DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 24 Nov 2024 à 10:03 FAQ | Rechercher | Membres | Groupes

[Résolu] virus Serwab


Aller à la page 1, 2  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
marseye



Inscrit le: 10 Nov 2006
Messages: 67
Localisation: 971

MessagePosté le: 10 Nov 2006 à 4:57    Sujet du message: [Résolu] virus Serwab Répondre en citant

salut si kelkun pouvait m aider
svp

j'ai un petit message ki apparait a chaque fois ke je suis konnecté a internet ( j'ai le virus serwab sur mon ordi , de telechargé un antivirus)
je voudrais savoir si je suis vraiment contaminer
et si oui comment faire pour le supprimer


merçi de m'aider et me repondre tres vite. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
marseye



Inscrit le: 10 Nov 2006
Messages: 67
Localisation: 971

MessagePosté le: 10 Nov 2006 à 5:15    Sujet du message: Répondre en citant

voila mon scan hijackthis

Log supprimé - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 10 Nov 2006 à 7:15    Sujet du message: Répondre en citant

Bonjour marseye.

Ce log démontre bien la présence d'un petit adware ne représentant pas grand danger si ce n'est un affichage de publicités mais rien d'autre (pour le moment)
On va donc, si tu le veux bien, essayer de chercher un peu plus

=> Fais un scan en ligne avec Internet explorer
* Rend toi sur ce site http://webscanner.kaspersky.fr/
- Clique sur l'image de droite Kaspersky Online scanner
-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* Clique sur Suivant puis choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous
-- Pour le retrouver facilement met le sur le bureau
-- dans nom de fichier entre Kaspersky
-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

Note :
- En cas de problème vérifies ces quelques points http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
marseye



Inscrit le: 10 Nov 2006
Messages: 67
Localisation: 971

MessagePosté le: 10 Nov 2006 à 21:33    Sujet du message: Répondre en citant

deja je voudrais te remercier de m'aider

et voila celui de Kapersky

-------------------------------------------------------------------------------
Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 10 Nov 2006 à 21:45    Sujet du message: Répondre en citant

Bonsoir, Smile

Rien de probant la non plus.

On va donc essayer d'approfondir un peu

=> Télécharge gmer : http://www.gmer.net/gmer.zip
-- Décompresse le sur ton bureau

Ferme toutes les applications non indispensables
- Lance Gmer.exe
* Onglet "rootkit"
-- Controle que la case [ ] "show all" soit bien cochée
* clique sur Scan
* une fois le scan terminé, clique sur "copy"
- Ouvre le bloc-note (Démarrer > tous les programmes > accessoire)
* Clique sur Edition puis choisis coller
* Enregistre ce fichier sur ton bureau
* Fais un copier coller de son contenu dans ta prochaine réponse

Note:
Il se peut que ton antivirus émet une alerte concernant Gmer, Ignore la et continu tout de même.

a+ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
marseye



Inscrit le: 10 Nov 2006
Messages: 67
Localisation: 971

MessagePosté le: 11 Nov 2006 à 4:18    Sujet du message: Répondre en citant

a koi va servir ce scan par gmer, s il te plait?

parceque je trouve kil est long et il ya pleins fichiers

merci 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 11 Nov 2006 à 9:04    Sujet du message: Répondre en citant

Bonjour,

Ce scan Gmer sert à détecter les Rootkits. Les rootkits ne peuvent être détectés par de moyen standards il faut donc utiliser un scanne dédié à cette tache.

Citation:
-- Controle que la case [ ] "show all" soit bien décochée


n'oubli pas ce point qui devrait réduire pas mal d'entrée

a+ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
marseye



Inscrit le: 10 Nov 2006
Messages: 67
Localisation: 971

MessagePosté le: 12 Nov 2006 à 18:52    Sujet du message: Répondre en citant

je n'arrive pa a enregistrer
parce que le programme bloque a la fin de fin de scan
et l ordi ram bcp et je suis obliger de le fermer
sa ait plusieurs fois que j 'essaye

ke doi je faire stp ?

merci 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 12 Nov 2006 à 20:36    Sujet du message: Répondre en citant

Bonjour,

Bon on va essayer avec Blacklight

=> Télécharge F-Secure Blacklight : (F-Secure) https://europe.f-secure.com/blacklight/try.shtml
* Clique en bas sur I accept
-- Dans la nouvelle fenêtre sur le lien Download Blacklight Beta graphical user interface version
-- Met le sur ton bureau
* Lance-le en double-cliquant sur le fichier blbeta.exe
-- Accepte la licence (après l'avoir lue), puis clique sur Scan
note : Ce scan peut prendre un certain temps il faut donc être patient
-- Une fois le scan terminé clique sur Next
important : N'utilise pas la fonction cleaning pour le moment.

