VIRUS serwab

stephy -  
 stephy -
bonjour! etant novice en question informatique j'ai besoin d'aide j'ai une fenetre "nouvelle menace de securité a été detectée le virus serwab nous vous conseillons de ...." effectivement mo ordi rame et j'ai bocou de pub... donc j'ai fait un scann sur kaspersky mé tout est OK alors que faire?
merci
Configuration: Windows XP
Internet Explorer 6.0

23 réponses

  • 1
  • 2
  1. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir stephy,

    1) télécharge HijackThis:

    http://pchelpbordeaux.free.fr/logiciels.html

    Tutorial
    http://pchelpbordeaux.free.fr/tuto.html

    Démo en image
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Fais un scan et poste l'analyse.

    2) Télécharge Blacklight (de F-Secure), sauvegarde le sur ton Bureau:

    https://www.f-secure.com/en

    Double-clique blbeta.exe et accepte la licence ;clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse

    a+
    0
  2. stephy
     
    12/13/06 15:09:44 [Info]: BlackLight Engine 1.0.47 initialized
    12/13/06 15:09:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    12/13/06 15:09:44 [Note]: 7019 4
    12/13/06 15:09:44 [Note]: 7005 0
    12/13/06 15:09:47 [Note]: 7006 0
    12/13/06 15:09:47 [Note]: 7011 1536
    12/13/06 15:09:48 [Note]: 7026 0
    12/13/06 15:09:48 [Note]: 7026 0
    12/13/06 15:09:48 [Note]: 7024 3
    12/13/06 15:09:48 [Info]: Hidden process: C:\windows\system32\wgiltc.exe
    12/13/06 15:09:48 [Note]: FSRAW library version 1.7.1020
    12/13/06 15:11:10 [Info]: Hidden file: c:\WINDOWS\Prefetch\WGILTC.EXE-2C7BD213.pf
    12/13/06 15:11:10 [Note]: 10002 1
    12/13/06 15:11:32 [Info]: Hidden file: c:\WINDOWS\system32\wgiltc.dat
    12/13/06 15:11:32 [Note]: 10002 1
    12/13/06 15:11:32 [Info]: Hidden file: C:\windows\system32\wgiltc.exe
    12/13/06 15:11:32 [Note]: 10002 1
    12/13/06 15:11:32 [Info]: Hidden file: c:\WINDOWS\system32\wgiltc_nav.dat
    12/13/06 15:11:32 [Note]: 10002 1
    12/13/06 15:11:33 [Info]: Hidden file: c:\WINDOWS\system32\wgiltc_navps.dat
    12/13/06 15:11:33 [Note]: 10002 1
    12/13/06 15:13:49 [Note]: 7007 0
    0
  3. stephy
     
    j'ai oublié de preciser que j'ai telechargé spybot d'apres le scann tout est ok mé je continu a recevoir de la pub et des fenetres sur win antivius pro 2006
    merci
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    bonsoir stephy,

    1) Télécharge Brute Force Uninstaller (de Merijn):

    http://www.merijn.org/files/bfu.zip

    Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

    2) Ouvre le Bloc-note et copie-colle les lignes en gras ci-dessous

    RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wgiltc
    RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|wgiltc
    FileDelete %SYSDIR%\wgiltc_navps.dat
    FileDelete %SYSDIR%\wgiltc_nav.dat
    FileDelete %SYSDIR%\wgiltc.dat
    FileDelete %SYSDIR%\wgiltc.exe

    SystemEmptyTempFolder
    SystemEmptyRecycleBin

    FileDelete C:\egd.txt
    SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0


    Sauvegarde dans le dossier créé (C:\BFU) (Nom du fichier : "Fixme.bfu " -sans inclure les guillemets- ; Type : Tous les fichiers).

    Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

    Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

    - Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

    Fixme.bfu

    - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Fixme.bfu

    Clique sur Execute et laisse-le faire son travail.

    Attendre que Complete script execution apparaîsse et clique sur OK.
    Clique Exit pour fermer le programme BFU.

    Redémarre normalement.

