OpenCandy

OpenCandy est un système d’affiliation afin de proposer l’installation de programmes additifs sur les logiciels. Cela permet une rémunération aux développeurs. La plateforme OpenCandy offre des statistiques d’installation.

Par exemple, ci-dessous le programme Freemake Video Converter propose l’installation d’OpenCandy.

OpenCandy

Les programmes sponsorisés par OpenCandy peuvent proposés différents autres programmes en sponsors, cela peut aller de programmes pas vraiment malicieux, comme TuneUp ou Ad-Aware Web Companion :

OpenCandy_TuneUp

 

à des programmes publicitaires (Adwares voire pire) comme Conduit Search Protect, Wajam ou Web Bar.

OpenCandy_Conduit

 

OpenCandy_web_bar OpenCandy_wajam

OpenCandy installe aussi des composants sur l’ordinateur, certains antivirus comme McAfee le détecte dans la catégorie Adware : http://home.mcafee.com/virusinfo/virusprofile.aspx?key=617297#none

Malwarebytes Anti-Malware le détecte aussi comme PUP.Optional.OpenCandy

Si vous avez eu ces détections ou pensez qu’OpenCandy est installé sur votre ordinateur, vous pouvez suivre la procédure gratuite suivante afin de vous en débarrasser.

Pensez que la majorité des programmes installés peuvent se désinstaller de votre ordinateur, de manière classique, une désinfection avec des programmes gratuits comme AdwCleaner peut terminer le nettoyage.

Continue reading “OpenCandy” »

SecurityRisk.BL

SecurityRisk.BL est une détection de Symantec Norton.
SecurityRisk.BL vise des programmes à risque, ce n’est donc pas une infection à proprement dit.

Description de cette détection sur le site de Symantec : http://www.symantec.com/security_response/writeup.jsp?docid=2013-082119-5106-99&tabid=2

Symantec_Norton_SecurityRisk_BL

 

Exemple de programmes détectés en SecurityRisk.BL par Symantec Norton :

O4 - HKCU\..\Run: [SCheck] . (.Pas de propriétaire - Lua Launcher.) -- C:\Documents and Settings\Francoise\Application Data\SCheck\SCheck.exe 
O4 - HKCU\..\Run: [Snoozer] . (...) -- C:\Documents and Settings\Francoise\Application Data\Snz\Snz.exe   =>PUP.LuaRT


https://www.virustotal.com/fr/file/9d2c6d701420757f13be1cdbf465c83b99e1ad4fc63f7c48486343263096783a/analysis/1389559510/

SHA256: 9d2c6d701420757f13be1cdbf465c83b99e1ad4fc63f7c48486343263096783a
Nom du fichier : Snz.exe
Ratio de détection : 2 / 48
Date d’analyse : 2014-01-12 20:45:10 UTC (il y a 9 mois, 2 semaines) Voir les derniers
Antivirus Résultat Mise à jour
Symantec SecurityRisk.BL 20140112
TrendMicro-HouseCall TROJ_GEN.R047H05AC14 20140112

Ce dernier peux aussi être détecté en PUP.Optional.LuaRT.A

La pocédure gratuite suivante vous guide dans la désinfection de SecurityRisk.BL.

Continue reading “SecurityRisk.BL” »

les erreurs SSL : ssl_error_rx_malformed_alert

Si votre ordinateur est infecté par des adwares, il se peux que vous ailliez des difficultés pour vous connecter à des sites sécurisés (HTTPs).

Une de ces erreurs SSL retournés peux être : ssl_error_rx_malformed_alert

Voici une capture d’écran :

Malformed_certificateLa procédure gratuite suivante vous explique comment désinfecter votre ordinateur et permettre de se connecter à nouveau sur les sites sécurisés (HTTPs).

Continue reading “les erreurs SSL : ssl_error_rx_malformed_alert” »

AdWare.NSIS.xxx

Les détections AdWare.NSIS correspondant à des installeurs NSIS (Nullsoft Script Install System) qui vont installer des adwares sur votre ordinateur.
L’antivirus Antivir peut les détecter en Trojan/Hinis

Par exemple, lorsque vous surfez sur des sies de streaming, vous pouvez avoir des proposions d’installation pour HD Vidéo player :

HD_installer

L’installeur ci-dessous est un installeur détecté en Adware.NSIS qui va proposer des programmes parasites/adwares :HD_installer_pup

Voici la détection : https://www.virustotal.com/fr/file/8c939f172bf56a04b0b83cf91187270b3033f290c2bae40bcd721b66a857c1c2/analysis/1412530430/

SHA256: 8c939f172bf56a04b0b83cf91187270b3033f290c2bae40bcd721b66a857c1c2
Nom du fichier : MediaPlayerClassic_RocketFuelInstaller(1).exe
Ratio de détection : 3 / 52
Date d’analyse : 2014-10-05 17:33:50 UTC (il y a 3 heures, 8 minutes) Voir les derniers
Antivirus Résultat Mise à jour
Avast Win32:Adware-BGF [PUP] 20141005
Kaspersky not-a-virus:AdWare.NSIS.Rocketfuel.a 20141005
Malwarebytes PUP.Optional.RocketFuel 20141005

Votre antivirus peux détecter l’installeur Adware.NSIS dans votre dossier de téléchargement ou temporaire, si c’est le cas, placez le en quarantaine.

Par contre, si vous avez procédé à l’installation en entier et acceptez, l’installation des adwares, des publicités intempestives peuvent s’ouvrir sur l’ordinateur et ralentir ce dernier.

Dans ce cas, il est conseillé de suivre la procédure de désinfection suivante.

Continue reading “AdWare.NSIS.xxx” »

InstallCore

InstallCore est un programme d’affiliation qui va proposer l’installation de programmes parasites. Ce dernier est détecté en PUP.Optional.InstallCore par Malwarebyte’s Anti-Malware.
InstallCore est diffusé de trois manières différentes

  • soit par de fausses mises à jour Adobe Flash et Java.
  • soit par des installeurs personnalisés sur des sites de téléchargements très connus.
  • par des sites de téléchargements en résultats de recherche commerciales sur Bing et Yahoo!

En vidéo, Pourquoi il faut éviter les programmes proposés en résultats commerciaux de Yahoo! et Bing (InstallCore) :

Lorsque l’utilisateur démarre un setup InstallCore, une série de programmes supplémentaires seront proposés, en trouve en général :

  • Un Browser Hijacker qui propose d’installer un moteur de recherche particulier sur tous les navigateurs WEB : Palikan, Bing ou Yahoo!
  • Un adware BrowseFox
  • divers autres programmes supplémentaires, parfois un logiciels d’optimisation type arnaque

Voici quelques exemples de sites diffusant des Setup InstallCore.

Ce site de streaming qui propose aussi des mises à jour Adobe Flash :

InstallCore_fake_FlashVoici une capture d’écran de cet installer InstallCore

InstallCore

ou encore une capture plus récente proposant ByteFence et le navigateur Chromium pour imposer un moteur de recherche.

Supprimer_Chronium

La détection de cet installeur : https://www.virustotal.com/fr/file/da92288ed6178960af08eab4f4b3edab02a285a3c115ce9e0bd8ec4881d62bba/analysis/1412529224/

SHA256: da92288ed6178960af08eab4f4b3edab02a285a3c115ce9e0bd8ec4881d62bba
Nom du fichier : adobe_flash_setup.exe
Ratio de détection : 11 / 55
Date d’analyse : 2014-10-05 17:13:44 UTC (il y a 2 minutes)
Antivirus Résultat Mise à jour
AVG Generic.953 20141005
AVware InstallCore (fs) 20141004
ESET-NOD32 a variant of Win32/InstallCore.QC 20141005
K7AntiVirus Unwanted-Program ( 004a9d551 ) 20141004
K7GW Unwanted-Program ( 004a9d551 ) 20141004
Malwarebytes PUP.Optional.InstallCore 20141005
McAfee-GW-Edition BehavesLike.Win32.CryptInno.bc 20141005
Norman InstallCore.CERT 20141005
Qihoo-360 Malware.QVM06.Gen 20141005
Sophos Install Core Click run software 20141005
VIPRE InstallCore (fs) 20141005

Par exemple, ci-dessous, une détection AVG Adware.InstallCore

AVG_Adware_InstallCore

Antivir peut détecter ce dernier en PUA/InstallCore

PUA_InstallCore

mais aussi de fausses mise à jour Java :

InstallCore, c’est aussi le programme d’affiliation proposé sur les sites telecharger.com, sourceforge ou clubic.com (voir la page les sites de téléchargement qui repackent).

clubic_Crazy_Scoreou encore le site opensubtitles :

InstallCore_opensubtitles_4InstallCore est donc spécialisé pour démarcher les sites et proposer de monétiser leurs téléchargements en proposant des programmes parasites, ces derniers gagneront de l’argent à chaque installation réussie.

Ceci n’est qu’un exemple, InstallCore utilise d’autres méthodes pour se diffuser, pour plus d’informations sur InstallCore, reportez-vous à la page suivante : InstallCore – PUPs et Adware

Si vous avez poursuivi l’installation en entier et accepté l’installation de ces programmes parasites alors des adwares tournent sur l’ordinateur.
Ces adwares vont ouvrir des popups de publicités intempestives et ralentir la navigation ainsi que l’ordinateur.
Si votre antivirus détecte simplement InstallCore, ce dernier doit probablement se trouver dans votre dossier de téléchargement ou dossier temporaire. Déplacez alors le fichier en quarantaine, cela est suffisant.

Cependant, si vous avez des publicités intempestives, c’est que vous avez installé des adwares, Il peux être difficile de supprimer ces adwares, voici la procédure à suivre.

Continue reading “InstallCore” »

Salus

Salus est un adware proposé via des packs de programmes parasites dont voici une proposition d’installation.
Lorsque vous installez des programmes sur votre ordinateur, des logiciels additifs peuvent être proposés, ces logiciels additifs sont en général des adwares (logiciels publicitaires), Salus en est un.
C’est une sorte de sponsors.

Si vous ne comprenez pas ce qui se passe ou ne lisez pas, vous risquez d’installer ces logiciels sans le savoir et voir votre ordinateur inondé de publicités intempestives durant le surf.

Salus

Salus va ralentir l’ordinateur et surtout provoquer des problèmes lors du surf sur les sites sécurisés. Notamment vous pouvez obtenir une erreur « SSL Error RX Malformed Alert » lorsque vous tentez de vous connecter à ces derniers dû au fait que Salus agit comme un proxy afin d’injecter les publicités sur les pages WEB visitées.

Salus va aussi ouvrir des publicités intempestives sur l’ordinateur, avec des liens soulignés verts, exemple de ces publicités « Ads by Salus » ou « édité par salus »

Ads_by_salus

 

salus

Salus_publicites

Certains antivirus peuvent détecter ce dernier en Win32.Adware.Sulas

Win32.Adware.Sulas

Voici un exemple de détection de l’Adware.Salus :

