Sunday, May 8, 2011

AdWare.Win32.BHO.aj

not-a-virus:AdWare.Win32.BHO.aj

Detection added 19 May 2006 10:23 GMT
Description added 13 Nov 2008
Comportement not-a-virus:AdWare
Détails Techniques
Action destructrice
Conseils pour la suppression
Détails Techniques
Ce programme est conçu pour afficher des publicités. Il s’agit d’un fichier Windows DLL écrit en Visual C++. La taille est de 69 632 octets et le nom d’origine du fichier est IEHelper.dll.

Installation

Lorsque la DLL est enregistrée, les clés suivantes seront ajoutées à la base de registre :

[HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj.1\CLSID]
"{CE7C3CF0-4B15-11D1-ABED-709549C10000}"

[HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj\CurVer]
"IEHlprObj.IEHlprObj.1"

[HKEY_CLASSES_ROOT\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}]
"IEHlprObj Class"

[HKEY_CLASSES_ROOT\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\InprocServer32]
"%System%\IEHelper.dll"

[HKEY_CLASSES_ROOT\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\ProgID]
"IEHlprObj.IEHlprObj.1"

[HKEY_CLASSES_ROOT\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\VersionIndependentProgID]
"IEHlprObj.IEHlprObj"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CE7C3CF0-4B15-11D1-ABED-709549C10000}]

[HKEY_CLASSES_ROOT\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}]

[HKEY_CLASSES_ROOT\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0]
"IEHelper 1.0 Type Library"

[HKEY_CLASSES_ROOT\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\0\win32]
"%System%\IEHelper.dll"

[HKEY_CLASSES_ROOT\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\FLAGS]
"0"

[HKEY_CLASSES_ROOT\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\HELPDIR]
"%System%"

[HKEY_CLASSES_ROOT\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}]
"IIEHlprObj"

[HKEY_CLASSES_ROOT\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\TypeLib]
"CE7C3CEF-4B15-11D1-ABED-709549C10000"
"Version"="1.0"

[HKEY_CLASSES_ROOT\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\ProxyStubClsid]
"{00020424-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\ProxyStubClsid32]
"{00020424-0000-0000-C000-000000000046}"

Action destructrice
Le composant est un Browser Helper Object (BHO) d’Internet Explorer qui démarre lorsqu’Internet Explorer est lancé et qui trace l’activité de l’internaute à chacune de ses sessions Internet.

Le programme est capable d’envoyer les données collectées vers un serveur distant et d’afficher des fenêtres publicitaires pop up :

http://www.51.com/
http://www.7mp3.com/
http://www.9991.com/
Conseils pour la suppression
Exécuter la ligne de commande suivante :
regsvr32.exe /u %System%\IEHelper.dll
Supprimez le fichier dénommé IEHelper.dll from the %system% folder.
Posted by ibrahim debeche at 3:18 AM