Winfixer2005

[Jack_Burton]

Bonjour a tous,

 

Continuons notre passionnant feuilleton des infections typiques!

Nous allons a présent parlé de Winfixer2005! Sur le site de l éditeur, on nous le présente comme un logiciel de maintenance du systeme :

 

Si on en croit l éditeur, cela semble etre un logiciel tres intéressant! En effet, il se propose de réparer les fichiers corrompus, de détecter et réparer les erreurs des disques, de faire le ménage dans la base de registre etc...

Et pourtant, il s agit d un faux utilitaire, qui, une fois installé sur votre systeme, dévoilera sa véritable "nature" de malware! En effet, comme tout malware, celui-ci entrainera des dysfonctionnements sur le systeme : démarrage plus long, navigation internet plus lente, plantage fréquent du systeme et des applications, ressources systeme anormalement élevées, modification des valeurs dans le registre, ouvertures intempestifs de pop-up nous alertant que nous sommes infectés, changement du wallpaper...

 

Ce malware peut s attraper de 2 façons :

- soit il est installé volontairement par une personne qui l aurait téléchargé sur le site http://www.winfixer.com, en pensant avoir affaire a un programme tout a fait sérieux

- soit il est "fourni" avec certains programmes douteux (logiciels de Peer to Peer, gestionnaires de téléchargement...). Il est présenté comme un sponsor (dans ce cas, il suffit de décocher la case pour ne pas l installer) ou pire, etre installé a l insu de l utilisateur!

 

1/ Comment reconnaitre une infection par Winfixer2005?

 

Ci-dessous un extrait de rapport hijackthis infecté par Winfixer ! La ligne en rouge démontre une infection par Winfixer :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NI.UWFX5V_0001_N56M1411] "C:\Documents and Settings\MARLENE\Local Settings\Temporary Internet Files\Content.IE5\CRF3E8LX\WinFixer2005ScannerInstallFRA[1].exe" -nag

 

Sa présence sur un systeme se remarque de deux façons :

- par un fichier néfaste WinFixer2005ScannerInstallFRA[1].exe" dans un dossier avec un nom variable situé dans C:\Documents and Settings\%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5

- dans la base de registre : malgré la suppression du dossier infecté, Winfixer laisse des traces dans le registre windows a cette ligne :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

 

2/ Comment désinfecter un systeme par Winfixer?

 

Lorsque Winfixer est apparu sur les premiers rapports hijackthis, aucun antimalware n était en mesure de le supprimer completement! Nous avions du trouver une procédure manuelle pour en venir a bout!

A présent, Winfixer est rentré dans la catégorie des malwares "classiques" et vous pourrez le supprimer a l aide du populaire Spybot Search and Destroy

 

Quelles procédures utiliser pour supprimer Winfixer?

 

Nous pouvons en distinguer deux :

1 ere méthode : une procédure classique en utilisant l antispyware Spybot Search and Destroy

2eme méthode : une méthode "manuelle" a l aide d hijackthis et d un fichier reg créé par le Bloc Notes de Windows!

 

1ere méthode : suppression de Winfixer avec Spybot

 

*Vous devez télécharger et installer Spybot Search and Destroy car il supprime tres bien ce malware!

 

*Une fois le logiciel installé, mettez le a jour!

 

*Démarrez en mode sans échec

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

*scannez votre systeme avec Spybot!

 

2eme méthode : suppression manuelle de Winfixer

 

La procédure de désinfection manuelle de ce malware se déroule en 3 étapes :

- création d un fichier .reg (registre) avec le Bloc Notes

- suppression du dossier infecté en mode sans échec

- nettoyage dans la base de registre avec le fichier.reg

 

Mise en situation

 

1ere étape :

 

Commençons par créér un fichier reg qui supprimera la trace de winfixer dans la base de registre!