    Poste le rapport situé ici
    C:\egd.txt avec un nouveau HijackThis.

    a+
    0
  6. stephy
     
    attend j'ai eu seb 08 cet apres m qui m'a dit d'aller dans demarrer panneau de configuration et je suis bolquée apres je voudrais une aide
    merci
    0
  7. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    je viens de te donner la manip!

    tu la fais ou pas?

    a+
    0
  8. stephy
     
    j'aimeré que tu m'aides par rapport a la manip que l'on ma dit de faire cet apres m
    je suis allée dans panneau de configuration j'ai modifié les parametres que l'on ma dit tou en sachant que j'ai certains dotres parametres cochés que j'ai laisse j'ai juste modifié ceux que l'on m'as dit ensuite j'ai fait ok (je n'ai pas de "valider")

    ensuite sur le bureau je clique sur poste de travail
    je clique sur c:
    je clique sur windows
    ensuit je vais sur la petite icone "system 32"
    et la je ne trouve pas les fichiers C:\windows\system32\wgiltc.exe
    c:\WINDOWS\system32\wgiltc.dat
    c:\WINDOWS\system32\wgiltc_nav.dat
    c:\WINDOWS\system32\wgiltc_navps.dat
    c:\WINDOWS\Prefetch\WGILTC.EXE-2C7BD213.pf

    merci de m'aider
    0
  9. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    si tu veux que je t'aide, il faut que tu fasses ma manip!

    tes pubs seront supprimer ensuite!

    a+
    0
  10. stephy
     
    ok mé ca craint pas si j'ai plusieurs trucs de telecharger
    i j'ai deja spybot et Blacklight
    merci
    0
  11. stephy
     
    et j'ai smitfraud ossi de telecharger
    merci
    0
  12. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    non, aucune crainte le brute force uninstaller ne rentre en conflit avec aucun logiciel!

    Lis bien la manip et prends ton temps pour tout faire!

    a+
    0
  13. oliv-62
     
    je l'ai supprimé comme ça :)
    Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

    C'est parti :

    Télécharge CCleaner : https://www.ccleaner.com/ccleaner/download et installe le (attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner).

    Télécharge Brute Force Uninstaller (de Merijn) : http://www.merijn.org/files/bfu.zip.
    Créé un nouveau dossier directement sur le C:\ et nomme-le BFU.
    Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
    FAIS UN CLIC-DROIT ICI : http://metallica.geekstogo.com/EGDACCESS.bfu et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica).
    Sauvegarde dans le dossier créé (C:\BFU).
    **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

    Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

    Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
    Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :
    EGDACCESS.bfu

    Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
    Clique sur Execute et laisse-le faire son travail.
    Attendre que Complete script execution apparaîsse et clique sur OK.
    Clique Exit pour fermer le programme BFU.

    Assure toi d'avoir accès à tous les fichiers et dossiers :

    Ouvre votre poste de travail.
    Menu "Outils", "Option des dossiers", onglet "Affichage" :
    Active la case : "Afficher les fichiers et dossiers cachés"
    Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
    Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
    Clique sur "Appliquer".
    Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

    Cherche et supprime les fichiers suivants (en gras), si présents (normalement, ils auront été dégager par BFU) :

    Citation :

    C:\windows\system32\eflvrzih.exe <-- le fichier
    c:\WINDOWS\system32\eflvrzih_navps.dat <-- le fichier
    c:\WINDOWS\system32\eflvrzih_nav.dat <-- le fichier
    c:\WINDOWS\system32\eflvrzih.dat <-- le fichier
    c:\WINDOWS\Prefetch\EFLVRZIH.EXE-0785DDF3.pf <-- le fichier

    Lance CCleaner en double cliquant sur CCleaner.exe
    -=Suppression des fichiers temporaires=-

    Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
    Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
    Clique sur Analyse
    Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
    Une fois le scan terminé, clique sur Lancer le Nettoyage
    -=Suppression des incohérence du registre=-

    Clique sur l'icône Erreurs situé dans la marge à gauche.
    Puis clique sur Analyser les erreurs
    Patiente pendant que CCleaner scanne ton registre.
    Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
    Tu peux cliquer ensuite sur Corriger les erreurs.
    Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

    Redémarre en mode normal ...
    0
  14. stephy
     
    oui mé je trouve pas les fichiers conernés
    merci
    0
  15. oliv-62
     
    ben le probléme est surement ailleurs.tu utilise quoi comme systéme d'exploitation?
    0
  16. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    oliv-62, ne dis pas de conneries!

    les fichiers mutent d'un pc à l'autre avec l'infection egdaccess!

    stephy, poste un nouveau blacklight!

    a+
    0
    1. oliv-62
       
      ma demarche a servi a plusieur repirse et elle a bien fonctionné jusqu'a présent.j'ai eu de l'aide sur un autre forum.lol.et merçi pour "di pa de conneri"@+
      0
  17. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Télécharge Blacklight (de F-Secure), sauvegarde le sur ton Bureau:

    https://www.f-secure.com/en

    Double-clique blbeta.exe et accepte la licence ;clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse
    0
  18. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    le lien ne fonctionne plus!

    c'est ici:

    https://europe.f-secure.com/exclude/blacklight/index.shtml
    0
  19. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    c'est pas méchant mais je sais de quoi je parle!

    cette infection montre un .exe différent à chaque infection, ton fichier infecté n'est pas le même que celui ci!

    a+
    0
  • 1
  • 2