Votre question

virus win32 sober AB

Tags :
  • Antivirus
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Décembre 2005 14:04:23

bonjour depuis hier j en suis a 3virus et tous les meme.. c est win32 sober AB.. mon anti virus les a laisser passer.. comment faire pour s en debarasser sans faire de degat des fichier? j ai installer avast et j ai supprimer mon autre anti virus securitoo anti virus firewall :-( :crying:

Autres pages sur : virus win32 sober

20 Décembre 2005 16:57:09

Salut,

Télécharge HijackThis : http://www.infos-du-net.com/telecharger/HijackThis.html
Extrais le fichier hijackthis.exe, de son fichier zip, dans un dossier dédié (un dossier que tu places sur le bureau par exemple).
Lance le fichier hijackthis.exe, choisi Do a system scan a save a logfile, et donne nous le résultat du scan.

23 Décembre 2005 14:56:28

Bonjour à tous,
Je suis étonné de la pertinence des informations disponibles sur ce site (mille merci pour vos conseils!).
Je suis concerné par Sober A-B et Sober A-B2 (alias Sober Y) depuis 48 h
La protection de Avast éd. familiale semble donc totalement insuffisante.
Mais comme je ne suis qu'un piètre manipulateur de fichiers et de surcroit, très mauvais dans la langue anglaise, je suis rendu à l'étape décrite par OmaR_ShaRif le 20/12/2005 16:57:09, et je ne sais que faire des informations complexes contenues dans le fichier log résultant du scan de Hijackthis.

Je joint donc une copie du fichier log ci-après.
Merci de m'aider à comprendre, et si possible de me donner quelques directives éclairées.
Cordiales salutations, DiB

Logfile of HijackThis v1.99.1
Scan saved at 13:55:14, on 23/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\DB\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\DB\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\DB\DiskeeperExecSoft\DkService.exe
C:\Program Files\DB\ewido anti-malware\ewidoctrl.exe
C:\Program Files\DB\HDD Temperature\HDDTsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\TSIRCSRV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\TSI32\tsircusr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\DB\CLy e-CB VISA Cleo\ECB-CLEO.exe
C:\WINNT\system32\BtUsrBdg.exe
C:\Program Files\DB\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\WINNT\ConnectionStatus\services.exe
C:\program files\db\quicktime\qttask.exe
C:\Program Files\DB\MS ActiveSync\WCESCOMM.EXE
C:\WINNT\system32\ctfmon.exe
C:\Program Files\DB\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\DB\Alwil Software\Avast4\ashMaiSv.exe
E:\Comptoir\Télécharg\Software Downloads\Protection PC\Utilitaires de désinfection\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\DB\COPERN~1\COPERN~1.DLL
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\TSI32\tsircusr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINNT\system32\BhoECart.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\DB\Spybot\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: CBHO Object - {CBA74CDA-DF78-4AD9-954E-3B15D0A993DE} - C:\Program Files\DB\CoreStreet\SpoofStick\SpoofStickBHO.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\DB\COPERN~1\COPERN~1.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: SpoofStick - {4D46ED77-1429-4CF6-8F63-C84B5D710BAF} - C:\Program Files\DB\CoreStreet\SpoofStick\SpoofStick.dll
O3 - Toolbar: Copernic Desktop Search - {C5F7A735-70F1-477F-8C36-6FF3C736017B} - C:\Program Files\DB\Copernic Desktop Search\CopernicDesktopSearchIntegration789.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [eCarteBleue-CLEO] "C:\Program Files\DB\CLy e-CB VISA Cleo\ECB-CLEO.exe" /dontopenmycards
O4 - HKLM\..\Run: [BTUSRBDG] BtUsrBdg.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\DB\Spybot\SpybotSD.exe" /autocheck /autoclose /waitstart
O4 - HKLM\..\Run: [avast!] C:\Program Files\DB\Alwil Software\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [ WinINet] C:\WINNT\ConnectionStatus\services.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\db\quicktime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\DB\MS ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\DB\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\DB\MSOFFI~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Masquer les images - C:\WINNT\web\MaskImage.htm
O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - file://C:\WINNT\web\nvcadre.html
O8 - Extra context menu item: Surligner en Jaune - C:\WINNT\web\MarqueurFluoYellow.htm
O8 - Extra context menu item: Surligner en Rose - C:\WINNT\web\MarqueurFluoPink.htm
O8 - Extra context menu item: Surligner en Vert - C:\WINNT\web\MarqueurFluoGreen.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\DB\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\DB\COPERN~1\COPERN~1.EXE
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\DB\MS ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\DB\MS ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\DB\MS ActiveSync\inetrepl.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\DB\COPERN~1\COPERN~1.EXE
O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: RadioWeb - {FF4DF9E0-E3DE-11CE-BFCF-ABCD1DE12346} - C:\Program Files\DB\Radioweb Player\RadiowebPlayer.exe
O16 - DPF: {15589FA1-C456-11CE-BF01-000000000000} - http://www.errornuker.com/products/errn2004/installers/...
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/r...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {D1DAAC1D-7108-490F-AC7C-B59FDA7AA96A} (ChooseAttachedFile Class) - http://www.bvrp.fr/Tools/ASP/FORMULAIRE_SUPPORT/FR_AB/C...
O17 - HKLM\System\CCS\Services\Tcpip\..\{D24CDADA-38DC-4EED-9BEE-E55733295751}: NameServer = 213.36.80.1
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\DB\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\DB\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\DB\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\DB\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\DB\DiskeeperExecSoft\DkService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\DB\ewido anti-malware\ewidoctrl.exe
O23 - Service: HDD Temperature (HDDTService) - PalickSoft - C:\Program Files\DB\HDD Temperature\HDDTsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe
O23 - Service: TSI Remote Control Service (TSIRCSRV) - LapLink, Inc. - C:\WINNT\System32\TSIRCSRV.EXE
Contenus similaires
23 Décembre 2005 15:28:52

Je te conseille plutôt:

Débarrassons-nous de ce Sober :
- télécharger Sober Removal Tool de Symantec ( http://securityresponse.symantec.com/avcenter/FixSbr.exe ) et le ranger sur le bureau
- télécharger Stinger de McAfee ( http://vil.nai.com/vil/stinger/ ) et le ranger sur le bureau
- lancer les deux outils en même temps et les laisser faire leur travail (çà va durer au moins 20 minutes)
- Sober Removal Tool créera un rapport FixSobr.log sur le bureau
- demander à Stinger un rapport stng259.txt sur le bureau
- supprimer le dossier vide C:\Windows\WinSecurity
Les deux outils sont nécessaires car chacun trouvera des fichiers infectés

Bien sûr, remplacer Windows par WinNT si vous utilisez W2K.
Vous pouvez gagner du temps en supprimant les fichiers inutiles avant de lancer les outils (c'est une perte de temps de scanner des fichiers temporaires) mais personnellement, j'aime bien avoir un message me disant que les fichiers ont été choppés et supprimés !
Ce post est une addition à celui de Ruby "Wurm Sober.Y -> Cleaner" ( http://www.hijackthis-forum.de/showthread.php?t=11326 )

29 Décembre 2005 16:47:07

Merci Olghon,
Vous donnez une instruction concernant le dossier c:\Windows (WinNT)\security.
Pour ce qui est de mon cas, il n'est pas vide !
Faut-il le jeter quand même ?
Faut-il le faire avant de démarrer les scanning ?
Merci pour ces précisions, Salutations DiB
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS