Sujet Précédent Sujet Suivant

Malware UuU.uUu et XxX.xXx

Résolu/Fermé

Tigul - Modifié par irongege le 30/05/2010 à 21:46
megapingouin - 14 août 2010 à 15:16

Bonjour à tous, j'ai depuis hier des plaintes de mes utilisateurs concernant un plantage d'Internet Explorer ou de Firefox à l'ouverture de session.

N'ayant plus pour le moment de Proxy les virus ont pu s'infiltrer.
Ce ver n'est pas dangereux, mais il se sert de votre navigateur internet pour envoyer des informations sur votre machine à un site de Hackers.

Après 1 journée de recherche, nous avons trouvé la solution, OUF !!
Pour s'en débarrasser, il y a une petite manipulation à faire.
ATTENTION : Il faut toucher aux fichiers système de votre machine ainsi qu'à la base de registre, donc soyez extrêmement prudents !!!

- Démarrez la machine en mode sans échec (appuyez sur F8 ou F5 le cas échéant)

- Tout d'abord, il faut supprimer le répertoire "Windows updat" qui se trouve dans le system32.
Pour pouvoir y accéder, il faut aller dans les options des dossiers et dans l'onglet affichage.
Il faut ensuite "afficher les fichiers et dossiers cachés" puis décocher la case "Masquer les fichiers protégés du système d'exploitation".
Une fois cela fait, il faut aller dans "C:\WINDOWS\System32" et vous verrez apparaitre un dossier nommé "Windows updat" contenant un fichier "Windows.exe". Supprimez ce répertoire puis videz la corbeille.

- Il faut maintenant supprimer la clé de registre.
Elle se trouve dans "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CG56...."
Supprimez cette clé

- On doit maintenant éliminer les fichiers XxX.xXx et UuU.uUu
Ils se trouvent dans "C:\documents and settings\<utilisateur actuel>\local settings\Temp".
Supprimez ces 2 fichiers puis videz la corbeille.

Faites une analyse complète avec Malwarebytes' Anti-Malware pour s'assurer de la suppression du ver.

Reconnectez-vous en mode normal sur votre machine et vérifiez après s'être connecté dans le gestionnaire des tâches que le processus IExplore.exe ou Firefox.exe ne s'est pas lancé.

Bon courage à vous,
Tigul

<conf>Windows XP / Firefox 3.6</conf>

A voir également:

Malware UuU.uUu et XxX.xXx
Malware byte - Télécharger - Antivirus & Antimalwares
Supprimer malware - Guide
Gridinsoft anti-malware ✓ - Forum Virus
Roguekiller anti-malware - Télécharger - Antivirus & Antimalwares
Tor.jack malware - Forum Virus

15 réponses

Réponse 1 / 15

Tigul
Modifié par le 18/03/2010 à 20:47

Pourquoi ? il est censé en avoir un ??

Réponse 2 / 15

megapingouin
Modifié par megapingouin le 14/08/2010 à 15:18

Un détail, utilisez mbam en mode sans échec, sinon ca ne sert à rien...

Comme toujours, le fait d'avoir un firewall qui ne laisse pas tout sortir par défaut (donc autre que celui de Windows) permet au moins de voir les processus inhabituels qui se lancent et demande à sortir vers internet...
Un truc qu'on ne connait pas qui se lance d'un coup et demande à sortir sur internet = REFUSER LA CONNEXION ET VÉRIFIER DE QUOI IL S'AGIT !!

Je sais, c'est contraignant (un peu) mais la sécurité est à ce prix là...

Pour ceux qui n'ont pas ce qu'il faut, j'utilise le firewall gratuit Checkpoint ZoneAlarm (https://www.zonealarm.com/software/free-firewall mais il y en a d'autres.

Ça n'empêchera pas les infections, mais ca évitera que vos données se barrent sur internet.

Réponse 3 / 15

Utilisateur anonyme
18 mars 2010 à 14:19

hello

dur-dur pour un novice

Réponse 4 / 15

marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
18 mars 2010 à 14:36

bonjour, un passage par Erunt s'impose avant de se lancer dans se type de manip ;-)

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 15

Utilisateur anonyme
18 mars 2010 à 19:27

il est ou le reste du topic ?

