Malware UuU.uUu et XxX.xXx

Résolu
Tigul -  
 megapingouin - 14 août 2010 à 15:16
Bonjour à tous, j'ai depuis hier des plaintes de mes utilisateurs concernant un plantage d'Internet Explorer ou de Firefox à l'ouverture de session.

N'ayant plus pour le moment de Proxy les virus ont pu s'infiltrer.
Ce ver n'est pas dangereux, mais il se sert de votre navigateur internet pour envoyer des informations sur votre machine à un site de Hackers.

Après 1 journée de recherche, nous avons trouvé la solution, OUF !!
Pour s'en débarrasser, il y a une petite manipulation à faire.
ATTENTION : Il faut toucher aux fichiers système de votre machine ainsi qu'à la base de registre, donc soyez extrêmement prudents !!!

- Démarrez la machine en mode sans échec (appuyez sur F8 ou F5 le cas échéant)

- Tout d'abord, il faut supprimer le répertoire "Windows updat" qui se trouve dans le system32.
Pour pouvoir y accéder, il faut aller dans les options des dossiers et dans l'onglet affichage.
Il faut ensuite "afficher les fichiers et dossiers cachés" puis décocher la case "Masquer les fichiers protégés du système d'exploitation".
Une fois cela fait, il faut aller dans "C:\WINDOWS\System32" et vous verrez apparaitre un dossier nommé "Windows updat" contenant un fichier "Windows.exe". Supprimez ce répertoire puis videz la corbeille.

- Il faut maintenant supprimer la clé de registre.
Elle se trouve dans "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CG56...."
Supprimez cette clé

- On doit maintenant éliminer les fichiers XxX.xXx et UuU.uUu
Ils se trouvent dans "C:\documents and settings\<utilisateur actuel>\local settings\Temp".
Supprimez ces 2 fichiers puis videz la corbeille.

Faites une analyse complète avec Malwarebytes' Anti-Malware pour s'assurer de la suppression du ver.

Reconnectez-vous en mode normal sur votre machine et vérifiez après s'être connecté dans le gestionnaire des tâches que le processus IExplore.exe ou Firefox.exe ne s'est pas lancé.


Bon courage à vous,
Tigul

<conf>Windows XP / Firefox 3.6</conf>
A voir également:

15 réponses

Réponse 1 / 15
Tigul
 
Pourquoi ? il est censé en avoir un ??
1
Réponse 2 / 15
megapingouin
 
Un détail, utilisez mbam en mode sans échec, sinon ca ne sert à rien...

Comme toujours, le fait d'avoir un firewall qui ne laisse pas tout sortir par défaut (donc autre que celui de Windows) permet au moins de voir les processus inhabituels qui se lancent et demande à sortir vers internet...
Un truc qu'on ne connait pas qui se lance d'un coup et demande à sortir sur internet = REF LA CONNEXION ET VÉRIFIER DE QUOI IL S'AGIT !!

Je sais, c'est contraignant (un peu) mais la sécurité est à ce prix là...

Pour ceux qui n'ont pas ce qu'il faut, j'utilise le firewall gratuit Checkpoint ZoneAlarm (https://www.zonealarm.com/software/free-firewall mais il y en a d'autres.

Ça n'empêchera pas les infections, mais ca évitera que vos données se barrent sur internet.
1
Réponse 3 / 15
Utilisateur anonyme
 
hello

dur-dur pour un novice
0
Réponse 4 / 15
marc1301 Messages postés 899 Date d'inscription   Statut Contributeur Dernière intervention   226
 
bonjour, un age par Erunt s'impose avant de se lancer dans se type de manip ;-)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
Utilisateur anonyme
 
il est ou le reste du topic ?
0
Réponse 6 / 15
Tigul
 
C'est le seul moyen que j'ai trouvé pour m'en débarasser ^^
Et ca marche pas forcément à tous les coups...

Par contre je suis pas convaincu par Erunt. En effet, si on fait une sauvegarde du registre la clé se recréera automatiquement puisque pas supprimée totalement ce qui est logique puisqu'on en crée une copie.

Bon courage ou plutôt bonne chance...
0
Réponse 7 / 15
Utilisateur anonyme
 
il est ou le reste du topic ?
0
Réponse 8 / 15
Tigul Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
  
dixit Seb :  
Il y a un autre moyen beaucoup plus facile,
en utilisant le System Restore de Windows. 
Tu restaure donc tes settings à quelques jours plus tôt
et ensuite envoies les deux fichiers à la corbeille,
simplement, et définitivement.


Moi je veux bien, mais :
- Même un reformatage total de la machine n'est pas suffisant pour l'érradiquer.
- Si on ne sais pas quand on a été infecté, difficile de définir quel point de restauration selectionner, non ?? De plus, je ne sais pas si c'est suffisant.

Désolé Seb, mais ca n'est pas une solution pertinente à ce problème, enfin d'après moi.
Bon courage...
0
Réponse 9 / 15
malcor
 
bonjour

je suis infecter pas ce malware et j'ai bien les 2 fichiers UuU.uUu et XxX.xXx dans mon dossier TEMP
Alors j'ai voulu suivre votre procedure mais je ne troune ni le dossier "Windows updat" ni la cle de registre "{CG56...."
j'ai bien "afficher les fichiers et dossiers cachés" puis décocher la case "Masquer les fichiers protégés du système d'exploitation".

peu etre aurais vous autre chose j'ai une bonne connaissance de l'informatique
0
Réponse 10 / 15
Utilisateur anonyme
 
bonsoir à tous,

l'infection xXx.xXx.xXx et UuU.UuU.UuU :

il s'agit d'un Trojan.Poison/Bifrose et en même temps installe un Keylogger.

visible dans les lignes 04 de rapport zhp ou rsit :

O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\system32\explorer.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\system32\explorer.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\system32\explorer.exe
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\system32\explorer.exe ( 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\system32\explorer.exe ( 'Default ')

MBAM le prend en charge facilement

;-)
0
Réponse 11 / 15
malcor
 
merci a toi

je suis justement entrain de faire une verif avec MBAM donc je vous tiens au courant apres
0
Réponse 12 / 15
malcor
 
merci MBAM a bien fait le boulot
0
Réponse 13 / 15
Utilisateur anonyme
 
relance MBAM, vide sa quarantaine, ree un autre scan rapide pour vérifie qu'il en reste plus rien, si ras, supprime tes points de estauration système et crées en un nouveaux.

bon surf et bonne soirée :-)
0
Réponse 14 / 15
megapingouin
 
Bon ok pour le virer avec MBAM, mais ce que je voudrais savoir, c'est comment on chope cette vérole...
J'ai un Firewall et un bon anti-virus à jour :(
0
Réponse 15 / 15
Tigul Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
  
Dixit megapingouin : 
J'ai un Firewall et un bon anti-virus à jour :(


Mon anti-virus aussi était à jour, une version serveur en plus...
De là à savoir d'où ca vient, c'est un gros point d'interrogation (à part que le virus envoie les infos vers un site de Hackers)

Bon courage à ceux qui ont récolté cette cochonnerie...
0

Discussions similaires

Comment supprimer tor.jack sur Android
sabinelouisonbruno -
akaloupile -

4 réponses
Win64:Malware-gen
ptb35 -
MisteryBean -

3 réponses
Pc infecté ? Analyse de Gridinsoft
slimocb -
bazfile -

7 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses
Tor.Jack.Malware
Camille -
bazfile -

1 réponse