Pour rappel, les cracks sont un des vecteurs les plus importants d'infections, voir le sujet le danger des cracks!
Cette infection installe un dialer, des adware qui ouvrent des popups de publicités et effectuent des redictions lors des recherches Google.
Cette infection peut aussi installer des rogues à votre insu de la famille Ultimate : Ultimate Defender, Ultimate Cleaner et Ultimate Fixer
Lors des recherches Google.. l'infection ajoute une message sur fond jaune en haut (This page is trying to run Active Content components that used to spred computer viruses). L'alerte est proche des alertes d'Internet Explorer (ActiveX, popups de pubs, téléchargement etc..).
Si l'utilisateur clic sur le bouton "clic here for details".
Il se retrouve avec une page "Flash Animation Warning" qui lui explique que l'on peut être infecté via des animations flashs dangereuses et qu'il faut installer antispyware, un rogue est alors proposé en téléchargement.
Une fausse icône d'alerte à côté de l'horloge est présente est affiche de temps en temps des messages d'alertes disant que l'ordinateur est infecté.
En double-cliquant sur l'icône, une fausse barre de progression de scan s'affiche alors...
On retrouve les fausses alertes de sécurités qui ont pour but de vous faire installer des rogues
Lors des recherches sur Google, l'infection vous redirige vers des sites soit marchands, soit avec de fausses alertes...
Les sites sont en général : UpSpiral, ZanyBooks, LookSearch etc..
Pour plus d'informations sur les redictions lors des recherches Google, voir http://forum.malekal.com/ftopic2250.php
Si vous laissez tourner l'ordinateur... ce dernier va ouvrir des sites pornographiques et télécharger et lancer le programme d'installation de faux codecs
L'infection va aussi télécharger automatiquement et installer à votre ainsi des rogues
Dans la capture ci-dessus.. c'est le rogue Ultimate Cleaner qui s'installe..
Voici les lignes HijackThis relatives à cette infection :
O2 - BHO: (no name) - {39C6B6C8-E01E-3175-B583-04FDA1EE088B} - C:\Program Files\Kbgtvheb\akyxaihu.dll
O2 - BHO: (no name) - {984544AB-5FA6-46AF-BE1D-E21804DAD281} - C:\WINDOWS\system32\vtutrrs.dll
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvsus.dll,startup
O4 - HKLM\..\Run: [hqfcnozc] rundll32.exe "C:\Program Files\hqfcnozc\dozipizg.dll",Init
O4 - HKLM\..\Run: [nczcdyle] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\nczcdyle.dll"
O4 - HKLM\..\Run: [SC2] C:\Program Files\SecCenter\scprot4.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKCU\..\Run: [Ultimate Cleaner] "C:\Program Files\Ultimate Cleaner\UltimateCleaner.exe" hide
O20 - Winlogon Notify: vtutrrs - C:\WINDOWS\SYSTEM32\vtutrrs.dll
O20 - Winlogon Notify: winwly32 - C:\WINDOWS\SYSTEM32\winwly32.dll
avp.exe = Trojan-Downloader.Win32.Alphabet.gen
drvsus.dll = Trojan.Win32.Dialer.qn
mgrs.exe = Trojan-Downloader.Win32.Alphabet.gen
vtutrrs.dll,xxyaxww.dll = not-a-virus:AdWare.Win32.Virtumonde.jp
winwly32.dll = Trojan.Win32.Dialer.qn
nczcdyle.dll = TR/BHO.Agent.98304/Adware/UltimateCleaner/KickStart:Trojan-S
scprot4.exe = Adware/UltimateCleaner
La suite au prochain épisode...
Pour l'aide à la suppression de l'infection, créez votre sujet dans la partie VIRUS du forum