 

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"valeur de Winfixer dans la base de registre"=-

Remarque : la valeur de Winfixer dans la base de registre est variable! Vous devez donc la modifier selon son emplacement! Pour connaitre cette valeur, il suffit de regarder sur le rapport hijackthis a la ligne 04 mentionnant la présence du malware! Sur le rapport qui nous sert d exemple, nous voyons clairement ceci :

O4 - HKLM\..\Run: [NI.UWFX5V_0001_N56M1411] "C:\Documents and Settings\MARLENE\Local Settings\Temporary Internet Files\Content.IE5\CRF3E8LX\WinFixer2005ScannerInstallFRA[1].exe" -nag

Donc ici, sa valeur est NI.UWFX5V_0001_N56M1411. Il faudra la reporter dans le fichier reg avec le Bloc Notes comme ci-dessous:

REGEDIT4

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"NI.UWFX5V_0001_N56M1411"=-

 

-Enregistrez ce fichier reg dans : Bureau

-Nom du fichier : Winfixer.reg par exemple

-Type du fichier : tous les fichiers

-cliquez sur Enregistrer

-quittez le Bloc Notes

 

 

2eme étape :

 

Nous allons supprimer le fichier infecté WinFixer2005ScannerInstallFRA[1].exe en mode sans échec

 

*Redémarrez en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

*Fixez la ligne correspondant a l infection :

Prenons l exemple de l extrait du rapport ci-dessus

 

lancez un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

O4 - HKLM\..\Run: [NI.UWFX5V_0001_N56M1411] "C:\Documents and Settings\MARLENE\Local Settings\Temporary Internet Files\Content.IE5\CRF3E8LX\WinFixer2005ScannerInstallFRA[1].exe" -nag

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

*Une fois la ligne fixée, il faut supprimer le dossier incriminé dans lequel se trouve Winfixer :

C:\Documents and Settings\MARLENE\Local Settings\Temporary Internet Files\Content.IE5\CRF3E8LX<--- supprimez tout le dossier

 

3eme étape :

 

Nous allons supprimer la présence de Winfixer dans la base de registre a l aide du fichier reg.

 

*Utilisation du fichier: Winfix.reg précedemment créé

- double cliquez sur le fichier (Bureau) / Acceptez l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / validez le message disant que la fusion est terminée.

 

Vous pouvez redémarrer votre systeme en mode normal! Vous voila débarrassez de Winfixer

Modifié le 24 janvier 2006 par Jack_Burton

[Invité tesgaz]

Salut Jack,

 

juste pour montrer que Winfixer est un faux utilitaire, j'avais fait un post sympa sur le sujet à l'époque,

65 problemes dans ma base de registre sous Linux

y a pas de base de registre dan Linux

http://forum.zebulon.fr/index.php?showtopic=72791

Modifié le 23 janvier 2006 par tesgaz

[Jack_Burton]

Lol Tesgaz !

Ton post complete bien cette discussion et montre bien la nature néfaste de Winfixer

[Invité tesgaz]

à noter que Winfixer se supprime par l'intermédiaire de Spybot aussi

[Jack_Burton]

à noter que Winfixer se supprime par l'intermédiaire de Spybot aussi

Le fichier néfaste oui mais pas sa présence dans la base de registre!

[Invité tesgaz]

sisi,

les 2, pas de soucis

[Jack_Burton]

sisi,

les 2, pas de soucis

Ben alors ca doit etre récent car sur les premiers rapports qui mentionnaient la présence de Winfixer, aucun antimalware utilisé (spybot, Ewido & SpySweeper) n avait pu le supprimer dans la base de registre! Nous avions du passer par un fichier reg pour la suppression!

Et comme cette procédure avait porté ses fruits, nous l avons conservé!

Modifié le 23 janvier 2006 par Jack_Burton

[Invité tesgaz]

oui,

 

mais ce matin, j'ai supprimer winfixer d'un pc juste avec Spybot sans aucun soucis

il faut que Spybot soit à jour

 

il en va de même pour spyaxe

[Jack_Burton]

oui,

 

mais ce matin, j'ai supprimer winfixer d'un pc juste avec Spybot sans aucun soucis

il faut que Spybot soit à jour

 

 

Ok Tesgaz

Je te crois sur parole

Je vais modifier mon post afin d indiquer que Spybot est a présent en mesure de le supprimer.

Modifié le 23 janvier 2006 par Jack_Burton

[Nicolol]

Mais que fait-il vraiment quand il est installé (à part faire suer), je veux dire, transmet-il des infos à l'insu de l'utilisateur???