angelique

Heu!! t'habite loin ;o) sinon vire alors C:\_OTMoveIt ça me parait ok desormais . Tu reviens de Loin

si là ^^ [AVERTISSEMENT] Impossible d'ouvrir le fichier ! C:\_OTMoveIt\MovedFiles\12092008_171014\Program Files\Fichiers communs\Microsoft Shared\shh.exe [AVERTISSEMENT] Impossible d'ouvrir le fichier ! » supprime moi ça ! --> E:\MP3\LOGICIELS\macromedia\Dreamweaver\Macromedia Studio 8 Fr (dreamweaver 8 - Fireworks 8 - Flash + Kegen.ace • easy cleaner s'est bien passé? de nombreux elements obsoletes supprimés ! • la defrag avec JKdefrag+ le bat sur le bureau , ça s'est bien passé?? Comment se comporte ton pc apres l'eradication de toute cette junglerie ?

========== FILES ========== C:\Program Files\Fichiers communs\Microsoft Shared\shh.exe moved successfully <---- il a pourtant été bougé ! Ouvre le poste de travail Clic sur le menu outils en haut à droite puis options des dossiers Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut Coche dans la liste "Afficher les fichiers cachés" Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"\appliquer Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. et regardes dans dans C:\ _OTMoveIt\MovedFiles\ ..... ???? il est là ?? si y'a rien remasque les dossiers et fichiers cachés si y'a rien continue ;o)

•y'a pas de soucis , prends ton temps(je ne te relirais que demain soir 'cause TAF) ; c'est du nettoyage avec easyCleaner et une bonne defrag avec un tres bon utilitaire histoire de redonner un peu de vigueur , je suppose qu'il en a besoin •shh.exe est quand meme à analyser • vide la quarantaine de malwareBytes, j'ai oublié de te dire, à utiliser regulierement vu ta bande de Zouaves qui telecharge n'importawak, tu as pu remarquer que sur clic droit sur un fichier existait le scan antivir mais aussi MalwareBytes (ça peut servir avant d'ouvrir un fichier venant de l'exterieur+ le scan Online chez Jotti, ça limite le risque mais attention!! ça veut pas dire que si ça couine pas que y'a rien!!c'est peut etre nouveau(un doute = demande) • un dernier scan\rapport antivir pour verifier car 178 merdasses non actives c'est quand meme pas cool en plus de ce que tu avais de TRES actif

archicad alors ;o) :: E:\MP3\LOGICIELS\graphisoft\archicad\ArchiCAD 9 Français (r1 2172)+Plug-in+Crack le top.rar [0] Type d'archive: RAR --> Archicad 9 r1 2172. Franﾇais + Crack\AC9 Crack\ArchiCAD9.b2172_Crk.exe • dans C:\ _OTMoveIt\MovedFiles tu dois voir shh.exe , scan le chez jotti et poste le resultat Vas sur le site http://virusscan.jotti.org/ Clique en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : shh.exe Clique sur submit toujours en haut à droite Le scan va se lancer, ça va prendre un petit instant A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte Poste ce fichier dans ta prochaine réponse ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens! Aide : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId662799 • supprime c:\javara.log , le rapport de javara • telecharge easyCleaner:: ftp://zebulon.fr/EClea2_0.exe -Lance Easycleaner , onglet mise à jour\verifier\clic liste noire -relance le , clic chacun son tour "inutiles" et "registre" \trouver--Ne touche en aucun cas à la fonctions doublons !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! -attention certains programmes comme autocad de memoire utilisent des .bak comme fichiers , avant de cliquer trouver dans inutile , inscrit sans les "" "" dans sauter ".bak" -Supprime tout ce que te propose Easycleaner -Vide la corbeille • on va te mettre un bon defragmenteur! » telecharge JKdefrag 3.6.zip ou tu veux :: http://www.trad-fr.com/telecharger/downloa...&mirror=276 extrait le et coupe_colle le dossier à la racine de ton disque , donc tu obtiens : C:\JkDefrag-3.36\ contenant ses fichiers: Répertoire de C:\JkDefrag-3.36 doc JkDefrag.exe JkDefragCmd.exe JkDefragScreenSaver.exe JkDefragScreenSaver.scr ça marchera que si c'est placé comme ça car le fichier JK.bat que tu vas telecharger va l'appeler à cette emplacement, donc telecharge JK.bat sur ton bureau!!! Download link ---> http://www.sendspace.com/file/sef9s6 le contenu de JK.bat: @echo ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» @echo ºJKDefrag Free GNU software http://www.kessels.com/JkDefrag/ º @echo ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ pause cd c:\ cd JkDefrag-3.36 start JkDefrag.exe -l "" -q exit ===> double clic sur JK.bat sur ton bureau la defragmentation va se faire toute seule et se fermer toute seule automatiquement • et oui refait un nouveau rapport antivir

