Menace détectée virus Serwab

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Menace détectée virus Serwab

Messagede Kotix » 05 Sep 2006, 23:20

Bonjour, tout à l'heure j'ai eu cette alerte:

Image

Connaissez vous ce virus ?
Avatar de l’utilisateur
Kotix
 
Messages: 19
Inscription: 02 Sep 2006, 20:20

Messagede nickW » 06 Sep 2006, 00:29

Bonsoir,

Surtout ne télécharge pas la solution miracle qui t'est proposée!

Un conseil:
Tu appliques la Mini-manip
Puis tu envoies une copie de ton log (journal) en réponse à ce message (pas de nouveau sujet).

A bientôt,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Kotix » 06 Sep 2006, 00:34

Bonjour et merci beaucoup :wink:

Pour commencer j'ai exécuter le fichier miniremoval_coolwebsearch_smartkiller.exe, voila ce que j'ai eu:

Image

Et je n'arrice pas à télécharger CWShredder
Avatar de l’utilisateur
Kotix
 
Messages: 19
Inscription: 02 Sep 2006, 20:20

Messagede Kotix » 06 Sep 2006, 00:41

Puis voici le log:

Code: Tout sélectionner
Logfile of HijackThis v1.99.1
Scan saved at 01:37:52, on 06/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\adslTV\adslTV.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\moi\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SnapFlash Class - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - C:\Program Files\Fichiers communs\justDo\Jd2002.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Windows LSASS Service] C:\DAO\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RegEdit Extensions 1.0 (Beta)] rundll32.exe regedex.dll,StartExReg
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TB-Tray.lnk = C:\Thunderbird-Tray\TBTray.exe
O8 - Extra context menu item: Save Flash with Flash Catcher - res://C:\Program Files\Fichiers communs\justDo\IECatcher.DLL/FlashCatcher.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {2C5ED0A2-778E-4E59-B4D2-E19A1A11F031} - C:\Documents and Settings\moi\Bureau\Linkman\IECon1.exe (file missing)
O9 - Extra 'Tools' menuitem: &Add URL to Linkman - {2C5ED0A2-778E-4E59-B4D2-E19A1A11F031} - C:\Documents and Settings\moi\Bureau\Linkman\IECon1.exe (file missing)
O9 - Extra button: (no name) - {3B18AD83-E87F-41C8-BCDE-C1EBB767E515} - C:\Documents and Settings\moi\Bureau\Linkman\IECon2.exe (file missing)
O9 - Extra 'Tools' menuitem: Add and &edit URL to Linkman - {3B18AD83-E87F-41C8-BCDE-C1EBB767E515} - C:\Documents and Settings\moi\Bureau\Linkman\IECon2.exe (file missing)
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {77D26230-12D4-41A3-BCC0-07C70B592C15} - C:\Documents and Settings\moi\Bureau\Linkman\Linkman.exe (file missing)
O9 - Extra 'Tools' menuitem: Show &Linkman - {77D26230-12D4-41A3-BCC0-07C70B592C15} - C:\Documents and Settings\moi\Bureau\Linkman\Linkman.exe (file missing)
O9 - Extra button: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Program Files\Fichiers communs\justDo\IECatcher.DLL
O9 - Extra 'Tools' menuitem: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Program Files\Fichiers communs\justDo\IECatcher.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)
Avatar de l’utilisateur
Kotix
 
Messages: 19
Inscription: 02 Sep 2006, 20:20

Messagede nickW » 09 Sep 2006, 21:27

Bonsoir,

Remarque préliminaire:

la Mini-manip a écrit:Téléchargez et installez HiJackThis dans un répertoire qui lui sera réservé
http://assiste.com.free.fr/p/logitheque/hijackthis.php
Renommez le fichier HijackThis.exe en <votre>.exe


Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.
Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe et de renommer ce dernier Kotix.exe!


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 6).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".


Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: Antivirus
Comme tu n'as pas d'antivirus, il faut télécharger et installer maintenant:
Antivir (gratuit)---> http://assiste.com.free.fr/p/logitheque/antivir.html
Le paramétrer comme indiqué sur cette page: http://speedweb1.free.fr/frames2.php?page=tuto5 (Merci Tesgaz)


Étape 3: Java de Sun
Désinstaller toutes les versions obsolètes de Java de Sun dont les failles sont utilisées par les "malveillants".
Version à installer: JRE 5.0 Update 8
http://java.sun.com/j2se/1.5.0/download.jsp
Page d'Assiste: http://assiste.com.free.fr/p/abc/c/anti_java.html


Étape 4: Ccleaner
Télécharger et installer Ccleaner Basic dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/downloadbuilds.asp

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si cela est possible, dans le menu Nettoyeur - onglet Applications, cocher:
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.


Étape 5: ewido anti-spyware
Télécharger la version d'essai de ewido anti-spyware depuis http://www.ewido.net/en/download/
L'installer.
Lancer ewido anti-spyware.
Cliquer sur le menu Update.
Si nécessaire, dans la colonne Settings (à droite), saisir les paramètres du proxy.
Dans le paragraphe Manual Update, cliquer sur le bouton Start update.
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 6: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 7: Désinstallation
A quoi te sert d'être un bêta-testeur?
Démarrer-->Paramètres-->Panneau de Configuration-->Ajout/Suppression de programmes
Rechercher et désinstaller (si trouvé) RegEdit Extensions 1.0 (Beta)


Étape 8: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" (ou "Scanner seulement" en vf)
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items" (ou "Proteger les objets avt de fixer" en vf), puis cliquer sur le bouton "Back" (ou "Ret" en vf).
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix checked (ou Fixer objet en vf):
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

O4 - HKLM\..\Run: [Windows LSASS Service] C:\DAO\svchost.exe
O4 - HKCU\..\Run: [RegEdit Extensions 1.0 (Beta)] rundll32.exe regedex.dll,StartExReg


Étape 9: ewido anti-spyware
Lancer ewido anti-spyware et cliquer sur le menu Scanner.
Cliquer sur l'onglet Settings.
Dans How to act?, cliquer sur Recommended actions et choisir Quarantine.
Dans How to scan?, vérifier que toutes les cases sont cochées.
Dans Possibly unwanted software, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Automatically generate report after scan est coché.
Dans l'onglet Scan, cliquer sur Complete System Scan.
A la fin du scan, cliquer sur Apply all actions
Puis Sauver le rapport (Save Scan Report).


Étape 10: Renommage
Note 1: certains éléments seront peut-être absents, les noter et les signaler en réponse, après la fin de l'ensemble des étapes
Note 2: une dizaine de jours après la désinfection, après avoir vérifié que tous tes programmes fonctionnent correctement, ces dossiers/fichiers ainsi renommés pourront être définitivement supprimés.
Renommer (clic droit sur le nom du dossier) le dossier ci-dessous en ajoutant .non derrière son nom:

C:\DAO (à renommer en DAO.non)


Étape 11: Nettoyage
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur le bouton "Lancer le nettoyage".
Exécuter l'antivirus, réglé au maximum (si l'antivirus ne démarre pas en mode sans échec, le signaler en réponse, après la fin de l'ensemble des étapes).
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur le bouton "Lancer le nettoyage".


Étape 12: Redémarrage
Redémarrer en mode normal.
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport d'ewido (dans le dossier Reports, lui-même sous-dossier du dossier d'installation d'ewido)

en précisant si le problème est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Kotix » 10 Sep 2006, 10:47

Bonjour et merci beaucoup :wink:

Je vais voir ça :D
Avatar de l’utilisateur
Kotix
 
Messages: 19
Inscription: 02 Sep 2006, 20:20


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 45 invités