Virus uuuuuuu et XxX.XxX

Fermé
Nicoum - 14 déc. 2010 à 16:09
hakoss Messages postés 4 Date d'inscription lundi 13 octobre 2008 Statut Membre Dernière intervention 5 janvier 2011 - 5 janv. 2011 à 13:41
Bonjour, voilà je suis infecté par ce virus te je ne sais comment procéder pour l'éradiquer. Si une âme charitable pouvait m'éclairer..

Merci d'avance


36 réponses

crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
Modifié par crapoulou le 15/12/2010 à 21:24
- Supprime manuellement ces fichiers :
Uuu.uuu, Xxx.xxx, MSN.abc, xxxyyyzzz.dat et logs.dat

- Avec des logiciels comme Tor, Limewire, je pense que t'a attrapé tes véroles sur le réseau P2P, en crackant un logiciel par exemple (Adobe....?!)

- Analyse ces fichiers :
C:\Users\Nicovideo\AppData\Roaming\Windows Live\Microsoft_KB95340.exe 
C:\windows\System32\drivers\tvydiv.sys
C:\Windows\Explorer.exe
C:\Windows\System32\Winlogon.exe

Sur le site de Virustotal :
https://www.virustotal.com/gui/

Parcourir > Sélectionne ton fichier > Analyser, patiente que l'analyse soit terminée.

Poste bien les rapports.

(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).

Tu tires ou tu pointes ?
0
Justement quand je supprime ces fichiers ils réapparaissent aussitôt. En gros je peux pas les supprimer. J'ai essayer de les supprimer en mode sans echec ca se passe bien mais quand je repasse en mode normal ils reviennent.

Je ne trouve pas de dossier Windows Live dans AppData/Roaming
0
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
15 déc. 2010 à 21:32
Affiche les fichiers et dossiers cachés :
Dans Mes documents, Outils, Options des dossiers, Onglet Affichage, coche Afficher les fichiers et dossiers cachés.

Si tu ne trouve pas de menu Outils, appuie sur la touche [ALT].
0
Voilà le jolie rapport :

AhnLab-V3 2010.12.15.02 2010.12.15 Win-Trojan/Xema.variant
AntiVir 7.11.0.45 2010.12.15 TR/Gibi.acl
Antiy-AVL 2.0.3.7 2010.12.15 Trojan/Win32.Gibi.gen
Avast 4.8.1351.0 2010.12.15 Win32:VB-QKG
Avast5 5.0.677.0 2010.12.15 Win32:VB-QKG
AVG 9.0.0.851 2010.12.15 Generic19.CLIM
BitDefender 7.2 2010.12.15 Trojan.Generic.KDV.56799
CAT-QuickHeal 11.00 2010.12.15 Trojan.Gibi.acl
ClamAV 0.96.4.0 2010.12.15 PUA.Packed.ASPack
Command 5.2.11.5 2010.12.15 -
DrWeb 5.0.2.03300 2010.12.15 -
Emsisoft 5.1.0.1 2010.12.15 Virus.Win32.Malware!IK
eSafe 7.0.17.0 2010.12.15 -
eTrust-Vet 36.1.8043 2010.12.15 -
F-Prot 4.6.2.117 2010.12.14 -
F-Secure 9.0.16160.0 2010.12.15 Trojan.Generic.KDV.56799
Fortinet 4.2.254.0 2010.12.15 W32/Gibi.ACL!tr
GData 21 2010.12.15 Trojan.Generic.KDV.56799
Ikarus T3.1.1.90.0 2010.12.15 Virus.Win32.Malware
Jiangmin 13.0.900 2010.12.15 -
K7AntiVirus 9.73.3258 2010.12.15 -
Kaspersky 7.0.0.125 2010.12.15 Trojan.Win32.Gibi.acl
McAfee 5.400.0.1158 2010.12.15 -
McAfee-GW-Edition 2010.1C 2010.12.15 Heuristic.LooksLike.Win32.Suspicious.F
Microsoft 1.6402 2010.12.15 VirTool:Win32/VBInject.KR
NOD32 5706 2010.12.15 Win32/Spatet.A
Norman 6.06.12 2010.12.15 W32/Suspicious_Gen2.ENUFL
nProtect 2010-12-15.02 2010.12.15 Trojan.Generic.KDV.56799
Panda 10.0.2.7 2010.12.15 Trj/CI.A
PCTools 7.0.3.5 2010.12.15 Trojan.Gen
Prevx 3.0 2010.12.15 High Risk Cloaked Malware
Rising 22.78.01.04 2010.12.15 Trojan.Win32.Generic.5241F941
Sophos 4.60.0 2010.12.15 -
SUPERAntiSpyware 4.40.0.1006 2010.12.15 -
Symantec 20101.3.0.103 2010.12.15 Trojan.Gen
TheHacker 6.7.0.1.101 2010.12.15 Trojan/Spatet.a
TrendMicro 9.120.0.1004 2010.12.15 TROJ_GEN.R47C3KF
TrendMicro-HouseCall 9.120.0.1004 2010.12.15 TROJ_GEN.R47C3KF
VBA32 3.12.14.2 2010.12.14 Trojan.Gibi.acl
VIPRE 7665 2010.12.15 Trojan.Win32.Generic!BT
ViRobot 2010.12.15.4202 2010.12.15 -
VirusBuster 13.6.96.0 2010.12.15 Trojan.Gibi!7j1yaYNKFu0
0
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
15 déc. 2010 à 21:44
Ce rapport correspond au fichier suivant ?
C:\Users\Nicovideo\AppData\Roaming\Windows Live\Microsoft_KB95340.exe

Regarde dans ce message, je l'ai édité et demandé d'analyser d'autres fichiers :
https://forums.commentcamarche.net/forum/affich-20145508-virus-uuuuuuu-et-xxx-xxx?full#21
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
ET quand j'essaye de supprimer ce fichier il réapparait juste après...
0
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
15 déc. 2010 à 21:47
Afin que les développeurs mettent à jour leurs bases de données virales, peux-tu faire ceci stp :

Envoie ce fichier infectieux :
C:\Users\Nicovideo\AppData\Roaming\Windows Live\Microsoft_KB95340.exe

à cette adresse :
https://www.avira.com/

********

Puis rends-toi à cette adresse :

https://www.bleepingcomputer.com/submit-malware.php?channel=12

Remplis le formulaire ainsi :


Link to topic where this file was requested:
=> Copie-colle l'adresse de cette discussion :
http://www.commentcamarche.net/forum/affich-20145508-virus-uuuuuuu-et-xxx-xxx?full#21


Browse to the file you want to submit:
=> Sélectionne ce fichier :
C:\Users\Nicovideo\AppData\Roaming\Windows Live\Microsoft_KB95340.exe

Leave any comments, further information about this file, or contact information:
=> Copie-colle ceci :
From crapoulou to S!ri for MBAM, VT = http://www.commentcamarche.net/forum/affich-20145508-virus-uuuuuuu-et-xxx-xxx?full#24

https://www.bleepingcomputer.com/submit-malware.php?channel=12

********
0
Voilà l'analyse des fichiers :

tvydiv.sys

AhnLab-V3 2010.12.15.02 2010.12.15 -
AntiVir 7.11.0.45 2010.12.15 -
Antiy-AVL 2.0.3.7 2010.12.15 -
Avast 4.8.1351.0 2010.12.15 -
Avast5 5.0.677.0 2010.12.15 -
AVG 9.0.0.851 2010.12.15 -
BitDefender 7.2 2010.12.15 -
CAT-QuickHeal 11.00 2010.12.15 -
ClamAV 0.96.4.0 2010.12.15 BC.Heuristics.Rootkit.B-9.MV
Command 5.2.11.5 2010.12.15 -
Comodo 7072 2010.12.15 -
DrWeb 5.0.2.03300 2010.12.15 -
Emsisoft 5.1.0.1 2010.12.15 -
eSafe 7.0.17.0 2010.12.15 Win32.TrojanHorse
eTrust-Vet 36.1.8043 2010.12.15 -
F-Prot 4.6.2.117 2010.12.14 -
F-Secure 9.0.16160.0 2010.12.15 -
Fortinet 4.2.254.0 2010.12.15 -
GData 21 2010.12.15 -
Ikarus T3.1.1.90.0 2010.12.15 -
Jiangmin 13.0.900 2010.12.15 -
K7AntiVirus 9.73.3258 2010.12.15 -
Kaspersky 7.0.0.125 2010.12.15 -
McAfee 5.400.0.1158 2010.12.15 -
McAfee-GW-Edition 2010.1C 2010.12.15 -
Microsoft 1.6402 2010.12.15 -
NOD32 5706 2010.12.15 -
Norman 6.06.12 2010.12.15 -
nProtect 2010-12-15.02 2010.12.15 -
Panda 10.0.2.7 2010.12.15 -
PCTools 7.0.3.5 2010.12.15 -
Prevx 3.0 2010.12.15 -
Rising 22.78.01.04 2010.12.15 -
Sophos 4.60.0 2010.12.15 -
SUPERAntiSpyware 4.40.0.1006 2010.12.15 -
Symantec 20101.3.0.103 2010.12.15 -
TheHacker 6.7.0.1.101 2010.12.15 -
TrendMicro 9.120.0.1004 2010.12.15 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.15 -
VBA32 3.12.14.2 2010.12.14 -
VIPRE 7666 2010.12.15 -
ViRobot 2010.12.15.4202 2010.12.15 -
VirusBuster 13.6.96.0 2010.12.15 -


-----------------------------------------------------

Explorer.exe

RAS

-----------------------------------------------------

Winlogon.exe

RAS

Et en effet c'est bien le Microsoft_KB95340.exe qui est infecté aussi mais comment
le supprimer étant donné que quand je le supprime il réapparait aussitôt ?
0
Voici le rapport de combofix :

http://www.cijoint.fr/cjlink.php?file=cj201012/cijZLJ0n6b.txt
0
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
15 déc. 2010 à 22:28
On progresse !

Analyse ce fichier stp :
c:\windows\System32\Drivers\spgv.sys
0
Je n'ai pas de spgv.sys dans ce dossier
0
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
15 déc. 2010 à 22:37
Relance SEAF de la même manière que crécédemment et entre ceci cette fois-ci :

spgv.sys

********

As-tu bien envoyé le fichier infectieux sur les deux adresses comme demandé précédemment ?!
0
Tu es sûr que ce serait pas plutôt spdt.sys ?
0
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
15 déc. 2010 à 22:53
Non, ce fichier est légitime.
Le fichier mentionné plus haut est mentionné dans le rapport.

Lance SEAF pour s'assurer qu'il soit bien absent.
0
Le fichier a dû être supprimé car SEAF ne le trouve pas.

En tout cas, je crois qu'on a fait un beau gros nettoyage avec ComboFix car il n'y a plus de trace de virus me semble t'il
0
Je viens de le faire.

Voici le new rapport : http://www.cijoint.fr/cjlink.php?file=cj201012/cijxj5UPNx.txt
0
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
Modifié par crapoulou le 16/12/2010 à 20:50
Quelques vérifications s'imposent :

Télécharge MBRCheck sur ton Bureau = = = = =>>> En cliquant ici <<<= = = = =
Exécute le par clic droit > Exécuter en tant qu'administrateur.
Une fenêtre sur fond noir va s'ouvrir.
Une fois cela fait, répond 'N' pour ne rien faire, puis Entrée pour fermer la fenêtre.


***************

Télécharge Gmer sur ton bureau :
= = = = =>>> En cliquant ici <<<= = = = = =

* Décompresse l'archive sur le bureau.

* Déconnecte-toi d'Internet et ferme tous les autres programmes.

* Double clique sur gmer.exe pour lancer le programme.

* Si on te pose la question, réponds oui au lancement de gmer.sys

* Si tu as un message t'avertissant du démarrage d'un programme sur l'activité des rootkits et si tu veux lancer un scan, réponds NON.

Ouvre l'onglet Rootkit.