Merci antivir • tu as desinstallé Combofix comme dit ? ComboFix /u supp. c:\qoobox , c:\combofix , c:\combofix.txt • C:\Program Files\eMule\Incoming\ fait gaffe à ce que tu P2Petes ;o) Ce qui suit n'est pas pour faire la morale, mais vise plutôt à te faire prendre conscience des risques liés à l'utilisation de ce type de programmes. Fais gaffe avec l'utilisation des logiciels P2P!! ce sont les principaux vecteurs d'infection avec les craks/keygens,musiques,videos infectés etc...! Pour t'en convaincre, lis ces deux topics très clairs: le premier est de Malekal et concerne les cracks => http://forum.malekal.com/viewtopic.php?f=33&t=893 le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/prevention-le-p2p-...ces-t85544.html Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/ Maintenant que tu sais, c'est à toi de voir... est ce que ca vaut le coup de risquer une grosse infection(et mettre tes données en peril)? • vide la quarantaine d'antivir • t'as vu ton autocad cracké \o/ tout vérolé , pas de commentaires , tu as compris !!! • plein d'exe inconnu en C:\Program Files\Fichiers communs\Microsoft Shared\......exe trop chelou ! y'a pas d'exe là!on va virer TOUS les exe \o/, pas peur , toute façon tout bouge dans C:\ _OTMoveIt\MovedFiles\ au cas ou , mais vas y, fait le. » Télécharge OTMoveIt3 de OldTimer http://oldtimer.geekstogo.com/OTMoveIt3.exe * Enregistre-le sur ton bureau * Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître) * Copie-colle l'entièreté de ceci ci dessous dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) : :files E:\MP3\LOGICIELS\ComboFix.exe E:\MP3\LOGICIELS\SmitfraudFix.exe C:\Program Files\Fichiers communs\Microsoft Shared\*.exe :commands [emptytemp] * Clique sur le bouton rouge Moveit! pour lancer le nettoyage * Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite) --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log) * Ferme OTMoveIt3 (en cliquant sur Exit) Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter... • Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries. http://switch.dl.sourceforge.net/sourcefor...vara/JavaRa.zip http://raproducts.org/click/click.php?id=1 * Décompresse le fichier sur le bureau (clic droit > Extraire tout) * Double-cliquer sur le répertoire JavaRa. * Puis double-cliquer sur le fichier JavaRa.exe (le exe peut ne pas s'afficher) * Clique sur Search For Updates. * Sélectionner Update Using jucheck.exe puis cliquer sur Search. * Autorise le processus à se connecter s'il le demande, cliquer sur Install et suivre les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, revenez à l'écran de JavaRa et clique sur Remove Older Versions. * Clique sur Oui pour confirmer. Laisse travailler et cliquez ensuite sur Ok, puis une deuxième fois sur Ok. * Un rapport va s'ouvrir à copier-coller dans la prochaine réponse. * Fermer l'application Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log . NB: en cas de problème d'installation de la dernière version de la console, télécharger la version "hors ligne" sur le bureau: http://javadl.sun.com/webapps/download/AutoDL?BundleId=23111 et l'installer toutes applications fermées sauf protections pc. Il ne doit jamais rester que la dernière version dans le "Ajouter/supprimer des programmes". Reposte un log Hijackthis avec le rapport de JavaRa stp. • Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe * Double clique sur le fichier téléchargé pour lancer le processus d'installation. * Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. * Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". * Sélectionne "Exécuter un examen rapide" * Clique sur "Rechercher" * L'analyse démarre, le scan est relativement long, c'est normal. * A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. * Ferme tes navigateurs. * Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. * MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le. tuto : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php • et recommence ATFCleaner+resto systeme ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924 === je lirais ça que ce soir si j'ai le temps car TAF \o/, bon courage===+===fait la morale dans ton foyer de pas telecharger n'importe quoi

aaah !! c'est pas de ma competence dans ce cas ...('soir \o/), kew|gen|...? peut etre

ton lien bah moi ça me permet de le charger en image: http://imagik.fr/view-rl/173617

je te confirme qu'il a été powned, tué , supprimé , TERMINATED beau boulot que tu as fais là , pas de bsod au reboot ? ecran bleu?? On termine • desinstalle Combofix en copiant_collant la ligne ci dessous dans executer et valide là ComboFix /u • double clic sur gmer_uninstall present dans c:\windows et supprime Gmer • fait un scan complet antivir à jour et bien configuré http://www.malekal.com/fichiers/antivir/Co...tionAntivir.avi http://www.malekal.com/tutorial_antivir.php • Finir nettoyage: » telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. le prochain reboot sera un petit peu plus long, le %windir%\prefetch ayant été vidé. »desactiver puis réactiver la restauration systeme de cette maniere: http://service1.symantec.com/SUPPORT/INTER...020830101856924

