(Devenir Membre)
   
Menu
 Le Site
 Le Forum

 
Site optimisé pour :

Qui est en ligne ?
» 0 Membre(s)
» 74 Invité(s)


[ Voir toute la liste ]

Vus dernièrement :
 
Statistiques
Sur le Forum ZenZone

Membres : 3774
Dernier Inscrit :

nicolas78

79617 Messages
dans 9887 Sujets.
 
ZenZone IRC

Pseudo :

 
[En Cours] W32soberX ce vers ne veut quitter mon ordi HELP!!!!
   eMule ZenZone Index du Forum -> Réseaux & Sécurité
W32soberX ce vers ne veut quitter mon ordi HELP!!!! Voir le sujet précédent Voir le sujet suivant 
Auteur Message
fanouchka
Apprenti
Apprenti





Inscrit le: 26 Oct 2005
Messages: 6



Citer
Posté le: Mer Jan 25, 2006 13:06
Sujet du message: W32soberX ce vers ne veut quitter mon ordi HELP!!!!
Répondre en citant

J'ai essayé plein doutils de désinfection, rien n'y fait
Voici le rapport e hijackthis:

ogfile of HijackThis v1.99.1
Scan saved at 13:06:48, on 25/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\UAService7.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\LAURIE~1\LOCALS~1\Temp\Rar$EX00.843\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PBFRV2 - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - C:\WINDOWS\system32\pbfrv2.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: PBFRV2 - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - C:\WINDOWS\system32\pbfrv2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ClickMe] C:\apps\ClickMe\ClickMe.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB42D896-099F-4953-A873-1F01C561DD77}: NameServer = 213.36.80.1 213.36.80.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe


Pouvez vous m'aider silvouplééé :-? :-? :-?
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
AncienMembre Anon.
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Aoû 2004
Messages: 1425



Citer
Posté le: Mer Jan 25, 2006 13:50
Sujet du message:
Répondre en citant

Email-Worm.Win32.Sober.z W32/Sober.xWorm.Sober.T-9 se propage par couriers electroniques, touche essentielement Windows et a pour effets secondaires:

S'envoie aux adresses des carnets d'adresses Outlook
Injecte davantage de logiciels malveillants
Falsifie l'adresse électronique de l'expéditeur
Utilise son propre moteur d'envoi de courriels
S'installe dans le Registre
Injecté(e)(s) par des logiciels malveillants
Laisse des fichiers non infectés sur l'ordinateur
Tente de terminer les processus suivants :


mrt.exe
asw*.tmp


Essaie de terminer les processus qui contiennent l’une des chaînes suivantes :

microsoftanti
gcas
gcip
giantanti
inetupd.
nod32kui
nod32.
fxsbr
avwin.
guardgui.
aswclnr
stinger
hijack
sober
brfix
s_t_i_n
s-t-i-n

( ce sont tout les processus succeptibles de contenir une copie de ce ver dans leut librairies ou leur quarantaine , ce qui peut empecher ton antivirus de les supprimer , puisque proteges par ces programes )

pour supprimer ce ver rend toi a cette adresse:
http://www.symantec.com/region/fr/techsupp/avcenter/venc/data/fr-w32.sober.removal.tool.html

@plus tard


Dernière édition par AncienMembre Anon. le Sam Jan 28, 2006 16:21; édité 1 fois
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
fanouchka
Apprenti
Apprenti





Inscrit le: 26 Oct 2005
Messages: 6



Citer
Posté le: Mer Jan 25, 2006 18:04
Sujet du message:
Répondre en citant

est ce que tu peux me donner plus d'infos, parce que je m'y connais pas trop trop ret j'ai pas bien compris lhistoire des processus...
Sinon symantec j'ai essayé il le détecte pas, j'ai essayé plein plein d'autres outils de décontamination mais ça le trouve pas.
merci quand meme
a plus
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
BooB
Bouddha Zen
Bouddha Zen




Sexe: Sexe:Homme
Inscrit le: 01 Juil 2004
Messages: 2752
Localisation: "Don't laugh! Do you want to screw me, yes or no?"dixit gogo yubari


Citer
Posté le: Mer Jan 25, 2006 18:26
Sujet du message:
Répondre en citant

ctrl+alt+supp
tu regardes tout ton processus cad tous ski est ouvert et tu tu recherches
les terminaisons cité plus haut par keskia
et tu clik "terminer processus"
ca le supprimeras pas du DD mais o moins le desactiver le temps de le localiser
_________________
http://img113.imageshack.us/img113/9527/bobgj0.jpg
Apres la gauche caviar,la droite cassoulet: une petite saucisse avec des fayots autour
http://www.vosfichiers.com/images/arx1202942778o.gif
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
fanouchka
Apprenti
Apprenti





Inscrit le: 26 Oct 2005
Messages: 6



Citer
Posté le: Mer Jan 25, 2006 21:16
Sujet du message:
Répondre en citant

j'ai un peu peur de faire ça en fait... t sur que ça fera rien a mon ordi? paskil me mette un message dalerte un peu inquietant dugenre, je peux prdre toutes mes données si je fais ça :pint:
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
Platane
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Juin 2004
Messages: 2585
Localisation: Montpellier


Citer
Posté le: Mer Jan 25, 2006 21:23
Sujet du message:
Répondre en citant

non pas de risque,
ça ne touche pas aux données,
ça ferme juste les programmes ouverts
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
AncienMembre Anon.
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Aoû 2004
Messages: 1425



Citer
Posté le: Jeu Jan 26, 2006 07:50
Sujet du message:
Répondre en citant

Salut Fanouchka

pour que tes antivirus , antispy etc... puissent virrer ce ver , il faudarait que tu desactive la "restauration system" , que tu redemarres en mode sans echec , tu scan ton disque , tu vires tout ce que tes antivirus etc.. te trouve , tu redemarre normalement et tu reactive la restauration system

si tu e fais pas cette manipulation , ce ver se relancera a chaaque demarrage de XP

@plus tard , tiens nous au courant
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
AncienMembre Anon.
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Aoû 2004
Messages: 1425



Citer
Posté le: Sam Jan 28, 2006 16:25
Sujet du message:
Répondre en citant

Sober.Y ( et descendances )

Sober.Y est un virus qui se propage par courriel. Il se présente sous la forme d'un message en anglais ou en allemand dont le titre et le corps sont aléatoires accompagné d'un fichier joint avec une extension .ZIP (54 Ko), en tentant notamment de faire passer pour un kit d'accès aux vidéos des célébrités Paris Hilton et Nicole Richie ou d'une mise en garde du FBI/CIA suite à la prétendue consultation de sites illégaux. Si ce fichier est exécuté, le virus s'envoie en masse aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers.

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une manière générale, même si son nom est intrigant ou attrayant il ne faut pas exécuter un fichier joint douteux sans avoir fait confirmer son envoi par l'expéditeur du message puis l'avoir analysé avec un antivirus à jour.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de désinfection FixSbr pour rechercher et éliminer le virus.

telecharger FIXSBR (fixe sober )

http://www.secuser.com/telechargement/desinfection.htm#Sober

DESCRIPTION DETAILLEE :
Sober.Y est une variante du virus Sober qui se présente sous la forme d'un message en anglais ou en allemand, dont le titre est variable :

Registration Confirmation
Paris Hilton & Nicole Richie
You visit illegal websites
Your IP was logged
Your Password
smtp mail failed
Mail delivery failed
hi, ive a new mail address
L'adresse de l'expéditeur est falsifiée ou usurpée (dont notamment Department@fbi.gov, Office@fbi.gov, Mail@cia.gov, Department@cia.gov ou Admin@cia.gov) et le corps du message est variable :



Account and Password Information are attached!
Protected message is attached!
Account and Password Information are attached!
***** Go to: http://www.[nom de domaine de l'adresse destinataire]
***** Email: postman@[nom de domaine de l'adresse destinataire]
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000
hey its me, my old address dont work at time. i dont know why?
! in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
This is an automatically generated Delivery Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached!



La pièce jointe possède un nom variable et une extension .ZIP (54 Ko) :

reg_pass.zip
reg_pass-data.zip
downloadm.zip
list.zip
mailtext.zip
mail.zip
mail_body.zip
list[caractères aléatoires].zip
question_list[caractères aléatoires].zip


Cette archive contient un fichier File-packed_dataInfo.exe.
Si ce fichier est exécuté, le virus se copie dans le répertoire System de Windows sous un nom aléatoire, modifie la base de registres pour s'exécuter automatiquement au prochain démarrage de l'ordinateur, puis s'envoie aux contacts présents dans le carnet d'adresses Windows, ainsi qu'aux adresses email collectées dans divers autres fichiers de l'ordinateur en évitant certains destinataires et en utilisant une adresse d'expéditeur usurpée ou falsifiée.

source secuser
Voir le profil de l'utilisateur Envoyer un message privé
 
   eMule ZenZone Index du Forum -> Réseaux & Sécurité
 
Page 1 sur 1
 

Sauter vers:   

Creative Commons License Gf-Portail - phpBB v2 © 2001, 2006 phpBB Group - Traduction par : phpBB-fr.com