Malware UuU.uUu et XxX.xXx

Résolu/Fermé
Signaler
-
 megapingouin -
Bonjour à tous, j'ai depuis hier des plaintes de mes utilisateurs concernant un plantage d'Internet Explorer ou de Firefox à l'ouverture de session.

N'ayant plus pour le moment de Proxy les virus ont pu s'infiltrer.
Ce ver n'est pas dangereux, mais il se sert de votre navigateur internet pour envoyer des informations sur votre machine à un site de Hackers.

Après 1 journée de recherche, nous avons trouvé la solution, OUF !!
Pour s'en débarrasser, il y a une petite manipulation à faire.
ATTENTION : Il faut toucher aux fichiers système de votre machine ainsi qu'à la base de registre, donc soyez extrêmement prudents !!!

- Démarrez la machine en mode sans échec (appuyez sur F8 ou F5 le cas échéant)

- Tout d'abord, il faut supprimer le répertoire "Windows updat" qui se trouve dans le system32.
Pour pouvoir y accéder, il faut aller dans les options des dossiers et dans l'onglet affichage.
Il faut ensuite "afficher les fichiers et dossiers cachés" puis décocher la case "Masquer les fichiers protégés du système d'exploitation".
Une fois cela fait, il faut aller dans "C:\WINDOWS\System32" et vous verrez apparaitre un dossier nommé "Windows updat" contenant un fichier "Windows.exe". Supprimez ce répertoire puis videz la corbeille.

- Il faut maintenant supprimer la clé de registre.
Elle se trouve dans "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CG56...."
Supprimez cette clé

- On doit maintenant éliminer les fichiers XxX.xXx et UuU.uUu
Ils se trouvent dans "C:\documents and settings\<utilisateur actuel>\local settings\Temp".
Supprimez ces 2 fichiers puis videz la corbeille.

Faites une analyse complète avec Malwarebytes' Anti-Malware pour s'assurer de la suppression du ver.

Reconnectez-vous en mode normal sur votre machine et vérifiez après s'être connecté dans le gestionnaire des tâches que le processus IExplore.exe ou Firefox.exe ne s'est pas lancé.


Bon courage à vous,
Tigul

<conf>Windows XP / Firefox 3.6</conf>

15 réponses

Pourquoi ? il est censé en avoir un ??
1
Un détail, utilisez mbam en mode sans échec, sinon ca ne sert à rien...

Comme toujours, le fait d'avoir un firewall qui ne laisse pas tout sortir par défaut (donc autre que celui de Windows) permet au moins de voir les processus inhabituels qui se lancent et demande à sortir vers internet...
Un truc qu'on ne connait pas qui se lance d'un coup et demande à sortir sur internet = REFUSER LA CONNEXION ET VÉRIFIER DE QUOI IL S'AGIT !!

Je sais, c'est contraignant (un peu) mais la sécurité est à ce prix là...

Pour ceux qui n'ont pas ce qu'il faut, j'utilise le firewall gratuit Checkpoint ZoneAlarm (https://www.zonealarm.com/software/free-firewall mais il y en a d'autres.

Ça n'empêchera pas les infections, mais ca évitera que vos données se barrent sur internet.
1

hello

dur-dur pour un novice
0
Messages postés
898
Date d'inscription
samedi 6 mars 2010
Statut
Contributeur
Dernière intervention
2 juin 2014
224
bonjour, un passage par Erunt s'impose avant de se lancer dans se type de manip ;-)
0

il est ou le reste du topic ?
0
C'est le seul moyen que j'ai trouvé pour m'en débarasser ^^
Et ca marche pas forcément à tous les coups...

Par contre je suis pas convaincu par Erunt. En effet, si on fait une sauvegarde du registre la clé se recréera automatiquement puisque pas supprimée totalement ce qui est logique puisqu'on en crée une copie.

Bon courage ou plutôt bonne chance...
0

il est ou le reste du topic ?
0
Messages postés
5
Date d'inscription
vendredi 19 mars 2010
Statut
Membre
Dernière intervention
14 août 2010

dixit Seb :  
Il y a un autre moyen beaucoup plus facile,
en utilisant le System Restore de Windows. 
Tu restaure donc tes settings à quelques jours plus tôt
et ensuite envoies les deux fichiers à la corbeille,
simplement, et définitivement. 


Moi je veux bien, mais :
- Même un reformatage total de la machine n'est pas suffisant pour l'érradiquer.
- Si on ne sais pas quand on a été infecté, difficile de définir quel point de restauration selectionner, non ?? De plus, je ne sais pas si c'est suffisant.

Désolé Seb, mais ca n'est pas une solution pertinente à ce problème, enfin d'après moi.
Bon courage...
0
bonjour

je suis infecter pas ce malware et j'ai bien les 2 fichiers UuU.uUu et XxX.xXx dans mon dossier TEMP
Alors j'ai voulu suivre votre procedure mais je ne troune ni le dossier "Windows updat" ni la cle de registre "{CG56...."
j'ai bien "afficher les fichiers et dossiers cachés" puis décocher la case "Masquer les fichiers protégés du système d'exploitation".

peu etre aurais vous autre chose j'ai une bonne connaissance de l'informatique
0

bonsoir à tous,

l'infection xXx.xXx.xXx et UuU.UuU.UuU :

il s'agit d'un Trojan.Poison/Bifrose et en même temps installe un Keylogger.

visible dans les lignes 04 de rapport zhp ou rsit :

O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\system32\explorer.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\system32\explorer.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\system32\explorer.exe
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\system32\explorer.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\system32\explorer.exe (User 'Default user')


MBAM le prend en charge facilement

;-)
0
merci a toi

je suis justement entrain de faire une verif avec MBAM donc je vous tiens au courant apres
0
merci MBAM a bien fait le boulot
0

relance MBAM, vide sa quarantaine, repasse un autre scan rapide pour vérifie qu'il en reste plus rien, si ras, supprime tes points de estauration système et crées en un nouveaux.

bon surf et bonne soirée :-)
0

Bon ok pour le virer avec MBAM, mais ce que je voudrais savoir, c'est comment on chope cette vérole...
J'ai un Firewall et un bon anti-virus à jour :(
0
Messages postés
5
Date d'inscription
vendredi 19 mars 2010
Statut
Membre
Dernière intervention
14 août 2010

Dixit megapingouin : 
J'ai un Firewall et un bon anti-virus à jour :(


Mon anti-virus aussi était à jour, une version serveur en plus...
De là à savoir d'où ca vient, c'est un gros point d'interrogation (à part que le virus envoie les infos vers un site de Hackers)

Bon courage à ceux qui ont récolté cette cochonnerie...
0