Auteur Sujet: Youndoo FakeFFProfile  (Lu 5192 fois)

0 Membres et 1 Invité sur ce sujet

En ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 25002
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Youndoo FakeFFProfile
« le: février 20, 2017, 17:23:07 »
Contenu republié avec la permission de Malwarebytes

Youndoo FakeFFProfile est un Browser Hijacker (pirate de navigateur) qui modifie les paramètres du navigateur (page d’accueil , page de recherche, ....) afin de forcer la consultation du site ciblé et affiche aussi des publicités.
Youndoo FakeFFProfile ajoute un profil Firefox supplémentaire et utilise une Tâche planifiée pour réinfecter ou mettre à jour l'infection

  • S'installe en tant que programme, à l'insu de l'utilisateur ou parce qu'il n'a pas décoché les sponsors proposés lors de l'installation d'un logiciel gratuit légitime

  • Affiche cette page de démarrage dans les navigateurs infectés


  • Crée ces tâches planifiées







**********

Détection de Youndoo FakeFFProfile dans des rapports FRST :

Citer
youndoo - Uninstall (HKLM-x32\...\{92C91B86-B20E-474B-A1D9-6B7D5AC229C4}) (Version:  - )
Task: {17E1E42D-FDE0-4335-977B-6DFA92F053ED} - System32\Tasks\Gfakdutoing => /i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel.php?u={uid1}&v=2017220 /q
Task: {40A77D42-8C8A-4FA2-8C4E-51FBC532FD30} - System32\Tasks\Nimasy Engine => C:\Program Files (x86)\Thuluch\plejither.exe [2017-02-20] (Glarysoft Ltd)

HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
ShellExecuteHooks:  - {5AD340E8-F445-11E6-B566-64006A5CFC23} - C:\Program Files (x86)\Thuluch\Reuqutain.dll [146432 2017-02-20] ()
FF NewTab: hxxp://www.youndoo.com/?z={z1}&from=wak&uid={uid1}&type=hp
FF DefaultSearchEngine: youndoo
FF SelectedSearchEngine: youndoo
FF Homepage: hxxp://www.youndoo.com/?z={z1}&from=wak&uid={uid1}&type=hp
FF SearchPlugin: C:\Users\{Nom_Utilisateur}\AppData\Roaming\Mozilla\Firefox\Profiles\mhc384j1.default\searchplugins\jebnkuvk.xml [2017-02-20]
CHR HomePage: ChromeDefaultData2 -> hxxp://www.youndoo.com/?z={z1}&from=wak&uid={uid1}&type=hp
CHR StartupUrls: ChromeDefaultData2 -> "hxxp://www.youndoo.com/?z={z1}&from=wak&uid={uid1}&type=hp"
CHR DefaultSearchURL: ChromeDefaultData2 -> hxxp://www.youndoo.com/search/?q={searchTerms}&z={z1}&from=wak&uid={uid1}&type=sp
CHR DefaultSearchKeyword: ChromeDefaultData2 -> youndoo
C:\Users\{Nom_Utilisateur}\AppData\Local\Gunelejahidom
C:\Program Files (x86)\Thuluch
C:\WINDOWS\System32\Tasks\Nimasy Engine
C:\WINDOWS\System32\Tasks\Gfakdutoing
C:\Program Files (x86)\Nimasy Engine



**********

Détecté et traité par Malwarebytes en tant que PUP/LPI (Programme potentiellement Indésirable) et Adware (logiciel publicitaire)
Sous la version Premium, Malwarebytes bloque le domaine d3g1g0k0wwnjag.cloudfront.net et l'IP 54.192.130.182


Citer
PUP.Optional.Youndoo
PUP.Optional.FakeFFProfile
Adware.Elex
Adware.Elex.Generic
Adware.Elex.SHHKRST


Tutoriel d'utilisation Malwarebytes en images


Source : Removal instructions for Youndoo FakeFFProfile de Metallica - Malwarebytes Forums



Toujours infecté ? Une question avant de faire des manipulations ?

Venez poster un nouveau sujet dans ce forum : http://forum.security-x.fr/desinfections/  en prenant soin de suivre la procédure http://forum.security-x.fr/desinfections/procedure-preliminaire/
 

Security-X

Youndoo FakeFFProfile
« le: février 20, 2017, 17:23:07 »