Supprimer le spyware Smitfraud

phpMyVisites | Open source web analytics

Suppression des spywares Smitfraud / Quicknavigate / Virtual Maid


Smitfraud est une famille connue de parasites dédiés au phishing (vol de données personnelles bancaires, essentiellement). Ils installent :
  • Security iGuard / Spyware Vanisher : Téléchargé de force, ces utilitaires vous supprimeront le spyware (Smitfraud) si vous le s acheté bien sûr..
  • Quicknavigate / UpdateSearches / NeedUpdate: Hijacker vous modifiant la page de démarrage d’Internet Explorer (Quicknavigate: http://www.quicknavigate.com – UpdateSearches : http://www.updatesearches.com – NeedUpdate: http://www.needupdate.com) selon les cas.
  • Virtual Maid : Adware (parasite publicitaire) qui s’installe en BHO dans Internet Explorer avec l’apparence d’une barre d’outils.

Voici les symptômes d’une infection par Troj/FakeAle-D / Trojan-Spy.HTML.Smitfraud.c de ces spywares :

  • Une nouvelle page de démarrage sur Internet Explorer (ça ne sert à rien de remettre la précédente, il vous la rechangera)
  • Change votre fond d’écran (voir plus bas). Ce dernier active l’option ActiveDesktop afin d’y charger un fond d’écran avec une page HTML, il empèche aussi de désactiver l’option ActiveDesktop en vous supprimant l’onglet dans Panneau de configuration/Affichage
  • Il vous propose d’installer un « anti-spyware » (souvent Security iGuard) qui détecte les spywares mais vous demandent une clef d’activation pour les supprimer. C’est un faux anti-spyware..
  • Comme tout spyware, il ouvre plein de popup (porn, casinos etc..) et ralentit considérablement le système.


  Capture du fond d'écran modifié par Smitfraud

Détection de Smitfraud

Exemple de log avec HijackThis :

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http:://www.quicknavigate.com/search.php?qq=%1
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http:://www.quicknavigate.com/bar.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http:://www.quicknavigate.com/search.php?qq=%1
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http:://www.quicknavigate.com/search.php?qq=%1
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http:://www.quicknavigate.com/search.php?qq=%1
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http:://www.quicknavigate.com/search.php?qq=%1
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =http:://www.quicknavigate.com/
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http:://www.startsearches.net/search.php?qq=%1
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http:://www.startsearches.net/bar.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http:://www.startsearches.net/search.php?qq=%1
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http:://www.startsearches.net/search.php?qq=%1
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http:://www.startsearches.net/search.php?qq=%1
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http:://www.startsearches.net/search.php?qq=%1
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = http:://www.startsearches.net/
O2 – BHO: VMHomepage Class – {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} – C:WINDOWSSystem32hp6DD8.tmp
O4 – HKCU..Run: [WindowsFY] c:wp.exe
O4 – HKCU..Run: [WindowsFY] c:bsw.exe
O4 – HKLM..Run: [WindowsFZ] C:WINDOWSZLOADER3.EXE
O4 – HKLM..Run: [Security iGuard] C:\Program Files\Security iGuardSecurity iGuard.exe
O9 – Extra button: Microsoft AntiSpyware helper – {D5BC2651-6A61-4542-BF7D-84D42228772C} – C:WINDOWSSystem32wldr.dll
O9 – Extra ‘Tools’ menuitem: Microsoft AntiSpyware helper – {D5BC2651-6A61-4542-BF7D-84D42228772C} – C:WINDOWSSystem32wldr.dll
O9 – Extra button: Microsoft AntiSpyware helper – {D5BC2651-6A61-4542-BF7D-84D42228772C} – C:WINDOWSSystem32wldr.dll (HKCU)
O9 – Extra ‘Tools’ menuitem: Microsoft AntiSpyware helper – {D5BC2651-6A61-4542-BF7D-84D42228772C} – C:WINDOWSSystem32wldr.dll (HKCU)

NeedUpdate :
C:\Windows\System32hp????.tmp
C:\Windows\System32ld????.tmp
C:\Windows\System32mscornet.exe
C:\Windows\System32mssearchnet.exe
C:\Windows\System32msvol.tlb
C:\Windows\System32ncompat.tlb
C:\Windows\System32nvctrl.exe
C:\Windows\System32ot.ico
C:\Windows\System32svchosts.dll
C:\Windows\System32ts.ico

HHK.DLL – utilisé pour masquer la présence du parasite dans la base de registre.
hp
6DD8tmp – Attention 6DD8 est aléatoire. Détecté en tant qu’adware (parasite publicitaire) sous le nom de Win32.Startpage.QE

NOTE: les trojans peuvent changer selon les variantes de Smitfraud.

Suppression de Smitfraud


Autres Liens

Pour plus d’informations, sur le fonctionnement des spywares et les conseils à suivre : cliquez-ici
Page de StrimRemover
assiste.forum.free.fr : Supprimer Smitfraud
bleepingcomputer.com (anglais): Supprimer Smitfraud

Retour à la page d’accueil

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 18 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *