Trojan-Spy.HTML.Smitfraud.c

Résumé : Trojan-Spy.HTML.Smitfraud.c		Mots-clés : Trojan-Spy.HTML.Smitfraud.c

Trojan-Spy.HTML.Smitfraud.c

Alias : Trojan-Spy.HTML.Smitfraud.c

Classes : Hijacker Plus diverses formes d'attaques dont de l'ingénierie sociale...

Risque :

Editeur : Probablement les bénéficiares du hijack soit, au moins, les domaines quicknavigate.com, startsearches.net et updateSearches.com ainsi que les éditeurs crapuleux de pseudo logiciels de sécurité Security iGuard et Spyware Vanisher. On trouve également l'adware (parasite publicitaire) Virtual Maid.

Découverte : 11.02.2005

Installation :

Affectés : Internet Explorer

Epargnés : Les liaisons Internet en xDSL

Activité : Vous fait croire que vous êtes attaqué par un virus du nom de Trojan-Spy.HTML.Smitfraud.c qui n'existe pas pour vous vendre un utilitaire de sécurité de type anti-spyware, crapuleux.

Vie privée :

Faille : Oui

Instabilité : ?

Conséquences :

Précautions : Procédure spéciale ci-dessous.

Procédure spéciale d'éradication
Les dernières mises à jour de cette procédure se trouvent sur ce forum :
http://assiste.forum.free.fr/viewtopic.php?t=7231

Imprimez ces instructions car vous allez être conduit à fermer toutes les fenêtres.

Indépendamment d'autres parasites et contaminations dont vous pourriez être victime, voici une procédure spécifique contre les attaques Trojan-Spy.HTML.Smitfraud.c

Spécial : éradication de Smitfraud / Win32.puper / Security iGuard / Spyware Vanisher / quicknavigate.com / updateSearches.com / startsearches.net / Virtual Maid

Commentaires sur l'attasque

Ces parasites sont trouvés ensembles, les sites piégés faisant la "promotion" de l'un faisant simultanément la promotion des autres. Smitfraud est classé au 18ème rang des parasites les plus trouvés en mars 2005 (apparition en février 2005).

Smitfraud :
Rien n'apparaît dans les journaux produits avec HijackThis ou avec Silentrunners mais l'utilisateur est confronté à un bureau modifié : l'écran est totalement bleu, les icônes apparaissent mais un texte est affiché au milieu de l'écran :

C'est complètement faux et, en réalité, ceci sert uniquement à affoler l'utilisateur et à lui forcer la main pour acheter un anti-spywares crapuleux proposé juste après.

Attention : vous n'êtes pas attaqués par Smitfraud
Smitfraud est, en réalité, une famille connue de parasites dédiés au phishing (vol de données personnelles bancaires, essentiellement). Le parasite qui vous attaque vous fait croire que vous êtes attaqué par SmitFraud (l'écran bleu - il joue sur la notoriété de SmitFraud) et vous suggère d'utiliser n'importe quel anti-spywares mais, simultanément, vous dirrige vers un pseudo portail de sécurité d'où vous ne pouvez télécharger qu'un seul anti-spyware (faux utilitaire de sécurité, inconnu) et l'acheter, bien sûr !
Smitfraud, le vrai, n'inscrit rien dans votre ordinateur et ne modifie pas la base de registre :
Phish-BankFraud.eml.a (McAfee - 16.02.2005 - http://vil.mcafeesecurity.com/vil/content/v_131775.htm )
Trojan Horse (Symantec)
Trojan.Bankfraud (DrWEB)
HTML.Phishing.Bank-1 (ClamAV)

Trj/Citifraud.A (Panda) a écrit:

Citifraud.A is a Trojan that exploits the Internet Explorer vulnerability Improper URL Canonicalization, which allows to misrepresent the web address displayed in the address bar of Internet Explorer. Citifraud.A consists of an HTML file that contains a link pretending to point to a U.S. bank website. Citifraud.A can be hosted in a malicious web page or be included in an HTML e-mail message, which is then massively distributed (spam). If a user clicks the mentioned link, the browser would be directed to the fake website.

NOD32 - Eset a écrit:

HTML/Smithfraud.gen is a so-called "phishing scam". It is a counterfeit e-mail message spammed by various groups of hackers that deceives trustful users into disclosing credit card numbers, bank account information and various personal details. The profesionally crafted e-mail message claims to come from a bank, financial institution or an ISP and usually demands the confirmation of personal data. After clicking the link, users are sent to a fraudulent site, which looks just like the institution's web site and are asked for various sensitive information.

Trend a écrit:

HTML_SMITFRAUD.A (Aliases: Phish-BankFraud.eml) This is Trend Micro's detection for an HTML script that poses as a legitimate email from Smith Barney, an affiliate of the well- known international financial institution Citigroup....

Attention :

Trojan-Spy.HTML.Smitfraud.c (Kaspersky - 11.02.2005)
Le trojan Trojan-Spy.HTML.Smitfraud.c n'existe pas en tant que parasite à la fraude bancaire comme le sont tous les autres de la famille Smitfraud. Cette déclaration péremptoire de parasitage sur le bureau de Windows n'est qu'un effet visuel du hijacker des pages d'Internet Explorer dont vous êtes victime et ne sert qu'à faire vendre du logiciel crapuleux de sécurité.
En réalité, vous êtes attaqués par l'une des variantes d'un hijacker de la famille Win32.Puper qui cherche à vous vendre un utilitaire de sécurité (un anti-spywares inconnu) de manière crapuleuse. Seul Kaspersky à nommé l'attaque dont nous parlons ici sous le nom prétendu par l'attaque (le nom qui apparaît sur l'écran bleu).

Les alias des hijacker de la famille Puper sont :
Trojan-Spy.HTML.Smitfraud.c
Puper (McAfee)
Win32/Puper.2048!Trojan (Computer Associates - eTrust)
Win32.Puper.A (Computer Associates - eTrust)
Win32.Puper.B (Computer Associates - eTrust)
Win32/Puper.B!Trojan (Computer Associates - eTrust)
Win32.Puper.C (Computer Associates - eTrust)
Win32.Puper.D (Computer Associates - eTrust)
Win32/Puper.D!Trojan (Computer Associates - eTrust)
Win32.Puper.E (Computer Associates - eTrust)
Trojan.Win32.Puper.a (Kaspersky)
Trojan.Win32.Puper.c (Kaspersky)
Trojan.Win32.Puper.d (Kaspersky)
Trojan.Win32.Puper.e (Kaspersky)
Trojan.Win32.Puper.h (Kaspersky)

Ce parasite installe
HHK.DLL - Une dll utilisée pour masquer la présence du parasite dans la base de registre (un hook)
intmonp.exe - Installé par certaines variantes de Puper
hp*.tmp - Où * est une valeur aléatoire à 4 caractères héxadécimaux (par exemple hp1400.tmp ou hpa8fc.tmp). Détecté en tant qu'adware (parasite publicitaire) sous le nom de Win32.Startpage.QE

Ces fichiers sont installés dans le répertoire système (%System%) soit :
Windows 2000 et NT : C:\Winnt\System32
Windows 95, 98 et ME : C:\Windows\System
Windows XP : C:\Windows\System32

Security iGuard
Cet utilitaire crapuleux est celui généralement téléchargé de force, censé justement vous débarasser de Trojan-Spy.HTML.Smitfraud.c, à condition de l'acheter, bien sûr!

Spyware Vanisher
Cet utilitaire crapuleux, prétendument anti-spyware, est proposé par plusieurs domaines vers lesquels vous êtes redirigés par leur hijacker. Il est censé, justement, vous débarasser de Trojan-Spy.HTML.Smitfraud.c, à condition de l'acheter, bien sûr!

Quicknavigate
Hijacker forçant la page de démarrage d'Internet Explorer, crapuleusement, vers un pseudo portail qui, justement, propose en premier des utilitaires de sécurités suspects dont "Spyware Vanisher".
Pseudo portail rencontrés :
http://www.quicknavigate.com

UpdateSearches
Hijacker forçant la page de démarrage d'Internet Explorer, crapuleusement, vers un pseudo portail qui, justement, propose en premier des utilitaires de sécurités suspects dont "Spyware Vanisher".
Pseudo portail rencontrés :
http://www.updatesearches.com

Virtual Maid
Adware (parasite publicitaire) qui s'installe en BHO dans Internet Explorer avec apparence d'une barre d'outils.

Les symptômes pouvant faire penser à la présence de ces parasites sont, dans un log HijackThis

Citation:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.quicknavigate.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.quicknavigate.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.quicknavigate.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp6DD8.tmp

O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O4 - HKCU\..\Run: [WindowsFY] c:\bsw.exe

O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe

O9 - Extra button: Microsoft AntiSpyware helper - {D5BC2651-6A61-4542-BF7D-84D42228772C} - C:\WINDOWS\System32\wldr.dll
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D5BC2651-6A61-4542-BF7D-84D42228772C} - C:\WINDOWS\System32\wldr.dll
O9 - Extra button: Microsoft AntiSpyware helper - {D5BC2651-6A61-4542-BF7D-84D42228772C} - C:\WINDOWS\System32\wldr.dll (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D5BC2651-6A61-4542-BF7D-84D42228772C} - C:\WINDOWS\System32\wldr.dll (HKCU)

Nota:
http://www.startsearches.net/ redirige actuellement vers http://www.microsoft.com/

Procédure d'éradication

Si ce n'est déjà fait, désactivez les points de restauration du système
Uniquement si votre système supporte cette fonctionnalité, c'est à dire si vous êtes sous Windows me ou XP.
http://assiste.com/p/comment/activer_desactiver_points_restauration.php

Si ce n'est déjà fait, réglez votre antivirus et votre anti-trojans au maximum
http://assiste.com/p/comment/antivirus_au_maximum.php

Si ce n'est déjà fait, faites en sorte de tout voir

Révélez tous les fichiers et répertoires cachés
http://assiste.com/p/comment/voir_fichiers_caches.php

Révélez les entrées cachées dans "Ajouter ou supprimer des programmes"
http://assiste.com/p/comment/supprimer_composant_cache.php

Vous ne devez pas avoir le processus TeaTimer de SpyBot-S&D actif. S'il l'est, lancez Spybot-S&D > Mode > Mode avancé > Oui > Outils > Résident > Décocher la case devant "TeaTimer".

Vous ne devez pas avoir le processus Protection en Temps Réel (Real-Time Protection) de Microsoft AntiSpyware. Clic droit sur l'icône Microsoft AntiSpyware dans le "system tray" (les petits icônes près de l'horloge) > Security Agents status (Enabled) > Desable Real-Time Protection.

Vous ne devez pas avoir le processus SpywareGuard actif. Tuez-le. Comment tuer un processus ?
http://assiste.com/p/comment/tuer_processus.php

Vous ne devez pas avoir de processus de type contrôleurs d'intégrité actifs.

Etc. ...

Désinstaller certains parasites avec leurs propres uninstall

Aller dans Panneau de configuration > "Ajouter et Supprimer des programmes"
Désinstaller les applications suivantes si elles existent
Security IGuard
Virtual Maid
Search Maid
Spyware Vanisher

Nota:
Ce genre de désinstalleur est souvent un leurre ne désinstallant rien, voire installant d'autres parasites.

Quittez "Ajouter et Supprimer des programmes"
Quittez le panneau de configuration

Télécharger smitfraud.reg
Faire un clic droit (bouton droit de la souris) et choisissez "Enregistrer sous"
Enregistrez-le dans un endroit aisé à retrouver (par exemple directement sur le bureau ou dans c:\smitfraud.reg)
http://www.bleepingcomputer.com/files/reg/smitfraud.reg

Localiser ce fichier smitfraud.reg avec l'explorateur de Windows et faire un double clic dessus.
A la demande si vous voulez fusionner avec la base de registre, répondez "Oui".
Attendre l'affichage de la réussite de la fusion.

Télécharger un utilitaire nommé TheKillbox
http://www.downloads.subratam.org/KillBox.zip

Dézippez le dans un répertoire

Lancez Killbox d'un double clic sur Killbox.exe
Ne touchez à aucun bouton. Sélectionner simplement "Delete on reboot"

Ne fermez pas Killbox.

Ouvrez Notepad "le bloc-notes de Windows" (Démarrer > Tous les programmes > Accessoires > Bloc-Notes)

Si vous êtes sous Windows XP, sélectionnez la liste de fichiers ci-après, copiez-la, coller-la dans Notepad.

Citation:

C:\wp.exe
C:\wp.bmp
C:\bsw.exe
C:\Windows\sites.ini
C:\Windows\popuper.exe
C:\Windows\System32\hhk.dll
C:\Windows\System32\wldr.dll
C:\Windows\System32\helper.exe
C:\Windows\System32\intmon.exe
C:\Windows\System32\shnlog.exe
C:\Windows\system32\perfcii.ini
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\system32\msole32.exe
C:\Windows\System32\ole32vbs.exe

Si vous êtes sous Windows NT/2000, sélectionnez la liste de fichiers ci-après, copiez-la, coller-la dans Notepad.

Citation:

C:\wp.exe
C:\wp.bmp
C:\bsw.exe
C:\Windows\sites.ini
C:\Windows\popuper.exe
C:\Winnt\System32\hhk.dll
C:\Winnt\System32\wldr.dll
C:\Winnt\System32\helper.exe
C:\Winnt\System32\intmon.exe
C:\Winnt\System32\shnlog.exe
C:\Windows\system32\perfcii.ini
C:\Winnt\System32\intmonp.exe
C:\Winnt\System32\msmsgs.exe
C:\Winnt\System32\msole32.exe
C:\Winnt\System32\ole32vbs.exe

Si vous êtes sous Windows 95/98/Me, sélectionnez la liste de fichiers ci-après, copiez-la, coller-la dans Notepad.

Citation:

C:\wp.exe
C:\wp.bmp
C:\bsw.exe
C:\Windows\sites.ini
C:\Windows\popuper.exe
C:\Windows\System\hhk.dll
C:\Windows\System\wldr.dll
C:\Windows\System\helper.exe
C:\Windows\System\intmon.exe
C:\Windows\System\shnlog.exe
C:\Windows\system32\perfcii.ini
C:\Windows\System\intmonp.exe
C:\Windows\System\msmsgs.exe
C:\Windows\System\msole32.exe
C:\Windows\System\ole32vbs.exe

Maintenant, recherchez une variante possible, dans C:\Windows\System32, d'un fichier nommé hp*.tmp (dans lequel * est une chaîne de caractères aléatoires). Le fichier peut, par exemple, s'appeler
C:\WINDOWS\system32\hp1400.tmp
Ce fichier s'installe en tant que BHO dans Internet Explorer, vous hijack pour vous rediriger vers quicknavigate.com et détruit tous les autres BHOs que vous pourriez avoir, légitimes ou non.
Si vous l'avez trouvé, ajoutez son chemin d'accès complet à la liste des fichiers ci-dessus, dans Notepad.

Maintenant, dans Notepad, faites un clic droit > Sélectionner tout > Clic droit > Copier

Retournez dans Killbox. Allez dans le menu "File" et sélectionner "Paste from Clipboard"

Toujours dans KillBox, faites un clic sur le bouton rouge et blanc "Delete File". Clic sur Yes à la demande "Delete on Reboot". Clic sur No pour les autres demandes d'opérations.

Si votre ordinateur ne redémarre pas automatiquement, le redémarrer manuellement.
Dans tous les cas, il faut redémarrer en mode "Sans échec".
http://assiste.com/p/comment/demarrer_mode_sans_echec.php
Ceci permet de s'assurer que le minimum de services et de processus sont lancés, en particulier, nous cherchons à éviter un maximum de chargement et démarrage de processus parasites ainsi que de processus de sécurité qui pourraient interférer avec la décontamination car nous allons modifier des clés de la base de registre : vous ne devez donc pas avoir de processus qui surveillent la base de registre et seraient susceptibles de restaurer les clés que nous allons modifier ou supprimer.

Avec l'explorateur de Windows, localiser et détruire les répertoires suivants (ne pas utiliser l'outil de recherche de l'explorateur de Windows car il ne les verrait pas).
Classeurs à détruire, s'ils existent (en maintenant la touche Ctrl enfoncée de manière à éviter qu'ils n'atterrissent dans la poubelle d'où ils pourraient ressortir).

C:\Program Files\Search Maid
C:\Program Files\Virtual Maid
C:\Windows\System32\Log Files
C:\Program Files\Security IGuard
C:\Program Files\Spyware Vanisher

Si ce n'est déjà fait, videz complètement tous les caches et fichiers temporaires.
Le plus simple : utilisez CCleaner (gratuit)
http://assiste.com/p/internet_utilitaires/ccleaner.php

Si son utilisation est impossible actuellement, videz (effacez tout le contenu) à la main, en les localisant avec l'explorateur de Windows, les répertoires
C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temporary Internet Files\
C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temporary Internet Files\
C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temp\
C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temp\

Videz les répertoires temporaires

Si vous êtes sous Windows 95/98/Me/XP, videz
C:\Windows\Temp\

Si vous êtes sous Windows NT/2000, videz
C:\Winnt\Temp\

Si ce n'est déjà fait, détruisez tous les cookies inconnus ou inutiles
Utilisez SpyBot Search & Destroy (gratuit)
http://assiste.com/p/internet_utilitaires/spybot_search_destroy.php

Si ce n'est déjà fait, videz la corbeille (y compris si elle est protégée par Norton)
Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)

Si ce n'est déjà fait, fermez absolument toutes les fenêtres
dont toutes les instances d'Internet Explorer et toutes les instances de l'explorateur de Windows, toutes les instances du bloc-note de Windows (NotePad) etc. ...
Pour bien faire, vous devriez imprimer ceci et fermer cette instance de votre navigateur que vous êtes en train d'utiliser pour me lire. Ceci ne s'applique que si vous utilisez Internet Explorer - si vous lisez ceci avec Mozilla Suite ou Mozilla Firefox ou Opera, vous pourrez réouvrir votre navigateur après le point 10.

Toujours en mode sans échec

Exécutez votre antivirus, réglé au maximum
Si vous avez un antivirus, utilisez-le, sinon téléchargez BitDefender Pro ou Kaspersky AVP maintenant.
http://assiste.com/p/internet_utilitaires/bitdefender_antivirus.php
http://assiste.com/p/internet_utilitaires/kav_kaspersky_antivirus.php

L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont analysés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Analysez et détruisez tous les fichiers contaminés trouvés. Les antivirus ne sont pas des anti-spywares (anti-trojans).

Exécutez votre anti-spyware (anti-trojans), réglé au maximum.
Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro ou Microsoft Antispywares maintenant.
http://assiste.com/p/internet_utilitaires/pestpatrol.php
http://assiste.com/p/internet_utilitaires/a2.php
http://assiste.com/p/internet_utilitaires/the_cleaner.php
http://assiste.com/p/internet_utilitaires/microsoft_antispyware.php

L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum.
Voir, également, le mode d'emploi de PestPatrol en français à
http://assiste.com/p/internet_utilitaires/pestpatrol_v4.php

Videz à nouveau la corbeille (y compris si elle est protégée par Norton)
Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
Pour prévenir le cas ou votre antivirus (ou votre anti-trojans) aurait mis quelque chose à la poubelle.

Faites une sauvegarde de la base de registre
http://assiste.com/p/comment/sauvegarder_registre.php

Si ce n'est déjà fait, installer HijackThis dans son répertoire
http://assiste.com/p/internet_utilitaires/hijackthis.php
Par défaut, HijackThis va s'installer et s'exécuter depuis un dossier temporaire. Vous devez installer HijackThis dans un répertoire non temporaire et qui lui est réservé, hors des répertoires système. Pourquoi ? Parce que nous allons demander à HijackThis de faire des sauvegardes de nos manipulations. Si ces sauvegardes se trouvent dans un dossier temporaire, elles seront effacées.

Paramétrez HijackThis
Cliquez sur le bouton "Do a system scan only" (Faire un scan uniquement)
Cliquez sur le bouton "Config..." (Configurer)
Cocher la case "Make backups before fixing items"" (Faire des sauvegardes avant de corriger)
Cliquez sur le bouton "Back" (retour arrière)

Toujours en mode sans échec :

Fixer, avec HijackThis, les lignes suivants (si elles existent encore)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.quicknavigate.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.quicknavigate.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.quicknavigate.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp6DD8.tmp

O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O4 - HKCU\..\Run: [WindowsFY] c:\bsw.exe

O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe

O9 - Extra button: Microsoft AntiSpyware helper - {D5BC2651-6A61-4542-BF7D-84D42228772C} - C:\WINDOWS\System32\wldr.dll
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D5BC2651-6A61-4542-BF7D-84D42228772C} - C:\WINDOWS\System32\wldr.dll
O9 - Extra button: Microsoft AntiSpyware helper - {D5BC2651-6A61-4542-BF7D-84D42228772C} - C:\WINDOWS\System32\wldr.dll (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D5BC2651-6A61-4542-BF7D-84D42228772C} - C:\WINDOWS\System32\wldr.dll (HKCU)

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp1400.tmp
Ici, le nom du fichier est celui que vous avez trouvé durant votre recherche (hpnnnn.tmp ou nnnn est un nombre aléatoire)

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O9 - Extra button: Microsoft AntiSpyware helper - {9E34BF4B-E94B-4C91-AF3F-B8B36FB6F3EA} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {9E34BF4B-E94B-4C91-AF3F-B8B36FB6F3EA} - (no file) (HKCU)

Redémarrer en mode normal
Pour l'instant, ne pas restaurer ce qui a été inhibé (surveillance temps réel de la base de registre, contrôleurs d'intégrité, points de restauration du système...). Nous restaurerons tout cela lorsque tout sera clean.

Détruire le fichier hosts
Avec l'explorateur de Windows, localiser toutes les occurences d'un fichier nommé hosts (ce fichier n'a pas d'extension).
Détruire toutes ces occurences.

DelDomains
Télécharger cet utilitaire (c'est un .reg)
http://www.mvps.org/winhelp2002/DelDomains.inf
Faites un clic droit dessus > Install
Ceci va détruire toutes les entrées dans la zone de confiance d'Internet Explorer car ce parasite semble, dans certaines variantes, en installer plusieurs.

Nettoyage final
Repassez un coup de CCleaner (déjà vu au point 5)
http://assiste.com/p/internet_utilitaires/ccleaner.php

Redémarrer en mode normal

Windows Update
Faire un Windows Update et installer tous les correctifs de failles de sécurité.

Nouveau log HijackThis
Refaire un log HijackThis et le poster.

Nota:
L'un des virus de cette saga crée des entrées sous les clés suivantes (ne pas détruire les clés elles-mêmes. Essayer d'identifier les entrées utilisées et m'en donner leurs noms et contenus.
HKCR\CLSID\VMHomepage\
HKCR\CLSID\VMHomepage.1\
HKCR\VMHomepage.1\
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FASTUSERSWITCHINGCOMPATIBILITY\0000\Control\
HKLM\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_NETMAN\0000\Control\
HKLM\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_NLA\0000\Control\
HKLM\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_RASMAN\0000\Control\
HKLM\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_SSDPSRV\0000\Control\
HKLM\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_TAPISRV\0000\Control\
HKLM\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_TERMSERVICE\0000\Control\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\(FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA)
HKCR\CLSID\VMHomepage
HKCR\CLSID\(FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA)
HKCR\Interface\(1E1B2878-88FF-11D2-8D96-D7ACAC95951F)
HKCR\TypeLib\(1E1B286C-88FF-11D2-8D96-D7ACAC95951F)
HKCR\VMHomepage

_______________________________________________________________
Ceci est une aide que vous utilisez à vos propres risques et périls. Assiste.com ne saurait être tenu pour responsable d'un quelconque problème qui pourrait survenir en utilisant ces informations.

Il est probable que cette infection n'est pas venue seule et que d'autres parasites sont présents. Si vous souhaitez une aide pour décontaminer votre machine, postez un log HijackThis dans ce forum.
http://assiste.forum.free.fr/viewforum.php?f=70

_________________
Pierre (aka Terdef)

Cordialement
Pierre Pinard

Je vous ai aidé ? Merci de m'aider à poursuivre.
Soutien et donnations

Rédigé en écoutant :