Infection Drag & Drop

De EjnTricks

Suite à une installation d'un "produit", des malwares ont été installés sur la machine de travail. Un bon nombre ont été détectés par l'antivirus mais certains sont passés au travers.

En autre, le Drag & Drop dans les navigateurs était désactivé. Impossible de glisser une image, un fichier texte, voir d'utiliser l'upload dans GoogleDoc.


Hand-icon.png Votre avis

Nobody voted on this yet

 You need to enable JavaScript to vote


MS-DOS-icon.png Enregistrement de dll

Suite à l'article sur computing.net, http://www.computing.net/answers/security/drag-drop-in-windows-disabled-malware-infection-solved/39569.html, il a été tenté d'enregistrer de nouveau deux dlls. Cette manipulation est réalisée dans une fenêtre DOS, exécutée en mode "Administrateur", sous peine d'avoir une erreur 0x80070005 

C:\tmp>cd %SystemRoot%
C:\Windows>cd System32
C:\Windows\System32>regsvr32 shell32.dll
C:\Windows\System32>regsvr32 ole32.dll

Dans le cadre de cette infection, cela n'a eu aucun effet.


File-find-icon.png Utilisation Norman Malware Cleaner

De nombreux outils de détection de Malwares sont disponibles sur internet. Dans le cadre de cette infection Norman Malware Cleaner a été utilisé. Après un scan complet, qui a pris pas moins de deux heures, la console indique cinq opérations curratives.


Les deux dernières suppressions concernent des fichiers temporaires des navigateurs, donc nous n'y prettons aucune importance. Les premiers messages indiquent la présence d'un Malware dans le répertoire c:\Program Files (x86)\SupTab. La dll a été supprimée mais la fonctionnalité de Drag & Drop n'était toujours pas disponible. Dans ce répertoire, le programme uninstall.exe est présent et est exécuté. Cependant il reste les fichiers HpUI.exe, Loader32.exe et Loader64.exe.

Malheureusement, ceux-ci sont en cour d'utilisation et il est impossible de les supprimer. Une procédure, sur http://www.system-tips.net est décrite ici. Celle-ci a été suivie.

Le process HpUI.exe a bien été trouvé.


Celui-ci a été le plus compliqué à supprimer, car le process se relance automatiquement après l'avoir tué. Il faut donc être suffisament rapide pour tuer le process puis supprimer le fichier HpUI.exe. Un bon moyen est d'avoir la fenêtre des process d'un côté et l'explorateur de fichier d'un aurte côté de l'écran.

La suppression des process Loader32 et Loader64, visibles dans le gestionnaire des tâches, ne pose aucun problème.


Après un redémarrage de la machine, la Drag & Drop est redevenu opérationnel.

Récupérée de « http://www.jouvinio.net/wiki/index.php?title=Infection_Drag_%26_Drop&oldid=7136 »