Réponse 6 / 15

Tigul
18 mars 2010 à 19:28

C'est le seul moyen que j'ai trouvé pour m'en débarasser ^^
Et ca marche pas forcément à tous les coups...

Par contre je suis pas convaincu par Erunt. En effet, si on fait une sauvegarde du registre la clé se recréera automatiquement puisque pas supprimée totalement ce qui est logique puisqu'on en crée une copie.

Bon courage ou plutôt bonne chance...

Réponse 7 / 15

Utilisateur anonyme
18 mars 2010 à 19:48

il est ou le reste du topic ?

Réponse 8 / 15

Tigul Messages postés 5 Date d'inscription vendredi 19 mars 2010 Statut Membre Dernière intervention 14 août 2010
Modifié par Tigul le 19/04/2010 à 21:34

dixit Seb :  
Il y a un autre moyen beaucoup plus facile,
en utilisant le System Restore de Windows. 
Tu restaure donc tes settings à quelques jours plus tôt
et ensuite envoies les deux fichiers à la corbeille,
simplement, et définitivement.

Moi je veux bien, mais :
- Même un reformatage total de la machine n'est pas suffisant pour l'érradiquer.
- Si on ne sais pas quand on a été infecté, difficile de définir quel point de restauration selectionner, non ?? De plus, je ne sais pas si c'est suffisant.

Désolé Seb, mais ca n'est pas une solution pertinente à ce problème, enfin d'après moi.
Bon courage...

Réponse 9 / 15

malcor
30 mai 2010 à 21:43

bonjour

je suis infecter pas ce malware et j'ai bien les 2 fichiers UuU.uUu et XxX.xXx dans mon dossier TEMP
Alors j'ai voulu suivre votre procedure mais je ne troune ni le dossier "Windows updat" ni la cle de registre "{CG56...."
j'ai bien "afficher les fichiers et dossiers cachés" puis décocher la case "Masquer les fichiers protégés du système d'exploitation".

peu etre aurais vous autre chose j'ai une bonne connaissance de l'informatique

Réponse 10 / 15

Utilisateur anonyme
30 mai 2010 à 21:52

bonsoir à tous,

l'infection xXx.xXx.xXx et UuU.UuU.UuU :

il s'agit d'un Trojan.Poison/Bifrose et en même temps installe un Keylogger.

visible dans les lignes 04 de rapport zhp ou rsit :

O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\system32\explorer.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\system32\explorer.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\system32\explorer.exe
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\system32\explorer.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\system32\explorer.exe (User 'Default user')

MBAM le prend en charge facilement

;-)

Réponse 11 / 15

malcor
30 mai 2010 à 22:46

merci a toi

je suis justement entrain de faire une verif avec MBAM donc je vous tiens au courant apres

Réponse 12 / 15

malcor
30 mai 2010 à 23:53

merci MBAM a bien fait le boulot

Réponse 13 / 15

Utilisateur anonyme
30 mai 2010 à 23:56

relance MBAM, vide sa quarantaine, repasse un autre scan rapide pour vérifie qu'il en reste plus rien, si ras, supprime tes points de estauration système et crées en un nouveaux.

bon surf et bonne soirée :-)

Réponse 14 / 15

megapingouin
14 août 2010 à 12:18

Bon ok pour le virer avec MBAM, mais ce que je voudrais savoir, c'est comment on chope cette vérole...
J'ai un Firewall et un bon anti-virus à jour :(

Réponse 15 / 15

Tigul Messages postés 5 Date d'inscription vendredi 19 mars 2010 Statut Membre Dernière intervention 14 août 2010
Modifié par Tigul le 14/08/2010 à 13:32

Dixit megapingouin : 
J'ai un Firewall et un bon anti-virus à jour :(

Mon anti-virus aussi était à jour, une version serveur en plus...
De là à savoir d'où ca vient, c'est un gros point d'interrogation (à part que le virus envoie les infos vers un site de Hackers)

Bon courage à ceux qui ont récolté cette cochonnerie...

Discussions similaires

Comment supprimer tor.jack sur Android

Win64:Malware-gen

win32:malware-gen bloqué par avast

Problème de malware

Tor.Jack.Malware

Forum Virus

Trouvez des solutions pour détecter et éliminer les menaces, des astuces pour prévenir les infections, et discutez des dernières menaces en ligne