[Virus] Virus Serwab

Publié par Jeff, dernière mise à jour le vendredi 15 décembre 2006 à 02:09:25 par chat_teigne

Description du virus :

Lors de l'utilisation d'Internet Explorer, un message vous informe que vous avez reçu un virus nommé Serwab et vous incite à acheter un antivirus nommé Winsecure !
Si vous recevez ce message, alors vous êtes déjà infecté !

Le virus Serwab se présente à la base sous la forme d'un courrier électronique en anglais prétendument envoyé par Microsoft, dont le titre est "Microsoft Customer Support". Le corps du message est le suivant :

Hello Dear.
In programm maintenance of corporation Microsoft critical
vulnerabilyty has been found in processing wmf files. Programmers
Microsoft have let out critical updating for Windows 98/2000/XP. We
urgently recommend you and to estabilish updating. One copy of
updating packet in attach for this letter.
Detalis: http://support.microsoft.com
With best regards,
Microsoft Customer Support.

La pièce jointe est un fichier nommé timesrv.exe (53 Ko). Si ce fichier est exécuté, le virus :

se copie dans le répertoire System sous le nom timesrv.exe,
modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur,
s'envoie automatiquement aux adresses figurant dans le carnet d'adresses Windows via son propre moteur SMTP.

Le virus ouvre ensuite le port TCP 9999 en attente d'instructions.

Eradiquer le virus :

1. Cliquez sur "Démarrer"/"Exécuter", puis taper : services.msc

2. Cherchez dans la liste les lignes suivantes afin de les "désactiver" (clic-droit puis "Propriétés"/"Type de démarrage") :

Command Service
Network Monitor

3. Cliquez sur "Démarrer ", "Poste de travail" , "C:\", "Program Files", puis cherchez et supprimez les dossiers suivants, s'ils sont présents :

Deskbar
ToolBar888
TheSearchAccelerator
Network Monitor

4. Cliquez sur "Démarrer", "Rechercher", "Tous les fichiers et dossiers", puis cherchez et supprimez les fichiers suivants s'ils sont présents :

GIDCAI32.dll
winlog.exe
dfndrff_12.exe
kybrdff_12.exe
ALCXMNTR.EXE

5. Cliquez sur "Démarrer", "Poste de travail", "C:\", "Documents and settings", "Nom de l'utilisateur"\"Mes documents" et supprimez le fichier suivant s'il est présent :

WinAntiVirusPro2006FreeInstall_fr.exe

6. Utilisez Smitfraudfix :

SmitFraudFix (des membres de ce site) :
Téléchargeable ici : smitfraudfix

tutoriel : http://siri.urz.free.fr/Fix/SmitfraudFix.php

A NOTER :

Si un fichier persiste lors de la suppression :

Redémarrer l'ordinateur, puis dès l'allumage de celui-ci, tapoter la touche F8.
Choisir "Mode sans échec"
Après (un long) chargement, supprimer les fichiers et dossiers qui persistaient, puis vider la corbeille et redémarrer normalement.

Puis demander de l'aide sur le forum virus securite :

Télécharger, installer puis mettre à jour le logiciel ewido ,
- Scanner complètement le système et coller le rapport dans le forum virus securite avec un nouveau rapport hijackthis :
Télécharger hijackthis ( regarder cette démonstration, pour soumettre un rapport hijackthis : http://pageperso.aol.fr/balltrap34/demohijack.htm )
- coller le rapport sur le forum virus securite

Autres Astuces dans la catégorie Virus