SHA256: bdb8531de061dade7364c57ac4064818928fb4eb1dcc7b41a49c2648850eb59f
Nom du fichier : b786bdb3c67d.exe
Ratio de détection : 20 / 53
Date d’analyse : 2014-11-14 10:19:33 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
Ad-Aware Adware.Agent.OZX 20141114
Avira Adware/Sulas.997952.1 20141114
Baidu-International PUA.Win32.Sulas.81 20141107
BitDefender Adware.Agent.OZX 20141114
Comodo ApplicUnwnt 20141114
ESET-NOD32 a variant of Win32/Adware.Salus.A 20141114
Emsisoft Adware.Agent.OZX (B) 20141114
F-Secure Adware.Agent.OZX 20141114
Fortinet Riskware/Salus 20141114
GData Adware.Agent.OZX 20141114
K7AntiVirus Adware ( 004b07aa1 ) 20141113
K7GW Adware ( 004b07aa1 ) 20141113
Kaspersky not-a-virus:AdWare.Win32.Sulas.q 20141114
McAfee Artemis!2232BE891B2D 20141114
McAfee-GW-Edition BehavesLike.Win32.BadFile.dh 20141114
MicroWorld-eScan Adware.Agent.OZX 20141114
Sophos Generic PUA MB 20141114
Symantec Trojan.Gen.2 20141114
Tencent Win32.Adware.Sulas.Hnuo 20141114
nProtect Adware.Agent.OZX 20141114

L’Adware s’installe dans le dossier Program Files avec un dossier avec une suite de lettres et de chiffres aléatoires et créé les clefs Run suivantes :

HKLM\...\Run: [Salus] => C:\Program Files\f552dd4c52e3\b786bdb3c67d.exe [997952 2014-11-05] ()
HKLM\...\Run: [Salus CrashMon] => "C:\Program Files\f552dd4c52e3\a7d12b5975b4.exe" "b786bdb3c67d.exe" "http://log.data-url.com/salus/crash"

Un composant Universal Updater est aussi installé qui permet de réinstaller l’Adware, la fiche suivante en parle : http://www.supprimer-virus.com/cdn-cloudwm-com/

Salus peut être difficile à éradiquer, la procédure gratuite suivante vous guide et explique comment s’en débarrasser.

Continue reading “Salus” »

l’erreur « SSL Error RX Malformed Alert »

L’erreur SSL Error RX Malformed Alert est une erreur qui apparaît lorsque vous tentez de vous connecter à des sites WEB Sécurisés (HTTPs).

La cause de cette erreur peux être la présence d’adwares sur votre ordinateur.
Exemple de sujets résolus :
http://www.commentcamarche.net/forum/affich-30852031-ssl-error-rx-malformed-alert

La désinfection devrait permet de pouvoir à nouveau visiter les sites sécurisés.

Voici la procédure à suivre.

Continue reading “l’erreur « SSL Error RX Malformed Alert »” »

PUP.Optional.DownloadAdmin

PUP.DownloadAdmin est un programme d’affiliation qui va proposer l’installation de programmes indésirables majoritairement de type publicitaires (adwares).

Voici un exemple de détection :

SHA256: dd199c7c76c3b162bcebd6cee9960d52d4227aeaaf55544b796e9aecdd6fc83e
Nom du fichier : installer_adobe_flash_player_French.exe
Ratio de détection : 9 / 51
Date d’analyse : 2014-09-23 08:03:47 UTC (il y a 1 minute)
AVG Generic.003 20140923
Antiy-AVL Trojan/Win32.TSGeneric 20140923
Avira ADWARE/Adware.Gen 20140923
DrWeb Trojan.DownLoader11.33656 20140923
ESET-NOD32 a variant of Win32/DownloadAdmin.H 20140923
F-Secure Adware:W32/WebInstallBundle 20140923
Ikarus PUA.DownloadAdmin 20140923
Malwarebytes PUP.Optional.DownloadAdmin 20140923
VIPRE DownloadAdmin (fs) 20140923

Voici un exemple de fenêtre proposant une mise à jour d’Adobe Flash qui va ouvrir un installeur/setup PUP.DownloadAdmin et proposé l’installation de programmes parasites.
PUP.DownloadAdmin

ci-dessous des captures d’écran de toutes les propositions d’installation.
Notez dans la première capture, la proposition d’installation de Yahoo Linkury Smartbar  qui va mettre Yahoo par défaut sur tout vos navigateurs WEB.

PUP.DownloadAdmin_Bundle4 PUP.DownloadAdmin_Bundle3 PUP.DownloadAdmin_Bundle2 PUP.DownloadAdmin_Bundle

La détection se fait donc sur l’installeur, si vous avez des détections PUP.DownloadAdmin, il y a donc de forte chance que ce soit des setup dans votre dossier de téléchargement ou dossier temporaire.
Par contre, si vous avez lancé l’installeur et acceptez l’installation des programmes parasites, des adwares ont été installés, il est alors recommandé de suivre la procédure suivante afin de désinfecter l’ordinateur.

Continue reading “PUP.Optional.DownloadAdmin” »

DomaIQ / Win32/SoftPulse

DomaIQ / Win32/SoftPulse est un programme d’affiliation qui propose des programmes parasites et  adwares.

Comment DomaIQ / Win32/SoftPulse se propage ?

La page suivante vous donne quelques explications sur la manière dont ces programmes parasites DomaIQ / Win32/SoftPulse sont proposés : PUP.Optional.Tuguu / Adware.Win32.DomaIQ / PUP.OutBrowse

Le programme peut être proposé sous forme de lecteur vidéo sur les sites de streaming via des publicités mais aussi et surtout par de fausses mises à jour Java/Flash comme le montre cette vidéo :

ou encore par des messages  – Lecteur Vidéo peux être obsolète, ces derniers apparaissent sur les sites de streaming mais peuvent aussi apparaître sur des sites publics lorsque des malvertising (publicités malicieuses) sont déposées sur les réseaux des régies publicitaires.

Capture d’écran Lecteur Vidéo peux être obsolète :

DomaIQ / SoftPulse

DomaIQ / SoftPulse

Qu’est ce DomaIQ / SoftPulse ?

Ci-dessous, une capture d’écran de l’installeur DomaIQ / Softpulse, on constate que ce dernier propose en autre l’adware SpeedChecker, Genesis, MyBestOffers, VuuPC ou encore le nettoyeur Optimizer Pro ou enfin MyPCBackup.
Les internautes qui ne lisent pas (ou ne comprennent pas bien ce qui se passe) vont cliquer sur le bouton Suivant et installer tous ces logiciels qui vont parasiter l’ordinateur en ouvrant des publicités intempestives sur l’ordinateur et le ralentir.
Systématiquement Omiga Plus et Adware.CrossRider est proposé à l’installation.

Il est noter que les installeurs DomaIQ et SoftPulse ne peuvent être fermés par la croix en haut à droite, un clic droit sur le programme dans la barre de tâches ne propose pas l’option Fermer.
Si vous ne savez pas comment on tue un processus, vous êtes donc obligés de finir l’installation, en sachant, que l’installeur revient à la charge sur les demandes d’installation de programmes parasites.

DomaIQ_SoftPlulse

Ce programme sert donc à gagner de l’argent à travers votre ordinateur avec les multiples publicités qui vont s’y ouvrir.
L’ordinateur étant ralenti, on va vous proposer des logiciels de nettoyage comme Optimizer Pro, Reimage ou TuneUp Pro ou peuvent s’installer automatiquement.
Ces programmes vont lancer des analyses en détectant des erreurs et vont vous proposer d’acheter une licence pour nettoyer ces erreurs en vous promettant que votre ordinateur va retrouver sa vitesse originelle.

Exemple de détection VirusTotal : https://www.virustotal.com/fr/file/0b139dee1489c312f26439f41fb3faf73fb206ea02a3b73e53b948164d09493d/analysis/

SHA256: 0b139dee1489c312f26439f41fb3faf73fb206ea02a3b73e53b948164d09493d
Nom du fichier : Player.exe
Ratio de détection : 22 / 55
Date d’analyse : 2014-09-15 05:41:09 UTC (il y a 13 minutes)
AVG Generic.328 20140915
AVware DomaIQ (fs) 20140915
Agnitum Riskware.Agent! 20140914
AhnLab-V3 PUP/Win32.DomaIQ 20140915
Antiy-AVL GrayWare[AdWare:not-a-virus]/Win32.Agent.djcr 20140915
Avast Win32:GenMalicious-RJ [PUP] 20140915
Avira APPL/Softpulse.Gen8 20140915
Comodo Application.Win32.SoftPulse.W 20140915
ESET-NOD32 a variant of Win32/SoftPulse.L 20140915
GData Win32.Application.Softpulse.F 20140915
Ikarus PUA.SoftPulse 20140915
K7AntiVirus Unwanted-Program ( 0040f8f21 ) 20140912
K7GW Unwanted-Program ( 0040f8f21 ) 20140912
Kaspersky not-a-virus:AdWare.Win32.Agent.djcr 20140915
Malwarebytes PUP.Optional.DomaIQ 20140915
McAfee Socrydo 20140915
McAfee-GW-Edition BehavesLike.Win32.MPlug.tc 20140914
NANO-Antivirus Trojan.Win32.SoftPulse.dewgcl 20140915
Panda Trj/Genetic.gen 20140914
Sophos SoftPulse 20140915
VBA32 BScope.Adware.Softpulse 20140911
VIPRE DomaIQ (fs) 20140915

ou encore une détection Win32:SoftPulse-AO [PUP] (les détections LPIs doivent donc être activées pour obtenir cette détection) lors du lancement d’un installeur DomaIQ / Win32/SoftPulse

Avast_Win32_SoftPulseDepuis peu, les installeurs SoftPulse peuvent aussi être détectés en Win32:DriverUpd-A par Avast!

Win32_DriverUpd-A

ou encore PUA/SoftPulse.Gen chez Antivir :

PUA_SoftPulse_Gen_Antivir

Si votre antivirus détecte DomaIQ / Win32/SoftPulse, il y a de fortes chances que ce soit un setup qui se trouve dans votre dossiers de téléchargements ou temporaires, il suffit de mettre le fichier en question en quarantaine.

Cependant, si des publicités intempestives s’ouvrent, il y a de fortes chances que vous avez installé des adwares et programmes parasites, la procédure à suivre afin de se débarrasser de DomaIQ / Win32/SoftPulse et tous les programmes parasites et adwares qui ont pu être installer sur votre ordinateur.

Continue reading “DomaIQ / Win32/SoftPulse” »

MyPC Backup

MyPC Backup est un programme de sauvegarde qui s’installe avec des packs de programmes parasites / PUP / LPIsMyPC Backup va alors régulièrement vous rappelez de sauvegarder vos données, mais bien sûr il faudra payer une licence du logiciel pour pouvoir faire cela.
Les popups MyPC Backup peuvent s’ouvrir au démarrage de l’ordinateur ou toutes les X minutes pendant que vous travaillez. Le programme peut donc être très envahissant.

Par exemple Ilivid / Bandoo propose MyPC Backup :

ilivid_MyPCBackupou encore à l’installation de New Player – My Pc Backup est proposé :

New_Playerou encore via de fausses mises à jour Java qui reprenne les écrans officiels, divers packs de programmes parasites sont alors proposés :

smileyswelove_bundle

Exemple d’installation d’adware et de MyPC Backup :

Si vous ne lisez donc pas attentivement les fenêtres d’installation, vous risquez d’installer tous ces programmes parasites. Les publicités intempestives vont inonder vos pages WEB et l’ordinateur sera fortement ralenti.
Lisez bien car après il sera trop tard, vous allez tenter diverses procédures pour désinfecter votre ordinateur et perdre des heures à scanner avec des antispywares parfois payants.

MyPCBackup va aussi ouvrir des popups de notification pour vous rappeler de faire des sauvegardes dans le but de vous vendre le logiciel.

mypcback_rappel_sauvegade

MyPCBackup

Du côté technique, le programme créé un raccourci pour se lancer depuis un dossier OLePre

ShortcutTarget: MyPC Backup.lnk -> C:\Program Files\OLBPre\OLBPre.exe ()

Voici la procédure gratuite pour supprimer MyPC Backup et désinfecter votre ordinateur de tous les adwares.

Continue reading “MyPC Backup” »