Vérifies que toutes les cases de la colonne de droite soient cochées, à l'exception de "Show all".

Clique sur le bouton "Scan". Patiente le temps du scan.

A la fin, clique sur le bouton "Copy".

Le rapport a été copié dans le presse-papier. Ouvre le bloc-notes et appuie en même temps sur les touches Ctrl et V. Le rapport est collé dans le bloc-notes. Enregistre le (Fichier > Enregistrer sous) sur le bureau.

Copie le dans ta prochaine réponse.

Mentionne moi les lignes en rouge s'il y en a.

NB : Si tu as un problème pour lancer gmer.exe, essaye en mode sans échec. Contrairement à d'autres scanners de rootkits, gmer s'exécute en mode sans échec.

**********

Ton antivirus McAfee est à jour ?!

Tu tires ou tu pointes ?
0
hakoss Messages postés 4 Date d'inscription lundi 13 octobre 2008 Statut Membre Dernière intervention 5 janvier 2011
5 janv. 2011 à 13:41
Bonjour a tous, je suis sous Windows Seven 64 Ultimate; après plusieurs visites de forum sur différents sites au sujet de ce problème et surtout sur celui-ci j'ai réussi a régler ce problème pour ma part.
J'ai pu constater que c'était un TROJAN qui inscrivez des clés de registre associé a FIREFOX dans HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/FileExts.C'est ici que sont inscrit les clés uUu, xXx, et ABC.
De plus un programme ou service qui se lance au démarrage doit activer ces trojans puisqu'il n'est pas possible de les supprimer, soit ils se replacent aussitot au même endroit, soit un message d'erreur nous dit qu'un programme l'utilise.
Petite astuce, dans mon gestionnaire des taches (CTRL+ALT+SUPPR), j'avais un processus du nom de "firefox 32*" et je n'avais pourtant pas lancer mon navigateur.j'ai voulu le retirer en choississant "terminer l'arborescence du processus" et la il se fermait puis tout d'un coup un nouveau processus du nom de "WondowsLiveMessenger.exe apparaissait pour ensuite se changer en "firefox 32*".

J'ai donc redemarrer mon PC en mode sans echec, il faut spammer le bouton F8 apres la presentation de sa carte mere.Choisir demarrer en mode sans echec.
Ensuite aller chercher les fichiers uUu et xXx et xxxyyyzzz.dat ainsi que MSN.abc, les mettre dans la corbeille puis la vider.Ensuite effectuer un examen rapide avec Malwarebytes.moi il m'avait retrouver un logs.dat.Retourner voir si les fichiers uUu et autres sont réapparus.Ensuite nettoyer le registre avec Ccleaner (pour ma part j'ai la version 2.32.1165).Normalement il devrait trouver les clés uUu ..... puisque les fichiers ont été supprimés.Réparer les erreurs,et refaire un nettoyage.
Ensuite retourner dans le registre ou se trouvait les cleés infectés uUu... pour voir si elles ont bien été supprimés.
Pour finir taper msconfig dans "rechercher" ou "executer",choisir l'onglet "Démarrage" ensuite aller chercher les services "HKCU" et "HKLM", ces services sont associés a WindowsLiveMessenger(Moi je n'avais pas ce service installés sur mon PC, donc ça ne m'a pas déranger de les désactiver, d'ailleurs je trouvais ça assez bizarre quand on regarde le processus fantôme portant le meme nom.

Ensuite j'ai redémarrer mon PC normalement et là mon registre plus de clé xXx..., plus de processus "firfox 32*" ou encore "WindowsLiveMessenger.exe*" et plus de fichiers xXx ou uUu ou xxxyyyzzz.dat et MSN.abc.

Pour ma part c'est une réussite, de plus j'ai moins de processus activé et mon PC et plus rapide.Je ne vous certifie pas que ça soit la solution, moi c'est comme ça que j'ai solutionné mon soucis, je n'ai aucun soucis sur ma machine, d'ailleurs Firefox s'affiche plus vite depuis, pas de souci dans l'exploration de mes dossiers ou fichiers,
0