Auteur(s) : Jesses Création : 02/03/2006 Mise à jour : 02/03/2006

 

Hotbar

Que constatez vous ?

- Une barre d'outils comportant des boutons dynamiques dans votre navigateur :


Ces boutons sont dynamiques, vous en verrez apparaitre de nouveaux au fur et à mesure de votre surf.

- Une barre d'outils dans Outlook Express dont les boutons peuvent ressembler à cela :


- Un surf complètement pollué par leurs pubs et les popups (souvent provenant de net-offers.net).

D'où vient-il ?

Il n'est pas arrivé tout seul. Vous l'avez installé avec un gadget inutile :
Des "Emoticons" (smileys) pour agrémenter votre courrier, la météo dans votre barre des tâches ("Weather on line"),
la personnalisation de la barre d'outils d'Internet Explorer à l'aide de skins chargés sur le site de l'éditeur, des fonds d'écran, des animations, etc...

Leur but est avant tout de vous servir de la pub, ils ne s'en cachent pas.
Comme ils le déclarent pudiquement : "Occasionnellement, vous pourrez voir des popups et des offres et liens additionnels".
La pub ne sera pas occasionnelle du tout. Les victimes le constatent immédiatement.
Pour vous servir des pubs en relation avec vos centres d'intéret, Hotbar espionnera votre surf et transmettra les adresses des sites que vous visitez, les informations que vous entrez dans les formulaires (je n'invente rien, c'est ce qu'ils annoncent dans leur "Terms of Use and License").
Un cookie traceur avec un identifiant unique (GID) sera installé.
Même s'il disent ne récupérer aucune information permettant de vous identifier, votre surf est espionné. C'est donc bel et bien un spyware (logiciel espion).

Reste à se débarrasser de ce machin...

 

Le nettoyage

1 - Commencez par désinstaller ce que vous pouvez

Panneau de configuration -> "Ajout/Supression de programmes"
Cherchez les "programmes" suivants :
"Hotbar Browser, Weather and Wowopapers Tools"
"Hotbar Outlook Tools"
"Hotbar ShopperReports"
"Hotbar Web Tools"
"HBTools"
Et d'une façon générale tout ce qui mentionne Hotbar.
Quand vous trouvez une telle inscription, sélectionnez-la et cliquez sur le bouton "Supprimer"

2 - Utilisez l'outil de nettoyage de "Adware.Hotbar"

Le chargement

Il est fourni gratuitement par Symantec, l'éditeur de Norton AntiVirus
http://securityresponse.symantec.com/avcenter/venc/data/adware.hotbar.html

Si vous êtes curieux, vous pouvez parcourir cette page pour constater le nombre délirant d'inscriptions de ce nuisible dans la base de registre.
Cliquez en haut à droite de la page sur "Download Removal Tool"
Cela vous permet de charger le fichier "FxHotbar.exe" sur votre disque dur.
Placez-le où vous le désirez, sur le bureau par exemple. L'essentiel est de savoir le retrouver.

L'utilisation

Lancez l'outil de nettoyage de "Adware.Hotbar"
Double-cliquez sur le fichier que vous avez téléchargé : "FxHotbar.exe"
Cliquez sur le bouton "Start" et laissez-le travailler.

3 - Nettoyez les fichiers Internet temporaires.

Si vous possédez un nettoyeur, CCleaner par exemple, utilisez-le.

Sinon, nettoyez les fichiers Internet Temporaires de la façon habituelle :
- Accédez aux options Internet sans lancer le navigateur, inutile de risquer de retourner chez l'ennemi.
Utilisez l'icône Internet Explorer qui est sur votre bureau. Clic bouton droit sur cette icône -> "Propriétés Internet"
Ou encore Panneau de configuration -> "Options Internet"
Le formulaire "Propriétés de Internet" s'ouvre, sélectionnez si ce n'est déjà fait l'onglet "Général"
- A la rubrique "Page de démarrage", Vérifiez le champ "Adresse" et corrigez la si nécessaire. Par exemple : http://www.wanadoo.fr/
- Cliquez sur le bouton "Supprimer les fichiers...".
Dans le petit formulaire qui s'affiche, cochez "Supprimer le contenu hors connexion" puis cliquez sur le bouton "OK"
- Quittez le formulaire par le bouton "OK".

4 - Supprimez les dossier restants

Utilisez le poste de travail ou l'Explorateur Windows (ce que vous utilisez d'habitude pour visiter vos fichiers).

- Ouvrez le dossier "C:\Program Files\"
Si vous les trouvez, supprimez le ou les DOSSIERS suivants :
"HbTools", "Hotbar", "ShopperReports", "HbTools_Icons"

- Ouvrez le dossier "C:\Documents and Settings\<NomUtilisateur>\Application Data\" (voir remarque ci-dessous).
Si vous les trouvez, supprimez le ou les DOSSIERS suivants :
"Hotbar", "ShopperReports", "HbTools"

Remarque :

Ce dossier est habituellements caché, un petit réglage est nécessaire pour le voir :
Dans le poste de travail : Menu "Outils" -> "Options des Dossiers..." -> Onglet "Affichage".
Cochez "Afficher les fichiers et dossiers cachés" puis bouton "OK" pour entériner vos choix.
Vous pourrez retourner cocher "Ne pas afficher les fichiers et dossiers cachés" après le nettoyage.

C'est votre dernière étape, vous avez terminé.

Si vous possédez un logiciel antispywares (Spybot, Ad-aware, Ewido, A-squared), c'est le moment de l'utiliser.

Ce qui suit ne concerne que les cas difficiles.
Lisez quand même le paragraphe "Pour éviter de telles mésaventures" !

Si le nuisible était toujours là

Si ce qui précède n'a pas fonctionné, et seulement dans ce cas : l'outil fourni par Hotbar.
Tapez cette adresse dans la barre des tâches de votre navigateur :
http://hotbar.com/downloads/Uninst.exe
Puis cliquez sur la touche [Entrée] de votre clavier.
Cela vous permet de charger le fichier "Uninst.exe" sur votre disque dur.
Double-cliquez sur le fichier que vous avez téléchargé : "Uninst.exe"
Laissez-le nettoyer.
Puis reprenez à partir de l'étape 3 ci-dessus. Je n'ai qu'une confiance relative dans ce que peut fournir un éditeur de nuisances.

Pour éviter de telles mésaventures

Vous protéger

- D'abord éviter de charger et d'installer n'importe quoi.
La majorité des Emoticons (smileys) gratuits sont piégés.
Quand on charge un gadget gratuit, la moindre des précautions est de lire la licence et les "Terms of Use". Oui, je sais, c'est souvent en anglais...

- La vaccination : SpywareBlaster
Place hotbar.com dans la zone "Sites sensibles" de Internet Explorer.
Cela interdira tout chargement à partir de ce site (si vous n'avez pas modifié les réglages de cette zone).
Déclare leurs contrôles ActiveX comme non compatibles. Ils ne pouront être ni chargés ni exécutés.

- Spybot Search & Destroy
Son fichier hosts interdit la connexion à hotbar.com
Son petit module résident TeaTimer vous avertira lors de sa tentative d'installation.
A l'arrivée d'un machin comme Hotbar, il vous mènera d'ailleurs une vie impossible puisqu'il vous avertira de la modification de votre liste de démarrage, des pages Internet Explorer, de l'arrivée de contrôles ActiveX, BHOs, barres d'outils.
Vous pourrez refuser, ce qui limitera les dégats (le parasite ne sera pas installé). En tout cas l'installation ne pourra se faire discrètement !

Les sites à ne pas fréquenter

Qu'ils installent ou non le parasite hotbar, ces sites sont affiliés. Un tel éditeur de malfaisances mérite le boycot sur tous ses produits.
Le site de Hotbar : http://hotbar.com
Les papiers peints de bureau : http://wowpapers.com
Le comparateur de prix : http://shopperreports.com
Le bloqueur de spams : http://spamblockerutility.com
Spam Free -> http://www.spamfree.com/
Les jeux hotbar -> http://www.hotbargames.com/
Le nettoyeur internet -> http://www.pcpolish.com/
Les ecards -> http://www.ezaza.com/
On peut également s'interroger sur le sérieux des sites qui le proposent.
Quand on constate que hotbar a été chargé des milliers de fois sur un site de téléchargement connu comme www.zdnet.fr, il y a de quoi frémir :
http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,22043057s,00.htm
Ce n'est malheureusement pas le seul...

Pour les experts seulement

Hotbar se détecte facilement dans un rapport de scan HijackThis par les lignes suivantes :

Processus actifs :
C:\Program Files\HbTools\Bin\4.7.5.0\HbtOEAddOn.exe
C:\Program Files\HbTools\Bin\4.7.5.0\HbtWeatherOnTray.exe
C:\Program Files\HbTools\Bin\4.7.5.0\HbtSrv.exe

Inscriptions :
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Services/resultsmaster/ResultsMasterHomeLeftPane.htm
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\1.1.0.0\ShprRprt.dll
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.7.5.0\HbtHostIE.dll
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.7.5.0\HbtHostIE.dll
O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.7.5.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.7.5.0\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [nwwxvpfs] C:\WINDOWS\system32\uekxqdoo.exe (le nom est variable, une sale habitude des nuisibles)
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Program Files\ShopperReports\Bin\1.1.0.0\ShprRprt.dll
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\Program Files\ShopperReports\Bin\1.1.0.0\ShprRprt.dll

Si vous pouvez le désactiver dans HijackThis, il est absolument nécessaire d'utiliser l'outil Symantec pour supprimer la quantité énorme d'inscriptions qu'il génère dans la base de registre.

Les logiciels suivants peuvent compléter efficacement le nettoyage (sinon l'effectuer).
Spybot (toutes versions de Windows) et Ewido (Windows XP/2000 seulement, très performant pour hotbar).
A-squared (toutes versions de Windows) reconnait "Adware.HotBar.an", "Adware.HotBar.ap" ainsi qu'un grand nombre de variantes de "Adware.ToolBar.Hotbar" et "Adware.Win32.Hotbar".
Ce ne sont donc pas les outils qui manquent pour détecter et traiter ce malfaisant.

Références

http://www.hotbar.com/
http://assiste.com.free.fr/p/parasites/hotbar.php
http://www.pchell.com/support/hotbar.shtml
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453075474

 

Jesses Entraide. Création 03/2005