InstallBrain est un programme qui s’installe à votre insu via le téléchargement de logiciels gratuits. Il se propage via le téléchargements de certains jeux gratuits. Son objectif est de gagner de l’argent en générant du trafic Web.

Caractéristiques :

– Il appartient à une famille de PUP Optionnels (Potentially Unwanted Program).
– Vendeur : PUP.Optional.

Actions principales :

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il installe un programme d’extension pour le navigateur Google Chrome (G2),
– Il s’installe en tant que Browser Helper Object (BHO) de Navigateur internet (O2),
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il s’installe en tant que programme (O42),
– Il crée de multiples clés de Registre « Software »,
– Il crée des dossiers supplémentaires (O43),
– Il s’installe dans le dossier Windows prefetcher (O45),
– Il pollue la base de Registres avec de nombreuses clés et valeurs (O88 ),

 

Aperçu ZHPDiag, NCDiag :

—\\ Processus lancés
[MD5.060CFEBA44859BBD439208532DEB64F1] – (.Pas de propriétaire – Installer.) — C:\ProgramData\IBUpdaterService\ibsvc.exe [593312] [PID.4264]

—\\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)
G2 – GCE: Preference [User Data\Default] [dlnembnfbcpjnepmfjmngjenhhajpdfd] IB Updater v.2.0.0.578, (Activé )
G2 – GCE: Preference [User Data\Default] [gflandjopdloblmlcoiidmncpinmmacn] Zula Games v.1.0.0.5 (Activé )

—\\ Browser Helper Objects de navigateur (O2)
O2 – BHO: Zula Games – {A9337080-7CBF-4E3E-80C1-3867BEDD88E0} . (.Zula Games – Zula Games.) — C:\Program Files\Zula Games\ScriptHost.dll

—\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 – Service: Updater Service (IBUpdaterService) . (.Pas de propriétaire – Installer.) – C:\ProgramData\IBUpdaterService\ibsvc.exe
O23 – Service: (IBUpdaterService) . (…) – C:\Windows\System32\dmwu.exe

—\\ Logiciels installés (O42)
O42 – Logiciel: IB Updater Service – (…) [HKLM][64Bits] — WNLT

—\\ HKCU & HKLM Software Keys
[HKLM\Software\IB Updater]
[HKLM\Software\Wow6432Node\IB Updater]

—\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 18/05/2013 – 17:53:32 – [0,002] —-D C:\ProgramData\IBUpdaterService

—\\ Derniers fichiers créés dans Windows Prefetcher (O45)
O45 – LFCP:[MD5.E279AD68CE63DBD3EC2EA508588273D7] – 02/07/2013 – 11:56:56 —A- – C:\Windows\Prefetch\IBSVC.EXE-DF599968.pf

—\\ Recherche particuliere à la racine de certains dossiers (SPRF) (O84)
[MD5.15382BEFD84EC2490A588F8BBC624339] [SPRF][01-04-13] (.Pas de propriétaire – Installer.) — C:\Users\Coolman\Desktop\bundleSetup.exe [609088]

—\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SR – | Auto 1455408 | (IBUpdaterService) . (…) – C:\Windows\System32\dmwu.exe

—\\ Scan Additionnel (O88 )
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9337080-7CBF-4E3E-80C1-3867BEDD88E0}]
[HKLM\Software\Classes\CLSID\{A9337080-7CBF-4E3E-80C1-3867BEDD88E0}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats{A9337080-7CBF-4E3E-80C1-3867BEDD88E0}\]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A9337080-7CBF-4E3E-80C1-3867BEDD88E0}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WNLT]
[HKLM\SYSTEM\CurrentControlSet\Services\IBUpdaterService]
[HKLM\Software\IB Updater]
[HKLM\Software\Wow6432Node\IB Updater]
[HKLM\Software\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd]
[HKLM\Software\Google\Chrome\Extensions\gflandjopdloblmlcoiidmncpinmmacn]
C:\Windows\Prefetch\IBSVC.EXE-DF599968.pf
C:\Program Files\Zula Games\ScriptHost.dll
C:\ProgramData\IBUpdaterService
C:\ProgramData\IBUpdaterService\ibsvc.exe
C:\Users\Coolman\AppData\Local\Google\Chrome\User Data\Default\Extensions\gflandjopdloblmlcoiidmncpinmmacn
C:\Users\Coolman\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
C:\Users\Coolman\Desktop\bundleSetup.exe
C:\Windows\System32\dmwu.exe

 

Liens :

www.systemlookup.com
malwaretips.com

Alias :

PUP.Optional.InstallBrain [Malwarebytes]
PUP.Optional.ZuluGames [Malwarebytes]
Adware.BGuard.16 [DrWeb]
Win32/Toolbar.Besttoolbars.C [ESET Nod32]

 

Supprimer (Remove) :

– Supprimer l’extension « IB Updater » de tous les navigateurs installés,
– Supprimer le plugin « IB Updater » de tous les navigateurs installés,
– Supprimer le logiciel « IB Updater » via le panneau de configuration Windows,
– Supprimer le logiciel « Zula Games » via le panneau de configuration Windows,
– Modifier les pages de recherche et de démarrage de tous les navigateurs installés,
– Vider le cache des navigateurs
Nettoyer avec ZHPCleaner