VIRUS serwab Fermé

Question

bonjour! etant novice en question informatique j'ai besoin d'aide j'ai une fenetre "nouvelle menace de securité a été detectée le virus serwab nous vous conseillons de ...." effectivement mo ordi rame et j'ai bocou de pub... donc j'ai fait un scann sur kaspersky mé tout est OK alors que faire?
merci

did71 · Answer

Bonsoir stephy,

1) télécharge HijackThis:

http://pchelpbordeaux.free.fr/logiciels.html

Tutorial
http://pchelpbordeaux.free.fr/tuto.html

Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

Fais un scan et poste l'analyse.

2) Télécharge Blacklight (de F-Secure), sauvegarde le sur ton Bureau:

https://www.f-secure.com/en

Double-clique blbeta.exe et accepte la licence ;clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse

a+

stephy · Answer

bonjour voila mon rapport
merci

stephy · Answer

12/13/06 15:09:44 [Info]: BlackLight Engine 1.0.47 initialized
12/13/06 15:09:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/13/06 15:09:44 [Note]: 7019 4
12/13/06 15:09:44 [Note]: 7005 0
12/13/06 15:09:47 [Note]: 7006 0
12/13/06 15:09:47 [Note]: 7011 1536
12/13/06 15:09:48 [Note]: 7026 0
12/13/06 15:09:48 [Note]: 7026 0
12/13/06 15:09:48 [Note]: 7024 3
12/13/06 15:09:48 [Info]: Hidden process: C:\windows\system32\wgiltc.exe
12/13/06 15:09:48 [Note]: FSRAW library version 1.7.1020
12/13/06 15:11:10 [Info]: Hidden file: c:\WINDOWS\Prefetch\WGILTC.EXE-2C7BD213.pf
12/13/06 15:11:10 [Note]: 10002 1
12/13/06 15:11:32 [Info]: Hidden file: c:\WINDOWS\system32\wgiltc.dat
12/13/06 15:11:32 [Note]: 10002 1
12/13/06 15:11:32 [Info]: Hidden file: C:\windows\system32\wgiltc.exe
12/13/06 15:11:32 [Note]: 10002 1
12/13/06 15:11:32 [Info]: Hidden file: c:\WINDOWS\system32\wgiltc_nav.dat
12/13/06 15:11:32 [Note]: 10002 1
12/13/06 15:11:33 [Info]: Hidden file: c:\WINDOWS\system32\wgiltc_navps.dat
12/13/06 15:11:33 [Note]: 10002 1
12/13/06 15:13:49 [Note]: 7007 0

stephy · Answer

j'ai oublié de preciser que j'ai telechargé spybot d'apres le scann tout est ok mé je continu a recevoir de la pub et des fenetres sur win antivius pro 2006
merci

did71 · Answer

bonsoir stephy,

1) Télécharge Brute Force Uninstaller (de Merijn): 

 

http://www.merijn.org/files/bfu.zip 

 

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) 

 

2) Ouvre le Bloc-note et copie-colle les lignes en gras ci-dessous 

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wgiltc
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|wgiltc
FileDelete %SYSDIR%\wgiltc_navps.dat
FileDelete %SYSDIR%\wgiltc_nav.dat
FileDelete %SYSDIR%\wgiltc.dat
FileDelete %SYSDIR%\wgiltc.exe

SystemEmptyTempFolder
SystemEmptyRecycleBin

FileDelete C:\egd.txt
SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0

Sauvegarde dans le dossier créé (C:\BFU) (Nom du fichier : "Fixme.bfu " -sans inclure les guillemets- ; Type : Tous les fichiers).

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

Fixme.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Fixme.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

Redémarre normalement.

Poste le rapport situé ici 
C:\egd.txt avec un nouveau HijackThis.

a+

stephy · Answer

attend j'ai eu seb 08 cet apres m qui m'a dit d'aller dans demarrer panneau de configuration et je suis bolquée apres je voudrais une aide
merci

did71 · Answer

re,

je viens de te donner la manip!

tu la fais ou pas?

a+

stephy · Answer

j'aimeré que tu m'aides par rapport a la manip que l'on ma dit de faire cet apres m
je suis allée dans panneau de configuration j'ai modifié les parametres que  l'on ma dit tou en sachant que j'ai certains dotres parametres cochés que j'ai laisse j'ai juste modifié ceux que l'on m'as dit ensuite j'ai fait ok (je n'ai pas de "valider") 

ensuite sur le bureau je clique sur poste de travail 
je clique sur c: 
je clique sur windows 
ensuit je vais sur la petite icone "system 32" 
et la je ne trouve pas les fichiers C:\windows\system32\wgiltc.exe 
c:\WINDOWS\system32\wgiltc.dat 
c:\WINDOWS\system32\wgiltc_nav.dat 
c:\WINDOWS\system32\wgiltc_navps.dat 
c:\WINDOWS\Prefetch\WGILTC.EXE-2C7BD213.pf 

merci de m'aider

did71 · Answer

re,

si tu veux que je t'aide, il faut que tu fasses ma manip!

tes pubs seront supprimer ensuite!

a+

stephy · Answer

ok mé ca craint  pas si j'ai plusieurs trucs de telecharger
i j'ai deja spybot et Blacklight 
merci

stephy · Answer

et j'ai smitfraud ossi de telecharger
merci

did71 · Answer

re,

non, aucune crainte le brute force uninstaller ne rentre en conflit avec aucun logiciel!

Lis bien la manip et prends ton temps pour tout faire!

a+

oliv-62 · Answer

je l'ai supprimé comme ça :)
Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec. 

C'est parti : 



Télécharge CCleaner : https://www.ccleaner.com/ccleaner/download et installe le (attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). 



Télécharge Brute Force Uninstaller (de Merijn) : http://www.merijn.org/files/bfu.zip. 
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. 
Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) 
FAIS UN CLIC-DROIT ICI : http://metallica.geekstogo.com/EGDACCESS.bfu et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). 
Sauvegarde dans le dossier créé (C:\BFU). 
**Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important). 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. 



Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) 
Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : 
EGDACCESS.bfu 


Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu 
Clique sur Execute et laisse-le faire son travail. 
Attendre que Complete script execution apparaîsse et clique sur OK. 
Clique Exit pour fermer le programme BFU. 

Assure toi d'avoir accès à tous les fichiers et dossiers : 


Ouvre votre poste de travail. 
Menu "Outils", "Option des dossiers", onglet "Affichage" : 
Active la case : "Afficher les fichiers et dossiers cachés" 
Désactive la case : "Masquer les extensions des fichiers dont le type est connu" 
Désactive la case : "Masquer les fichiers protégés du système d'exploitation" 
Clique sur "Appliquer". 
Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation. 

Cherche et supprime les fichiers suivants (en gras), si présents (normalement, ils auront été dégager par BFU) : 


Citation : 


C:\windows\system32\eflvrzih.exe <-- le fichier 
c:\WINDOWS\system32\eflvrzih_navps.dat <-- le fichier 
c:\WINDOWS\system32\eflvrzih_nav.dat <-- le fichier 
c:\WINDOWS\system32\eflvrzih.dat <-- le fichier 
c:\WINDOWS\Prefetch\EFLVRZIH.EXE-0785DDF3.pf <-- le fichier 







Lance CCleaner en double cliquant sur CCleaner.exe 
-=Suppression des fichiers temporaires=- 


Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur" 
Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé) 
Clique sur Analyse 
Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois. 
Une fois le scan terminé, clique sur Lancer le Nettoyage 
-=Suppression des incohérence du registre=- 


Clique sur l'icône Erreurs situé dans la marge à gauche. 
Puis clique sur Analyser les erreurs 
Patiente pendant que CCleaner scanne ton registre. 
Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée. 
Tu peux cliquer ensuite sur Corriger les erreurs. 
Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement. 

Redémarre en mode normal ...

stephy · Answer

oui mé je trouve pas les fichiers conernés 
merci

oliv-62 · Answer

ben le probléme est surement ailleurs.tu utilise quoi comme systéme d'exploitation?

did71 · Answer

re,

oliv-62, ne dis pas de conneries!

les fichiers mutent d'un pc à l'autre avec l'infection egdaccess!

stephy, poste un nouveau blacklight!

a+

stephy · Answer

cad desolée mé je suis novice

did71 · Answer

Télécharge Blacklight (de F-Secure), sauvegarde le sur ton Bureau: 

https://www.f-secure.com/en 

Double-clique blbeta.exe et accepte la licence ;clique Scan puis Next 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). 

Copie et colle le contenu de ce rapport dans ta prochaine réponse

did71 · Answer

re,

le lien ne fonctionne plus!

c'est ici:

https://europe.f-secure.com/exclude/blacklight/index.shtml

did71 · Answer

re,

c'est pas méchant mais je sais de quoi je parle!

cette infection montre un .exe différent à chaque infection, ton fichier infecté n'est pas le même que celui ci!

a+

stephy · Answer

12/13/06 23:20:57 [Info]: BlackLight Engine 1.0.47 initialized
12/13/06 23:20:57 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/13/06 23:20:58 [Note]: 7019 4
12/13/06 23:20:58 [Note]: 7005 0
12/13/06 23:21:02 [Note]: 7006 0
12/13/06 23:21:02 [Note]: 7011 2932
12/13/06 23:21:03 [Note]: 7026 0
12/13/06 23:21:03 [Note]: 7026 0
12/13/06 23:21:03 [Note]: 7024 3
12/13/06 23:21:03 [Info]: Hidden process: C:\windows\system32\wgiltc.exe
12/13/06 23:21:03 [Note]: FSRAW library version 1.7.1020
12/13/06 23:23:59 [Info]: Hidden file: c:\WINDOWS\Prefetch\WGILTC.EXE-2C7BD213.pf
12/13/06 23:23:59 [Note]: 10002 1
12/13/06 23:25:58 [Info]: Hidden file: c:\WINDOWS\system32\wgiltc.dat
12/13/06 23:25:58 [Note]: 10002 1
12/13/06 23:25:59 [Info]: Hidden file: C:\windows\system32\wgiltc.exe
12/13/06 23:25:59 [Note]: 10002 1
12/13/06 23:26:00 [Info]: Hidden file: c:\WINDOWS\system32\wgiltc_nav.dat
12/13/06 23:26:00 [Note]: 10002 1
12/13/06 23:26:01 [Info]: Hidden file: c:\WINDOWS\system32\wgiltc_navps.dat
12/13/06 23:26:01 [Note]: 10002 1
12/13/06 23:32:41 [Note]: 7007 0

did71 · Answer

re,

donc tu n'as pas suivi ma manip!

on va faire autrement!

Télécharge The Avenger par Swandog46 sur ton Bureau:

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau

Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Files to delete:
C:\windows\system32\wgiltc.exe 
c:\WINDOWS\Prefetch\WGILTC.EXE-2C7BD213.pf 
c:\WINDOWS\system32\wgiltc.dat 
C:\windows\system32\wgiltc.exe 
c:\WINDOWS\system32\wgiltc_nav.dat 
 c:\WINDOWS\system32\wgiltc_navps.dat

Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Sous "Script file to execute" choisir "Input Script Manually".
Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
Cliquer Done
ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
Réponds "Yes" deux fois quand demandé.

The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système. 
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau rapport HijackThis.

a+

stephy · Answer

voici mon  nouveau rapport
alors ca donne quoi d'apres toi 
merci

VIRUS serwab

23 réponses

Discussions similaires