-- Un rapport sera généré dans le même dossier que blbeta.exe (bureau) et se présente sous le nom fsbl-bxxxx.log (les xxxx sont des chiffres).
-- Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

note : si besoin un tutoriel est consultable ici http://www.malekal.com/tutorial_f-secure_BlackLight.html 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
marseye



Inscrit le: 10 Nov 2006
Messages: 67
Localisation: 971

MessagePosté le: 12 Nov 2006 à 21:12    Sujet du message: Répondre en citant

voila ce ke le scan a trouvé


11/12/06 14:58:37 [Info]: BlackLight Engine 1.0.47 initialized
11/12/06 14:58:37 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/12/06 14:58:37 [Note]: 7019 4
11/12/06 14:58:37 [Note]: 7005 0
11/12/06 14:58:52 [Note]: 7006 0
11/12/06 14:58:52 [Note]: 7011 1316
11/12/06 14:58:53 [Note]: 7026 0
11/12/06 14:58:53 [Note]: 7026 0
11/12/06 14:58:53 [Note]: 7024 3
11/12/06 14:58:53 [Info]: Hidden process: C:\windows\system32\kotxmquydb.exe
11/12/06 14:58:53 [Note]: 7015 520
11/12/06 14:58:53 [Note]: 7015 5
11/12/06 14:58:54 [Note]: 7015 1592
11/12/06 14:58:54 [Note]: 7015 5
11/12/06 14:58:54 [Note]: 7015 1768
11/12/06 14:58:54 [Note]: 7015 5
11/12/06 14:58:54 [Note]: FSRAW library version 1.7.1020
11/12/06 15:08:09 [Info]: Hidden file: c:\WINDOWS\system32\kotxmquydb.dat
11/12/06 15:08:09 [Note]: 10002 1
11/12/06 15:08:10 [Info]: Hidden file: C:\windows\system32\kotxmquydb.exe
11/12/06 15:08:10 [Note]: 10002 1
11/12/06 15:08:10 [Info]: Hidden file: c:\WINDOWS\system32\kotxmquydb_nav.dat
11/12/06 15:08:15 [Note]: 10002 1
11/12/06 15:08:18 [Info]: Hidden file: c:\WINDOWS\system32\kotxmquydb_navps.dat
11/12/06 15:08:18 [Note]: 10002 1 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 12 Nov 2006 à 21:26    Sujet du message: Répondre en citant

Re,

Voila donc quelques matière a travailler
=> Télécharge Killbox (Option^Explicit) http://www.downloads.subratam.org/KillBox.zip
- Clique sur KillBox Download Link pour le télécharger
-- Décompresse le sur le bureau
- Clique sur Démarrer exécuter tape notepad puis clique sur Ok
- Sélectionne le texte en citation et fais en un copier coller dans le blocnote (notepad)

Citation:

C:\windows\system32\kotxmquydb.exe
c:\WINDOWS\system32\kotxmquydb.dat
c:\WINDOWS\system32\kotxmquydb_nav.dat
c:\WINDOWS\system32\kotxmquydb_navps.dat


* Dans le bloc notes sur le menu en haut clique sur Edition >>> Sélectionner tout puis Edition >>> Copier
* Ouvre Killbox
-- Coche la case [X] "Delete on next reboot"
-- Clique sur le menu File puis sur Paste from Clipboard

* Clique sur la croix blanche sur fond rouge
-- au message "All listed files will be deleted on next reboot" clique sur OUI
-- Au message "Files will be removed on next reboot, Do you want to reboot now ?" clique sur OUI
-- Redémarre ton ordinateur s'il ne le fait pas automatiquement

* Aprés son redémarrage supprime le dossier C:\!Killbox


Post un nouveau rapport Hijackthis afin de terminer le nettoyage et un nouveau rapport blacklight pour s'assurer que l'infection soit bien disparue. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
marseye



