searchcentrix ( search centrix )
Pierre Pinard^© (jj.mm.aaaa)


Généralités

• Nom
  searchcentrix ( search centrix )
  
  
• Autres noms
  Searchcentrix
  seek4free hijacker
  Searchcentrix Webalize toolbar
  Searchcentrix.com hijacker
  Mygeek.com hijacker
  
  
• Description Résumée
  Hijacker. Change votre page de recherche qui est redirrigée vers leur site ou un site affilié.
  
  
• Variantes
  SearchCentrix.barbho
  SearchCentrix.mygeek
  SearchCentrix.somatic
  SearchCentrix.webalize
  SearchCentrix.wzhelper
  
  
  

Ce qu'il fait

Publicité	Violation de la vie privée	Introduit une faille de sécurité	Introduit une instabilité du système
.	.	.	.

• Publicité :
  .
  
  
• Violation de la vie privée :
  .
  
  
• Introduit une faille de sécurité :
  .
  
  
• Introduit une instabilité du système :
  .
  
  

Editeur
SearchCentrix, LLC ( http://w__.searchcentrix.com/ )

Autres produits du même éditeur
.

Méthode de distribution
.

Détection
Présence du fichier webalize.dll

Informations techniques
.

Eradication

• Manuelle
  Vous devez connaître et maîtriser les actions manuelles suivantes
  • Tuer un processus actif
    
  • Retirer une entrée de la liste de démarrage
    
  • Détruire des fichiers
    
  • Détruire des répertoires
    
  • Détruire des clés de registre
    
  • Détruire une entrée dans une clé de registre
    
  • Désenregistrer des DLLs
    
    

Tuer les processus suivants s'ils existent


fsgintl.exe
fsgus.exe
gssomatic.exe
pqhelper.exe
s4helper.exe
sidebar.exe
somatic.exe
spoolsvv.exe
webalize.exe
wzhelper.exe


Désenregistrer les DLLs suivantes


systemroot+\gsim.dll
systemroot+\system32\barbho.dll
systemroot+\system32\gsim.dll
systemroot+\system32\ifhelper.dll
systemroot+\system32\ifsomatic.dll
systemroot+\system32\somatic.dll
systemroot+\system32\webalize.dll
systemroot+\system32\wzhelper.dll
systemroot+\system\barbho.dll
systemroot+\system\gsim.dll
systemroot+\system\ifhelper.dll
systemroot+\system\ifsomatic.dll
systemroot+\system\somatic.dll
systemroot+\system\webalize.dll
systemroot+\system\wzhelper.dll



REBOOT maintenant



Avec RegEdit, dans la base de registre, rechercher et détruire toutes ces clés si elles existent (attention en manipulant la bdr - Ne pas supprimer toute une branche). Comme il s'agit d'un BHO, essayer de le virer avec Spybot > outil BHOs ce qui fera plusieurs clés à la fois de virées.


HKEY_CLASSES_ROOT\clsid\{4e7bd74f-2b8d-469e-98f7-eb6db99aa93b}
HKEY_CLASSES_ROOT\clsid\{4e7bd74f-2b8d-469e-c0fb-ef60b19da02a}
HKEY_CLASSES_ROOT\clsid\{4e7bd74f-2b8d-469e-c0fb-ef60b19dbc34}
HKEY_CLASSES_ROOT\clsid\{4e7bd74f-2b8d-469e-d1f7-eb6db99aa97d}
HKEY_CLASSES_ROOT\clsid\{4e7bd74f-2b8d-469e-d7e4-f660b597bf2a}
HKEY_CLASSES_ROOT\clsid\{4e7bd74f-2b8d-469e-dff7-ec6bf4d5fa7d}
HKEY_CLASSES_ROOT\clsid\{cd2a865b-6c0f-44f9-baa1-7cdb31e04bc8}


HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{4e7bd74f-2b8d-469e-98f7-eb6db99aa93b}


HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{4e7bd74f-2b8d-469e-c0fb-ef60b19da02a}


HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{4e7bd74f-2b8d-469e-c0fb-ef60b19dbc34}


HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{4e7bd74f-2b8d-469e-d1f7-eb6db99aa97d}


HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{4e7bd74f-2b8d-469e-d7e4-f660b597bf2a}


HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{4e7bd74f-2b8d-469e-dff7-ec6bf4d5fa7d}


HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{cd2a865b-6c0f-44f9-baa1-7cdb31e04bc8}


HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\webbrowser\{4e7bd74f-2b8d-469e-d7e4-f660b597bf2a}


HKEY_LOCAL_MACHINE\clsid\{4e7bd74f-2b8d-469e-98f7-eb6db99aa93b}
HKEY_LOCAL_MACHINE\clsid\{4e7bd74f-2b8d-469e-c0fb-ef60b19da02a}
HKEY_LOCAL_MACHINE\clsid\{4e7bd74f-2b8d-469e-c0fb-ef60b19dbc34}
HKEY_LOCAL_MACHINE\clsid\{4e7bd74f-2b8d-469e-d1f7-eb6db99aa97d}
HKEY_LOCAL_MACHINE\clsid\{4e7bd74f-2b8d-469e-d7e4-f660b597bf2a}
HKEY_LOCAL_MACHINE\clsid\{4e7bd74f-2b8d-469e-dff7-ec6bf4d5fa7d}
HKEY_LOCAL_MACHINE\clsid\{cd2a865b-6c0f-44f9-baa1-7cdb31e04bc8}
HKEY_LOCAL_MACHINE\software\classes\clsid\{4e7bd74f-2b8d-469e-98f7-eb6db99aa93b}
HKEY_LOCAL_MACHINE\software\classes\clsid\{4e7bd74f-2b8d-469e-c0fb-ef60b19da02a}
HKEY_LOCAL_MACHINE\software\classes\clsid\{4e7bd74f-2b8d-469e-c0fb-ef60b19dbc34}
HKEY_LOCAL_MACHINE\software\classes\clsid\{4e7bd74f-2b8d-469e-d1f7-eb6db99aa97d}
HKEY_LOCAL_MACHINE\software\classes\clsid\{4e7bd74f-2b8d-469e-d7e4-f660b597bf2a}
HKEY_LOCAL_MACHINE\software\classes\clsid\{4e7bd74f-2b8d-469e-dff7-ec6bf4d5fa7d}
HKEY_LOCAL_MACHINE\software\classes\clsid\{cd2a865b-6c0f-44f9-baa1-7cdb31e04bc8}


HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{4e7bd74f-2b8d-469e-98f7-eb6db99aa93b}


HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{4e7bd74f-2b8d-469e-d1f7-eb6db99aa97d}


HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{4e7bd74f-2b8d-469e-d7e4-f660b597bf2a}


HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4e7bd74f-2b8d-469e-98f7-eb6db99aa93b}


HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4e7bd74f-2b8d-469e-c0fb-ef60b19da02a}


HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4e7bd74f-2b8d-469e-c0fb-ef60b19dbc34}


HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4e7bd74f-2b8d-469e-d1f7-eb6db99aa97d}


HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4e7bd74f-2b8d-469e-d7e4-f660b597bf2a}


HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4e7bd74f-2b8d-469e-dff7-ec6bf4d5fa7d}


HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{cd2a865b-6c0f-44f9-baa1-7cdb31e04bc8}



Maintenant, détruire ces fichiers s'ils existent


systemroot+\gsim.dll
systemroot+\system32\barbho.dll
systemroot+\system32\gsim.dll
systemroot+\system32\ifhelper.dll
systemroot+\system32\ifsomatic.dll
systemroot+\system32\somatic.dll
systemroot+\system32\webalize.dll
systemroot+\system32\wzhelper.dll
systemroot+\system\barbho.dll
systemroot+\system\gsim.dll
systemroot+\system\ifhelper.dll
systemroot+\system\ifsomatic.dll
systemroot+\system\somatic.dll
systemroot+\system\webalize.dll
systemroot+\system\wzhelper.dllfsgintl.exe
fsgus.exe
gssomatic.exe
pqhelper.exe
s4helper.exe
sidebar.exe
somatic.exe
spoolsvv.exe
webalize.exe
wzhelper.exe

toujours exécuter l'intégralité de "La Manip" après cette désinfection.

• Automatique avec son propre uninstal
  .
  toujours exécuter l'intégralité de "La Manip" après cette désinfection.
  
  
• Automatique avec un outil
  
  Il y a bien un uninstaller sur leur site mais je me méfie de ça. A voir.
  Peut-être a exécuter sous le contrôle de Total Uninstall pour voir réellement les modifications apportées au système.
  
  
  Searchcentrix uninstall
  
  
  toujours exécuter l'intégralité de "La Manip" après cette désinfection.
  
  
• Conséquences de l'éradication
  .
  
  

Suggestion de serveurs à ajouter à hosts
Hosts - Qu'est-ce que c'est?
.

Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.
.

Cookies à éradiquer utilisés par ce parasite
.

Liens, sources et ressources
Pour rédiger cette fiche, les sites suivants ont été consultés
.

Porter plainte
Portez plainte iciO.C.L.C.T.I.C
MINISTERE DE L'INTERIEUR
Direction Centrale de la Police Judiciaire
Sous-Direction des Affaires Economiques et Financières
8, rue de Penthièvre
75008 PARIS
Tel : 01.49.27.49.27
Télécopie : 01.40.97.88.59
oclctic@interieur.gouv.fr

Retour d'information (FeedBack)
S'il y a la moindre chose nouvelle ou à ajouter ou à corriger sur cette page, merci d'utiliser le petit formulaire de feedback ci-dessous.

Rédigé en écoutant Ecoute