Description du virus :
Lors de l'utilisation d'Internet Explorer, un message vous informe que vous avez reçu un virus nommé
Serwab et vous incite à acheter un antivirus nommé
Winsecure !
Si vous recevez ce message, alors vous êtes déjà infecté !
Le virus
Serwab se présente à la base sous la forme d'un courrier électronique en anglais prétendument envoyé par Microsoft, dont le titre est "
Microsoft Customer Support". Le corps du message est le suivant :
Hello Dear.
In programm maintenance of corporation Microsoft critical
vulnerabilyty has been found in processing wmf files. Programmers
Microsoft have let out critical updating for Windows 98/2000/XP. We
urgently recommend you and to estabilish updating. One copy of
updating packet in attach for this letter.
Detalis: http://support.microsoft.com
With best regards,
Microsoft Customer Support.
La pièce jointe est un fichier nommé
timesrv.exe (53 Ko). Si ce fichier est exécuté, le virus :
- se copie dans le répertoire System sous le nom timesrv.exe,
- modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur,
- s'envoie automatiquement aux adresses figurant dans le carnet d'adresses Windows via son propre moteur SMTP.
Le virus ouvre ensuite le port TCP 9999 en attente d'instructions.
Eradiquer le virus :
1. Cliquez sur
"Démarrer"/
"Exécuter", puis taper :
services.msc
2. Cherchez dans la liste les lignes suivantes afin de les "désactiver" (clic-droit puis
"Propriétés"/
"Type de démarrage") :
- Command Service
- Network Monitor
3. Cliquez sur
"Démarrer ",
"Poste de travail" ,
"C:\", "Program Files", puis cherchez et supprimez les dossiers suivants, s'ils sont présents :
- Deskbar
- ToolBar888
- TheSearchAccelerator
- Network Monitor
4. Cliquez sur
"Démarrer",
"Rechercher",
"Tous les fichiers et dossiers", puis cherchez et supprimez les fichiers suivants s'ils sont présents :
- GIDCAI32.dll
- winlog.exe
- dfndrff_12.exe
- kybrdff_12.exe
- ALCXMNTR.EXE
5. Cliquez sur
"Démarrer",
"Poste de travail",
"C:\", "Documents and settings",
"Nom de l'utilisateur"\
"Mes documents" et supprimez le fichier suivant s'il est présent :
- WinAntiVirusPro2006FreeInstall_fr.exe
6. Utilisez
Smitfraudfix :
SmitFraudFix (des membres de ce site) :
Téléchargeable ici :
smitfraudfix
A NOTER :
Si un fichier persiste lors de la suppression :
- Redémarrer l'ordinateur, puis dès l'allumage de celui-ci, tapoter la touche F8.
- Choisir "Mode sans échec"
- Après (un long) chargement, supprimer les fichiers et dossiers qui persistaient, puis vider la corbeille et redémarrer normalement.
Puis demander de l'aide sur le forum virus securite :
- Télécharger, installer puis mettre à jour le logiciel ewido ,
- Scanner complètement le système et coller le rapport dans le forum virus securite avec un nouveau rapport hijackthis :
- Télécharger hijackthis ( regarder démonstration, pour soumettre un rapport hijackthis : )