Inscrit le: 10 Nov 2006
Messages: 67
Localisation: 971

MessagePosté le: 12 Nov 2006 à 22:22    Sujet du message: Répondre en citant

je croix que c est le meme resultats


11/12/06 16:00:54 [Info]: BlackLight Engine 1.0.47 initialized
11/12/06 16:00:54 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/12/06 16:00:54 [Note]: 7019 4
11/12/06 16:00:54 [Note]: 7005 0
11/12/06 16:00:57 [Note]: 7006 0
11/12/06 16:00:57 [Note]: 7011 1548
11/12/06 16:00:57 [Note]: 7026 0
11/12/06 16:00:58 [Note]: 7026 0
11/12/06 16:00:58 [Note]: 7024 3
11/12/06 16:00:58 [Info]: Hidden process: C:\windows\system32\kotxmquydb.exe
11/12/06 16:00:58 [Note]: 7015 540
11/12/06 16:00:58 [Note]: 7015 5
11/12/06 16:00:58 [Note]: 7015 1692
11/12/06 16:00:58 [Note]: 7015 5
11/12/06 16:00:58 [Note]: 7015 1800
11/12/06 16:00:58 [Note]: 7015 5
11/12/06 16:00:58 [Note]: FSRAW library version 1.7.1020
11/12/06 16:09:21 [Info]: Hidden file: c:\RECYCLER\S-1-5-21-546024188-2725184113-3326631526-1006\Dc201\kotxmquydb.exe
11/12/06 16:09:21 [Note]: 10002 1
11/12/06 16:11:19 [Info]: Hidden file: c:\WINDOWS\system32\kotxmquydb.dat
11/12/06 16:11:19 [Note]: 10002 1
11/12/06 16:11:20 [Info]: Hidden file: C:\windows\system32\kotxmquydb.exe
11/12/06 16:11:20 [Note]: 10002 1
11/12/06 16:11:20 [Info]: Hidden file: c:\WINDOWS\system32\kotxmquydb_nav.dat
11/12/06 16:11:20 [Note]: 10002 1
11/12/06 16:11:20 [Info]: Hidden file: c:\WINDOWS\system32\kotxmquydb_navps.dat
11/12/06 16:11:20 [Note]: 10002 1
11/12/06 16:19:14 [Note]: 7007 0 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
marseye



Inscrit le: 10 Nov 2006
Messages: 67
Localisation: 971

MessagePosté le: 12 Nov 2006 à 22:23    Sujet du message: Répondre en citant

rapport hijackthis


Log supprimé - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
marseye



Inscrit le: 10 Nov 2006
Messages: 67
Localisation: 971

MessagePosté le: 12 Nov 2006 à 22:28    Sujet du message: Répondre en citant

voila ce qui est ecrit a la fin de l operation sur killbox

PendingFileRename operation registry data has been removed by external process

et sa na rien effacer 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 12 Nov 2006 à 22:59    Sujet du message: Répondre en citant

OK,

On va faire ca manuellement car il y a un programme résident qui empeche la modification du registre et donc l'utilisation normale de Killbox


-- Redémarre en mode sans echec

* Important: Déplace Hijackthis dans un dossier qui lui sera dédié (c:\hijackthis)

- Relance Hijackthis
-- do a system scan only

Coche les cases dorrespondant à ces lignes


R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {C0BF0265-0893-9D45-44EC-D31DCEEA4755} - (no file)
O4 - HKLM\..\Run: [Platform Default Peak Glue] C:\Documents and Settings\All Users\Application Data\deletemetaplatformdefault\sect owns.exe O
4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ExitPing] C:\DOCUME~1\Bortalis\APPLIC~1\ABOUTD~1\Fast Plus.exe
O4 - HKCU\..\Run: [Cydoor] CD_Load.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk570YYGP
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

-- Clique sur Fix checked

=> Autorise l'affichage des fichiers et dossiers cachés

* Clique sur Démarrer >>> Panneau de configuration
* Dans le menu en haut clique sur Outils choisis Option des dossiers
* Sélectionne l'onglet Affichage
-- [X] Coche Afficher les Fichiers et dossiers cachés
-- [ ] coche Masquer les fichiers protégés du système d'exploitation
-- [ ] coche Masquer les extensions dont le type est connu
* clique succesivement sur
-- En haut Appliquer à tous les dossiers
-- En bas Appliquer et Ok pour valider les changements
* Ferme la fenêtre

Recherche et supprime ces fichiers

C:\windows\system32\kotxmquydb.exe
c:\WINDOWS\system32\kotxmquydb.dat
c:\WINDOWS\system32\kotxmquydb_nav.dat
c:\WINDOWS\system32\kotxmquydb_navps.dat

Redémarre en mode normal.

Refais un scan avec Blacklight pour s'assurer de la suppression. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2  Suivante 
Page 1 sur 2 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum