|
Menu |
|
Site optimisé pour :
|
|
Qui est en ligne ? |
|
|
Statistiques |
|
Sur le Forum ZenZone
Membres : 3774
Dernier Inscrit :
nicolas78
79617 Messages dans 9887 Sujets.
|
|
ZenZone IRC |
|
Total : 3287140
Annee : 132062
Mois : 6030
Jour : 673
3.15.142.42
|
|
W32soberX ce vers ne veut quitter mon ordi HELP!!!! |
|
|
Auteur |
Message |
fanouchka
Apprenti
Inscrit le: 26 Oct 2005 Messages: 6
Citer
|
Posté le: Mer Jan 25, 2006 13:06
Sujet du message: W32soberX ce vers ne veut quitter mon ordi HELP!!!!
|
|
|
J'ai essayé plein doutils de désinfection, rien n'y fait
Voici le rapport e hijackthis:
ogfile of HijackThis v1.99.1
Scan saved at 13:06:48, on 25/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\UAService7.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\LAURIE~1\LOCALS~1\Temp\Rar$EX00.843\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PBFRV2 - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - C:\WINDOWS\system32\pbfrv2.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: PBFRV2 - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - C:\WINDOWS\system32\pbfrv2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ClickMe] C:\apps\ClickMe\ClickMe.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB42D896-099F-4953-A873-1F01C561DD77}: NameServer = 213.36.80.1 213.36.80.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
Pouvez vous m'aider silvouplééé
|
|
|
|
|
|
Auteur |
Message |
AncienMembre Anon.
Bouddha Zen
Inscrit le: 23 Aoû 2004 Messages: 1425
Citer
|
Posté le: Mer Jan 25, 2006 13:50
Sujet du message:
|
|
|
Email-Worm.Win32.Sober.z W32/Sober.xWorm.Sober.T-9 se propage par couriers electroniques, touche essentielement Windows et a pour effets secondaires:
S'envoie aux adresses des carnets d'adresses Outlook
Injecte davantage de logiciels malveillants
Falsifie l'adresse électronique de l'expéditeur
Utilise son propre moteur d'envoi de courriels
S'installe dans le Registre
Injecté(e)(s) par des logiciels malveillants
Laisse des fichiers non infectés sur l'ordinateur
Tente de terminer les processus suivants :
mrt.exe
asw*.tmp
Essaie de terminer les processus qui contiennent l’une des chaînes suivantes :
microsoftanti
gcas
gcip
giantanti
inetupd.
nod32kui
nod32.
fxsbr
avwin.
guardgui.
aswclnr
stinger
hijack
sober
brfix
s_t_i_n
s-t-i-n
( ce sont tout les processus succeptibles de contenir une copie de ce ver dans leut librairies ou leur quarantaine , ce qui peut empecher ton antivirus de les supprimer , puisque proteges par ces programes )
pour supprimer ce ver rend toi a cette adresse:
http://www.symantec.com/region/fr/techsupp/avcenter/venc/data/fr-w32.sober.removal.tool.html
@plus tard
Dernière édition par AncienMembre Anon. le Sam Jan 28, 2006 16:21; édité 1 fois
|
|
|
|
|
|
Auteur |
Message |
fanouchka
Apprenti
Inscrit le: 26 Oct 2005 Messages: 6
Citer
|
Posté le: Mer Jan 25, 2006 18:04
Sujet du message:
|
|
|
est ce que tu peux me donner plus d'infos, parce que je m'y connais pas trop trop ret j'ai pas bien compris lhistoire des processus...
Sinon symantec j'ai essayé il le détecte pas, j'ai essayé plein plein d'autres outils de décontamination mais ça le trouve pas.
merci quand meme
a plus
|
|
|
Auteur |
Message |
BooB
Bouddha Zen
Sexe: Inscrit le: 01 Juil 2004 Messages: 2752 Localisation: "Don't laugh! Do you want to screw me, yes or no?"dixit gogo yubari
Citer
|
Posté le: Mer Jan 25, 2006 18:26
Sujet du message:
|
|
|
ctrl+alt+supp
tu regardes tout ton processus cad tous ski est ouvert et tu tu recherches
les terminaisons cité plus haut par keskia
et tu clik "terminer processus"
ca le supprimeras pas du DD mais o moins le desactiver le temps de le localiser _________________
Apres la gauche caviar,la droite cassoulet: une petite saucisse avec des fayots autour
|
|
|
Auteur |
Message |
fanouchka
Apprenti
Inscrit le: 26 Oct 2005 Messages: 6
Citer
|
Posté le: Mer Jan 25, 2006 21:16
Sujet du message:
|
|
|
j'ai un peu peur de faire ça en fait... t sur que ça fera rien a mon ordi? paskil me mette un message dalerte un peu inquietant dugenre, je peux prdre toutes mes données si je fais ça
|
|
|
Auteur |
Message |
Platane
Bouddha Zen
Inscrit le: 23 Juin 2004 Messages: 2585 Localisation: Montpellier
Citer
|
Posté le: Mer Jan 25, 2006 21:23
Sujet du message:
|
|
|
non pas de risque,
ça ne touche pas aux données,
ça ferme juste les programmes ouverts
|
|
|
Auteur |
Message |
AncienMembre Anon.
Bouddha Zen
Inscrit le: 23 Aoû 2004 Messages: 1425
Citer
|
Posté le: Jeu Jan 26, 2006 07:50
Sujet du message:
|
|
|
Salut Fanouchka
pour que tes antivirus , antispy etc... puissent virrer ce ver , il faudarait que tu desactive la "restauration system" , que tu redemarres en mode sans echec , tu scan ton disque , tu vires tout ce que tes antivirus etc.. te trouve , tu redemarre normalement et tu reactive la restauration system
si tu e fais pas cette manipulation , ce ver se relancera a chaaque demarrage de XP
@plus tard , tiens nous au courant
|
|
|
|
|
|
Auteur |
Message |
AncienMembre Anon.
Bouddha Zen
Inscrit le: 23 Aoû 2004 Messages: 1425
Citer
|
Posté le: Sam Jan 28, 2006 16:25
Sujet du message:
|
|
|
Sober.Y ( et descendances )
Sober.Y est un virus qui se propage par courriel. Il se présente sous la forme d'un message en anglais ou en allemand dont le titre et le corps sont aléatoires accompagné d'un fichier joint avec une extension .ZIP (54 Ko), en tentant notamment de faire passer pour un kit d'accès aux vidéos des célébrités Paris Hilton et Nicole Richie ou d'une mise en garde du FBI/CIA suite à la prétendue consultation de sites illégaux. Si ce fichier est exécuté, le virus s'envoie en masse aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers.
PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une manière générale, même si son nom est intrigant ou attrayant il ne faut pas exécuter un fichier joint douteux sans avoir fait confirmer son envoi par l'expéditeur du message puis l'avoir analysé avec un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de désinfection FixSbr pour rechercher et éliminer le virus.
telecharger FIXSBR (fixe sober )
http://www.secuser.com/telechargement/desinfection.htm#Sober
DESCRIPTION DETAILLEE :
Sober.Y est une variante du virus Sober qui se présente sous la forme d'un message en anglais ou en allemand, dont le titre est variable :
Registration Confirmation
Paris Hilton & Nicole Richie
You visit illegal websites
Your IP was logged
Your Password
smtp mail failed
Mail delivery failed
hi, ive a new mail address
L'adresse de l'expéditeur est falsifiée ou usurpée (dont notamment Department@fbi.gov, Office@fbi.gov, Mail@cia.gov, Department@cia.gov ou Admin@cia.gov) et le corps du message est variable :
Account and Password Information are attached!
Protected message is attached!
Account and Password Information are attached!
***** Go to: http://www.[nom de domaine de l'adresse destinataire]
***** Email: postman@[nom de domaine de l'adresse destinataire]
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more
Download is free until Jan, 2006!
Please use our Download manager.
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000
hey its me, my old address dont work at time. i dont know why?
! in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
This is an automatically generated Delivery Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached!
La pièce jointe possède un nom variable et une extension .ZIP (54 Ko) :
reg_pass.zip
reg_pass-data.zip
downloadm.zip
list.zip
mailtext.zip
mail.zip
mail_body.zip
list[caractères aléatoires].zip
question_list[caractères aléatoires].zip
Cette archive contient un fichier File-packed_dataInfo.exe.
Si ce fichier est exécuté, le virus se copie dans le répertoire System de Windows sous un nom aléatoire, modifie la base de registres pour s'exécuter automatiquement au prochain démarrage de l'ordinateur, puis s'envoie aux contacts présents dans le carnet d'adresses Windows, ainsi qu'aux adresses email collectées dans divers autres fichiers de l'ordinateur en évitant certains destinataires et en utilisant une adresse d'expéditeur usurpée ou falsifiée.
source secuser
|
|
|
|
|
|
Page 1 sur 1 |
|
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
|
|
|
|