[En Cours] W32soberX ce vers ne veut quitter mon ordi HELP!!!!

Apprenti Inscrit le: 26 Oct 2005 Messages: 6 **Citer**

J'ai essay� plein doutils de d�sinfection, rien n'y fait
Voici le rapport e hijackthis:

ogfile of HijackThis v1.99.1
Scan saved at 13:06:48, on 25/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\UAService7.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\LAURIE~1\LOCALS~1\Temp\Rar$EX00.843\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PBFRV2 - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - C:\WINDOWS\system32\pbfrv2.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: PBFRV2 - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - C:\WINDOWS\system32\pbfrv2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ClickMe] C:\apps\ClickMe\ClickMe.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB42D896-099F-4953-A873-1F01C561DD77}: NameServer = 213.36.80.1 213.36.80.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Pouvez vous m'aider silvoupl�� :-?

Post� le: Mer Jan 25, 2006 13:50 Sujet du message:

Email-Worm.Win32.Sober.z W32/Sober.xWorm.Sober.T-9 se propage par couriers electroniques, touche essentielement Windows et a pour effets secondaires:

S'envoie aux adresses des carnets d'adresses Outlook
Injecte davantage de logiciels malveillants
Falsifie l'adresse �lectronique de l'exp�diteur
Utilise son propre moteur d'envoi de courriels
S'installe dans le Registre
Inject�(e)(s) par des logiciels malveillants
Laisse des fichiers non infect�s sur l'ordinateur
Tente de terminer les processus suivants :

mrt.exe
asw*.tmp

Essaie de terminer les processus qui contiennent l�une des cha�nes suivantes :

microsoftanti
gcas
gcip
giantanti
inetupd.
nod32kui
nod32.
fxsbr
avwin.
guardgui.
aswclnr
stinger
hijack
sober
brfix
s_t_i_n
s-t-i-n

( ce sont tout les processus succeptibles de contenir une copie de ce ver dans leut librairies ou leur quarantaine , ce qui peut empecher ton antivirus de les supprimer , puisque proteges par ces programes )

pour supprimer ce ver rend toi a cette adresse:
http://www.symantec.com/region/fr/techsupp/avcenter/venc/data/fr-w32.sober.removal.tool.html

@plus tard

Apprenti Inscrit le: 26 Oct 2005 Messages: 6 **Citer**

est ce que tu peux me donner plus d'infos, parce que je m'y connais pas trop trop ret j'ai pas bien compris lhistoire des processus...
Sinon symantec j'ai essay� il le d�tecte pas, j'ai essay� plein plein d'autres outils de d�contamination mais �a le trouve pas.
merci quand meme
a plus

Post� le: Mer Jan 25, 2006 18:26 Sujet du message:

ctrl+alt+supp
tu regardes tout ton processus cad tous ski est ouvert et tu tu recherches
les terminaisons cit� plus haut par keskia
et tu clik "terminer processus"
ca le supprimeras pas du DD mais o moins le desactiver le temps de le localiser
_________________

http://img113.imageshack.us/img113/9527/bobgj0.jpg

Apres la gauche caviar,la droite cassoulet: une petite saucisse avec des fayots autour

http://www.vosfichiers.com/images/arx1202942778o.gif

Apprenti Inscrit le: 26 Oct 2005 Messages: 6 **Citer**

j'ai un peu peur de faire �a en fait... t sur que �a fera rien a mon ordi? paskil me mette un message dalerte un peu inquietant dugenre, je peux prdre toutes mes donn�es si je fais �a :pint:

Post� le: Mer Jan 25, 2006 21:23 Sujet du message:

non pas de risque,
�a ne touche pas aux donn�es,
�a ferme juste les programmes ouverts

Post� le: Jeu Jan 26, 2006 07:50 Sujet du message:

Salut Fanouchka

pour que tes antivirus , antispy etc... puissent virrer ce ver , il faudarait que tu desactive la "restauration system" , que tu redemarres en mode sans echec , tu scan ton disque , tu vires tout ce que tes antivirus etc.. te trouve , tu redemarre normalement et tu reactive la restauration system

si tu e fais pas cette manipulation , ce ver se relancera a chaaque demarrage de XP

@plus tard , tiens nous au courant

Post� le: Sam Jan 28, 2006 16:25 Sujet du message:

Sober.Y ( et descendances )

Sober.Y est un virus qui se propage par courriel. Il se pr�sente sous la forme d'un message en anglais ou en allemand dont le titre et le corps sont al�atoires accompagn� d'un fichier joint avec une extension .ZIP (54 Ko), en tentant notamment de faire passer pour un kit d'acc�s aux vid�os des c�l�brit�s Paris Hilton et Nicole Richie ou d'une mise en garde du FBI/CIA suite � la pr�tendue consultation de sites ill�gaux. Si ce fichier est ex�cut�, le virus s'envoie en masse aux adresses pr�sentes dans le carnet d'adresses Windows et divers autres fichiers.

PREVENTION :
Les utilisateurs concern�s doivent mettre � jour leur antivirus. D'une mani�re g�n�rale, m�me si son nom est intrigant ou attrayant il ne faut pas ex�cuter un fichier joint douteux sans avoir fait confirmer son envoi par l'exp�diteur du message puis l'avoir analys� avec un antivirus � jour.

DESINFECTION :
Avant de commencer la d�sinfection, il est imp�ratif de s'assurer avoir appliqu� les mesures pr�ventives ci-dessus afin d'emp�cher toute r�infection de l'ordinateur par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de d�sinfection FixSbr pour rechercher et �liminer le virus.

telecharger FIXSBR (fixe sober )

http://www.secuser.com/telechargement/desinfection.htm#Sober

DESCRIPTION DETAILLEE :
Sober.Y est une variante du virus Sober qui se pr�sente sous la forme d'un message en anglais ou en allemand, dont le titre est variable :

Registration Confirmation
Paris Hilton & Nicole Richie
You visit illegal websites
Your IP was logged
Your Password
smtp mail failed
Mail delivery failed
hi, ive a new mail address
L'adresse de l'exp�diteur est falsifi�e ou usurp�e (dont notamment Department@fbi.gov, Office@fbi.gov, Mail@cia.gov, Department@cia.gov ou Admin@cia.gov) et le corps du message est variable :

Account and Password Information are attached!
Protected message is attached!
Account and Password Information are attached!
***** Go to: http://www.[nom de domaine de l'adresse destinataire]
***** Email: postman@[nom de domaine de l'adresse destinataire]
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more

Download is free until Jan, 2006!
Please use our Download manager.
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000
hey its me, my old address dont work at time. i dont know why?
! in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
This is an automatically generated Delivery Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached!

La pi�ce jointe poss�de un nom variable et une extension .ZIP (54 Ko) :

reg_pass.zip
reg_pass-data.zip
downloadm.zip
list.zip
mailtext.zip
mail.zip
mail_body.zip
list[caract�res al�atoires].zip
question_list[caract�res al�atoires].zip

Cette archive contient un fichier File-packed_dataInfo.exe.
Si ce fichier est ex�cut�, le virus se copie dans le r�pertoire System de Windows sous un nom al�atoire, modifie la base de registres pour s'ex�cuter automatiquement au prochain d�marrage de l'ordinateur, puis s'envoie aux contacts pr�sents dans le carnet d'adresses Windows, ainsi qu'aux adresses email collect�es dans divers autres fichiers de l'ordinateur en �vitant certains destinataires et en utilisant une adresse d'exp�diteur usurp�e ou falsifi�e.

source secuser