acceleration"="svshost.exe"
"Internet Mail and News"="msqdevl.exe"
"Microsoft Management Console"="lssas.exe"
"Multimedia extensions"="mservice.exe"
aux clés de registre
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
afin d'être lancé automatiquement au démarrage de Windows
- Le proxy s'exécute sur le port habituel 8080 de l'ordinateur infecté.
- Redirrige l'utilisateur, périodiquement, vers l'un des domaines suivants
- worldtracker.biz
- pornlandz.com
|
Vie privée : |
|
|
Faille : |
|
|
Instabilité : |
|
|
Conséquences : |
|
Une éradication de cet usurpateur (hijacker) n'a strictement aucune conséquence domageable, au contraire. |
Précautions : |
|
Réglage de l'antivirus au maximum
Sauvegarde de la base de registre
Désactiver les points de restauration
Redémarer en mode sans échec
|
Eradication automatique
Scan avec votre antivirus
Si vous avez un antivirus, utilisez-le, sinon télécharger BitDefender Pro ou Kaspersky AVP maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont scannés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Scanner et détruire tous les fichiers trouvés. Les antivirus ne sont pas des anti-trojans et n'arrivent pas à éradiquer complètement les parasites non viraux dont ils s'occupent. Une intervention manuelle est souvent nécessaire. S'assurer d'avoir un antivirus paramétré à son maximum puis lancer le scan.
Bien que ce ne soit pas leur coeur de métier, certains antivirus peuvent s'occuper d'autres choses que de virus. Norton est donné pour éradiquer Easy-search.
Analyse avec votre anti-trojan
Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro ou Tauscan maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum (voir mode d'emploi de PestPatrol en français). Scanner et détruire tous les objets malicieux trouvés. En version d'essai, illimitée dans le temps et autorisant les mises à jour, PestPatrol effectue seulement la détection complète mais pas l'éradication. A charge pour vous de faire l'éradication à la main.
X-Cleaner est donné pour correctement éradiquer ce parasite.
Eradication en utilisant l'outil proposé par l'auteur du parasite
Aucun outil de disponible.
Eradication manuelle
Précautions initiales génériques
Tuer les processus suivants, s'il sont lancés
Comment tuer un processus
runwin32.exe
Désenregistrer les DLLs suivantes
Comment désenregistrer une DLL
Redémarrer en mode sans echec
Comment démarrer / redémarrer en mode "sans échec"
Supprimer les clés et/ou entrées suivantes lorsqu'elles existent.
Comment détruire une clé de registre - Comment détruire une entrée d'une clé de registre
Démarrer > Exécuter > regedit > Ok
Naviguer jusqu'à la clé suivante (dans le volet de gauche)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dans le volet de droite, détruire les valeurs
"Microsoft Internet Acceleration Utility"="iau.exe"
"Internet Connection Wizard"="stisvsq.exe"
"Games Acceleration"="svshost.exe"
"Internet Mail and News"="msqdevl.exe"
"Microsoft Management Console"="lssas.exe"
"Multimedia extensions"="mservice.exe"
Naviguer jusqu'à la clé suivante (dans le volet de gauche)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dans le volet de droite, détruire les valeurs
"Microsoft Internet Acceleration Utility"="iau.exe"
"Internet Connection Wizard"="stisvsq.exe"
"Games Acceleration"="svshost.exe"
"Internet Mail and News"="msqdevl.exe"
"Microsoft Management Console"="lssas.exe"
"Multimedia extensions"="mservice.exe"
Naviguer jusqu'à la clé (dans le volet de gauche)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Dans le volet de droite, détruire les valeurs
"ProxyServer"="127.0.0.1:8080"
"ProxyOverride"="local"
Quitter l'éditeur de base de registre
Maintenant vous pouvez restaurer vos réglages d'Internet Explorer :
Lancez Internet Explorer
Connectez-vous à l'Internet
Allez sur le site dont vous souhaitez faire votre page de démarrage
Dans Internet Explorer faites Outils > Options Internet > Dans l'onglet "Général", cliquez sur le bouton "Page actuelle" > Ok.
Détruire les répertoires suivants, s'ils existent (et tout ce qu'ils contiennent).
Comment détruire un répertoire
Détruire les fichiers suivants, s'ils existent
Comment détruire un fichier
Il peut être nécessaire de redémarrer en mode sans echec
Comment redémarrer en mode sans échec
runwin32.exe
%Windir%\iau.exe
%Windir%\stisvsq.exe
%Windir%\svshost.exe NE PAS DETRUIRE svchost.exe
%Windir%\msqdevl.exe
%Windir%\lssas.exe NE PAS DETRUIRE lsass.exe
%Windir%\mservice.exe
Suggestion de serveurs à bloquer par leurs noms de domaine dans hosts
Qu'est-ce que hosts
easy-search.com
easy-search.biz
worldtracker.biz
pornlandz.com
Rechercher les parasites connexes
En amont, ce parasite a pu être installé par le ou les parasites ci-dessous qui ont agit en Downloader (téléchargeurs)
En aval, ce parasite a pu agir en Downloader (téléchargeur) et installer le ou les parasites ci-dessous.
Ressources
Des informations complémentaires peuvent être trouvées sur ces pages
Cordialement
Pierre Pinard
Je vous ai aidé ? Merci de m'aider à poursuivre.
Soutien et donnations
Rédigé en écoutant :
|
|
|