vas y fait ce que j'ai dis dans mon message precedent , et si antivir couine au reboot , tu delete

ok • double clic sur catchme dans le dossier diaghelp selectionne l'onglet script et copie_colle dans la fenetre le contenu du cadre ci dessous et clic start., puis redemarre files to delete: c:\windows\system32:imwbi.exe • redemarre et poste un nouveau rapport Gmer , si antivir couine tu choisis "delete"

c'est à dire ? ouvre antivir \onglet "event" \double clic sur les detections et copie_colle le contenu , les 5 derniers j'attend toujours la confirmation , t'inquiete pas ;o)

ok , faut que je demande un avis si on peut le files to delete, y'a une difference desormais il est damaged et ne se recharge pas RunOnce et AppInit_DLLs le header de l'exe a été niqué , mais me faut confirmation si on peut le delete catchme, tu patientes

pff!! j'ai oublié le s de system32 , j'ai rectifié

pfff » ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: ADS:: C:\WINDOWS\system32:imwbi.exe Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"=- "AppInit_DLLs"="" [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

faut decocher les 2 cases "quick scan" et "ignore safe..." , recommence

tu as bien executer turlututu.reg ?? fait le • tu va lancer HijackThis \open the misc tools section\clic open adsspy\ comme sur la capture là http://www.bleepingcomputer.com/tutorials/...l42.html#adsspy *clic scan \clic save log et enregistre le pour pouvoir poster le contenu stp , coche uniquement (que tu devrais voir!) : C:\WINDOWS\system32:imwbi.exe et clic remove selected. • redemarre ton pc et reposte un nouveau rapport Gmer ------------------- Voila ta bestiole coriace qui est pourtant bien détecté: http://www.virustotal.com/fr/analisis/bc35...be3c6de1ceba83c

Sujet fermé. Merci de bien vouloir consulter la charte du forum.

Oups merci Mad pour la correction imwbi.exe et non iwbi.exe , erreur de frappe bah la bebete est carrement bien ancrée au systeme donc c'est normal , mais pas cool je sais! sur quel fichier? catchme.zip ?? • reposte un nouveau rapport Gmer stp

je reviens vers 17H

tu laisses tomber. ok on change la methode !car t'as pas le bon catchme, désolée!!! • Télécharge DiagHelp ( de Malekal_morte ) : http://www.malekal.com/download/DiagHelp.zip dezippe le • double clic sur catchme dans le dossier diaghelp selectionne l'onglet script et copie_colle dans la fenetre le contenu du cadre ci dessous et clic start., puis redemarre et execute turlututu.reg files to kill: c:\windows\system32:imwbi.exe • tu dois maintenant avoir catchme.zip et .log sur ton bureau , upload le .zip et poste le contenu du .log

• ouvre une invite de commande [executer--> CMD]et ecrit en respectant les espaces et "" "" notepad "c:\windows\system32:iwbi.exe" » enregistre le fichier bloc note qui s'ouvre sous le nom malware.dat sur ton bureau (type de fichier "tous les fichiers" c'est important) et envoie le là: http://secubox.gateweb.org/mad.php ou un lien sendspace comme precedemment • tu as toujours catchme en c:\ » toujours dans l'invite de commande : cd c:\ catchme.exe -k c:\windows\system32:iwbi.exe exit • redemarre le pc • as tu catchme.zip ou .log sur ton bureau (en c:\ ?)si oui upload le : http://secubox.gateweb.org/mad.php • telecharge turlututu.reg si tu l'as plus sur ton bureau , double clic dessus et accepte la fusion au registre http://www.sendspace.com/file/jlhe23 le contenu du reg a ceci: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"=- "AppInit_DLLs"=""

c'est pas du gateau ! quelques infos: tu avais un stealer (pinch) depuis un moment qui avait la possibilité de remonter tous tes faits & gestes, change tous tes mots de passes locaux et distants (site,banque.....) reposte un nouveau rapport Gmer avant de partir stp

Je vais remonter aux infos dans la matinée , en attendant fait ceci: » comboFix doit absolument etre sur ton bureau ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Killall:: File:: C:\WINDOWS\system32\setyqsrv.dll ADS:: C:\WINDOWS\system32:imwbi.exe Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"=- "AppInit_DLLs"="" [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

fallait juste desactiver l'autorun avec le reg Désactiver l'autorun par défaut dans Windows http://perso.orange.fr/-Gof/DL/autorun_off.reg