L’infection Graftor se répand très rapidement, en l’espace de deux jour, j’ai détecté 5 variantes de nom de logiciel et les services qui vont avec.

Caractéristiques :
– Il appartient à une famille de PUP (Potentially Unwanted Program).
– Développé par la société Software Publisher.

Actions principales :
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il s’installe en tant que programme (O42),
– Il crée des dossiers supplémentaires (O43),
– Il crée de multiples clés de Registre « Software »,

Voilà ce que donne le rapport de ZHPDiag :
—\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 – Service: LighterGeneration (f22bc34d) . (.Software Publisher – ???.) – c:\Program Files (x86)\LighterGeneration\LighterGeneration.dll
O23 – Service: LinkInstance (10c3b81e) . (.Software Publisher – ???.) – c:\Program Files (x86)\LinkInstance\LinkInstance.dll

—\\ Logiciels installés (O42)
O42 – Logiciel: LinkInstance – (.Software Publisher.)

[HKLM][64Bits] — {12DA0E6F-5543-440C-BAA2-28BF01070AFA}{10c3b81e}
O42 – Logiciel: LibraryInstance – (.Software Publisher.) [HKLM][64Bits] — {12DA0E6F-5543-440C-BAA2-28BF01070AFA}{1ca156e3}

—\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 20/01/2015 – 14:47:37 – [0] —-D C:\Program Files (x86)\LibraryInstance
O43 – CFD: 20/01/2015 – 07:41:28 – [] —-D C:\Program Files (x86)\LinkInstance

Le format rencontré :
Graftor commence par créer un service, plus précisément une clé de registre hexadécimale de 8 caractères. A chaque démarrage ce service lance une ressource de nom variable depuis le dossier des programmes.
Le nom du dossier est le même que celui de la ressource, qui est lui-même identique à la donnée de la valeur de clé « DisplayName ».

Conclusion :
ZHPcleaner prend en charge la suppression de Graftor :
– Il stoppe le service,
– Il supprime la clé de service HKLM,
– Il supprime la ressource malware,
– Il supprime le dossier malware,
– Il demande généralement un redémarrage du PC.

Voici un aperçu du rapport de suppression de ZHPCleaner :
~ ZHPCleaner v2015.1.20.28 by Nicolas Coolman (19/01/2015)
~ Run by Coolman (Administrator) (20/01/2015 20:29:07)
~ Type : Réparer
~ Windows 7, 64-bit Service Pack 1 (Build 7601)

—\\ Service. (5)
SERVICE ARRETE : f22bc55a
SERVICE ARRETE : f22bc34d
SERVICE ARRETE : 10c3b81e
SERVICE ARRETE : b80b68f9
SERVICE ARRETE : 1ca156e3

—\\ Explorateur ( Dossiers, Fichiers ). (10)
DEPLACÉ fichier: c:\Program Files (x86)\BringGeneration\BringGeneration.dll […] (Heuristic.Graftor)
DEPLACÉ dossier: C:\Program Files (x86)\BringGeneration (Heuristic.Graftor)
DEPLACÉ fichier: c:\Program Files (x86)\LighterGeneration\LighterGeneration.dll […] (Heuristic.Graftor)
DEPLACÉ dossier: C:\Program Files (x86)\LighterGeneration (Heuristic.Graftor)
DEPLACÉ fichier: c:\Program Files (x86)\LinkInstance\LinkInstance.dll […] (Heuristic.Graftor)
DEPLACÉ dossier: C:\Program Files (x86)\LinkInstance (Heuristic.Graftor)
DEPLACÉ fichier: c:\Program Files (x86)\PragmaGeneration\PragmaGeneration.dll […] (Heuristic.Graftor)
DEPLACÉ dossier: C:\Program Files (x86)\PragmaGeneration (Heuristic.Graftor)
DEPLACÉ fichier: c:\Program Files (x86)\LibraryInstance\LibraryInstance.dll […] (Heuristic.Graftor)
DEPLACÉ dossier: C:\Program Files (x86)\LibraryInstance (Heuristic.Graftor)

—\\ Base de Registres ( Clés, Valeurs, Données ). (5)
SUPPRIMÉ clé: HKLM\SYSTEM\CurrentControlSet\Services\f22bc55a [c:\Program Files (x86)\BringGeneration\BringGeneration.dll] (Heuristic.Graftor)
SUPPRIMÉ clé: HKLM\SYSTEM\CurrentControlSet\Services\f22bc34d [c:\Program Files (x86)\LighterGeneration\LighterGeneration.dll] (Heuristic.Graftor)
SUPPRIMÉ clé: HKLM\SYSTEM\CurrentControlSet\Services\10c3b81e [c:\Program Files (x86)\LinkInstance\LinkInstance.dll] (Heuristic.Graftor)
SUPPRIMÉ clé: HKLM\SYSTEM\CurrentControlSet\Services\b80b68f9 [c:\Program Files (x86)\PragmaGeneration\PragmaGeneration.dll] (Heuristic.Graftor)
SUPPRIMÉ clé: HKLM\SYSTEM\CurrentControlSet\Services\1ca156e3 [c:\Program Files (x86)\LibraryInstance\LibraryInstance.dll] (Heuristic.Graftor)

Logiciels concernés :
ZHPCleaner
ZHPDiag