Suppression des spywares Smitfraud /
Quicknavigate / Virtual Maid
Smitfraud est une famille connue de parasites
dédiés au
phishing (vol de données personnelles bancaires,
essentiellement). Ils installent :
- Security
iGuard / Spyware Vanisher :
Téléchargé de force, ces utilitaires
vous
supprimeront le spyware (Smitfraud) si vous le s acheté bien
sûr..
- Quicknavigate
/ UpdateSearches / NeedUpdate: Hijacker
vous
modifiant la page de démarrage d'Internet Explorer
(Quicknavigate: http://www.quicknavigate.com -
UpdateSearches : http://www.updatesearches.com -
NeedUpdate: http://www.needupdate.com) selon
les cas.
- Virtual Maid
: Adware (parasite publicitaire) qui s'installe en BHO
dans Internet Explorer avec l'apparence d'une barre d'outils.
Voici les symptômes d'une infection par
Troj/FakeAle-D
/ Trojan-Spy.HTML.Smitfraud.c de ces spywares :
- Une nouvelle page de démarrage
sur Internet Explorer
(ça ne sert à rien de remettre la
précédente, il vous la rechangera)
- Change votre fond d'écran (voir plus
bas). Ce dernier active l'option
ActiveDesktop afin d'y charger un fond d'écran avec une page
HTML, il empèche aussi de désactiver l'option
ActiveDesktop en vous supprimant l'onglet dans Panneau de
configuration/Affichage
- Il vous propose d'installer un "anti-spyware" (souvent Security iGuard)
qui
détecte
les spywares mais vous demandent une clef d'activation pour les
supprimer. C'est un faux anti-spyware..
- Comme tout spyware, il ouvre plein de popup (porn,
casinos etc..) et ralentit considérablement le
système.
Détection de Smitfraud
Exemple de log avec
HijackThis
:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL
= http:://www.quicknavigate.com/search.php?qq=%1
R1 -
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http:://www.quicknavigate.com/bar.html
R1 -
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http:://www.quicknavigate.com/search.php?qq=%1
R1 -
HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http:://www.quicknavigate.com/search.php?qq=%1
R1 -
HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
http:://www.quicknavigate.com/search.php?qq=%1
R1 -
HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
http:://www.quicknavigate.com/search.php?qq=%1
R0 -
HKCU\Software\Microsoft\Internet Explorer\Main,Local Page
=http:://www.quicknavigate.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL
= http:://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http:://www.startsearches.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http:://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http:://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
http:://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
http:://www.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
http:://www.startsearches.net/
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} -
C:\WINDOWS\System32\hp6DD8.tmp
O4 - HKCU\..\Run:
[WindowsFY] c:\wp.exe
O4 - HKCU\..\Run:
[WindowsFY] c:\bsw.exe
O4 - HKLM\..\Run:
[WindowsFZ] C:\WINDOWS\ZLOADER3.EXE
O4 - HKLM\..\Run:
[Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O9 - Extra button: Microsoft AntiSpyware helper -
{D5BC2651-6A61-4542-BF7D-84D42228772C} - C:\WINDOWS\System32\wldr.dll
O9 - Extra 'Tools'
menuitem: Microsoft AntiSpyware helper -
{D5BC2651-6A61-4542-BF7D-84D42228772C} - C:\WINDOWS\System32\wldr.dll
O9 - Extra button:
Microsoft AntiSpyware helper - {D5BC2651-6A61-4542-BF7D-84D42228772C} -
C:\WINDOWS\System32\wldr.dll (HKCU)
O9 - Extra 'Tools'
menuitem: Microsoft AntiSpyware helper -
{D5BC2651-6A61-4542-BF7D-84D42228772C} - C:\WINDOWS\System32\wldr.dll
(HKCU)
NeedUpdate
:
C:\WINDOWS\system32\hp????.tmp
C:\WINDOWS\system32\ld????.tmp
C:\WINDOWS\system32\mscornet.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\system32\ts.ico
HHK.DLL
- utilisé pour masquer la
présence du parasite dans la base de registre.
hp6DD8tmp -
Attention 6DD8 est aléatoire. Détecté en tant
qu'adware (parasite
publicitaire) sous le nom de Win32.Startpage.QE
NOTE:
les trojans peuvent changer selon les variantes de Smitfraud.
Suppression de Smitfraud
- Téléchargez SmitFraudFix
et dézipez le sur le bureau.
- Téléchargez et installez Malwarebyte's Anti-Malware
anti-malware recommandé
- Démarrez Windows en mode sans échec :
voir
ici
- Executez le SmitFraudFix
et lancez le fichier SmitfraudFix.cmd
- Choisissez l'option 2 et appuie sur
Entrée
- Répondez o (Oui) aux deux
questions suivantes si elles sont posées
- Afin de supprimer toutes traces du spyware
et d'autres
élements qu'il aurait pu installer, scannez votre ordinateur
avec :
- Redémarrez l'ordinateur
- Je vous conseil aussi de scanner votre ordinateur avec un
antivirus à jour, si vous êtes infecté,
il y a des
chances que vous n'en aillez pas, utilisez alors un antivirus en ligne
:
- Nettoyez votre base de
registre à l'aide de l'utilitaire regcleaner
- Nettoyez les fichiers temporaires/caches etc.. avec CCleaner
- Si vous rencontrez toujours des problèmes,
générez un log à l'aide HijackThis
- mode
d'emploi et venez le poster sur le forum
Autres Liens
Pour plus
d'informations, sur le fonctionnement des spywares et les conseils
à suivre :
cliquez-ici
Page de StrimRemover
assiste.forum.free.fr
: Supprimer Smitfraud
bleepingcomputer.com
(anglais): Supprimer Smitfraud
Retour à la page
d'accueil
