angelique

Merci aux lecteurs de ne pas telecharger ce fichier!!!!!!!!!!!!!!!!! DANGER!!!! merci jaja33 , le .zip est reçu. je te tiens au courant.Bonne soirée, ce soir je m'en vais | à demain \o/

le dossier qoobox zippé n'a pas été reçu!!!! • Compresse le\zip le et heberge le là et donne le lien de telechargement stp! http://www.sendspace.com/

t'as qu'à ouvrir ton .pps\.ppt avec ta visionneuse powerpoint; et l'enregistrer comme une page web , t'auras un dossier de crée avec entre autre ta photo dedans que tu copies_colles dans C:\WINDOWS\Web\Wallpaper tu l'auras alors dans tes fonds d'ecran via les propriétés de ton bureau\Fond d'ecran

je te tiens au courant ; j'aurais préféré ne pas tomber sur une merdasse d'infection comme ça hein! supprime les bat et reg que je t'ai fait DL Sauvegarde toutes tes données!!! ^^

vi , je me doutais , tu zip\compresses c:\qoobox et tu l'envoies à l'adresse indiquée. Apres on attends , y'aura peut etre pas de reponse ce soir. Désolée.

tu vas zipper\compresser c:\qoobox et l'envoyer là stp! http://secubox.gateweb.org/mad.php

Pour l'instant , je sais pas !! ton sujet est beaucoup lu ;o) , on reflechie!! supprime catchme.exe et renomme le dans la fenetre de telechargement par tata.exe et : cd c:\ tata.exe*-e*C:\WINDOWS\system32:imwbi.exe

je te rassure , tu travailles bien ^^ , mais c'est une sacrée merdouille comme on en voit jamais renomme catchme.exe par tutu.exe et adapte la commande cd c:\ tutu.exe*-e*C:\WINDOWS\system32:imwbi.exe * etant toujours la signification d'un espace t'as un catchme.log et\ou .zip ?

oui le * represente un espace catchme.exe*-e*C:\WINDOWS\system32:imwbi.exe

sans passer par toto.bat , tu vas en invite de commande [executer--cmd] et tu valides chacune des lignes ci dessous: cd c:\ catchme.exe -e C:\WINDOWS\system32:imwbi.exe exit t'as un catchme.log et .zip ??

Toujours là, c'est du béton ton truc catchme est bien à la racine du disque ?? c:\catchme.exe et pas c:\dossier\catchme.exe ?? tu me postes le contenu de toto.bat stp que je verifie.

il te demande d'appuyer sur une touche non , et ça se ferme?? • desormais sur ton bureau tu catchme.log et catchme.zip , n'est pas ?? poste le contenu de catchme.log et upload catchme.zip là: http://secubox.gateweb.org/mad.php et là : http://upload.malekal.com • reposte un rapport Gmer Pourquoi?? un soucis?

arf!! excuse moi , tu veux pas clic droit sur toto.bat et le modifier stp , c'est pas : catchme.exe -k C:\WINDOWS\system32:imwbi.exe mais catchme.exe -e C:\WINDOWS\system32:imwbi.exe tu changes just le k par e lol donc clic droit modifier sur toto.bat et tu as ça à la place , ce qui est desormais correct: cd c:\ catchme.exe -e C:\WINDOWS\system32:imwbi.exe pause exit

j'ai edité et t'ai mis le link de DL

bon! 1/ telecharge winsockFix au cas ou tu perdrais ta connexion http://www.sendspace.com/file/wip61v tu l'executes juste au cas ou tu la perds apres ci dessous 2/ouvre une invite de commande et ecrit ceci et valide par la touche "enter" gmer.exe -del file "C:\WINDOWS\system32\setyqsrv.dll" tape exit pour en sortir 3/telecharge catchme.exe à la racine de ton disque donc en c:\ , tu as donc c:\catchme.exe http://www.gmer.net/catchme.exe » telecharge toto.bat sur ton bureau et double clic dessus: http://www.sendspace.com/file/ihb83d 4/reposte un nouveau rapport Gmer

bon c'est coriace et compliqué , t'as en plus WS2_32.dll qu'est patché pfff!!! je cogite et je reviens

vi je m'en doutais , c'est le killall de tarlatata qui tue le turlututu pas grave ! lance le tarlatata.bat , appuie sur une touche pour redemarrer le pc , et lance le turlututu.reg au reboot et remet moi un nouveau rapport Gmer

on en a eu 2 , reste plus qu"'un!! on va le faire comme ça maintenant , 1/tu dois toujours avoir turlututu.reg sur ton bureau, double clic dessus mais attend avant de confirmer la fusion 2/ telecharge tarlatata.bat sur ton bureau http://www.sendspace.com/file/uu0m6y 3/ double clic sur tarlatata.bat la fenetre doit rester ouverte te demandant d'appuyer sur une touche pour continuer, ne le fait pas de suite mais accepte la fusion de turlututu.reg (j'espere que la fenetre reste!!pas sure apres avoir lançer tarlatata.bat , dit le moi) puis remet toi sur la fenetre d'invite de commande et appuie sur une touche quelconque, le pc va redemarrer 4/ refait un scan gmer et poste le nouveau rapport

alors on se le fait comme ça • telecharge turlututu.reg sur ton bureau , double clic dessus et accepte la fusion au registre http://www.sendspace.com/file/jlhe23 le contenu du reg a ceci: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"=- "AppInit_DLLs"="" • telecharge tirlititi.bat sur ton bureau , double clic dessus , ça va etre tres rapide et ton pc va redemarrer http://www.sendspace.com/file/etom0t le bat contient ceci: gmer.exe -del file "C:\WINDOWS\system32:gcaa.dll" gmer.exe -del file "C:\WINDOWS\system32:imwbi.exe" gmer.exe -del file "C:\WINDOWS\xcsle1.dll" gmer.exe -reboot • reposte un nouveau rapport de Gmer

ok c'est bien là -_- • telecharge http://www.gmer.net/gmer.zip dezippe le , lance le , onglet rootkit , clic scan , en fin de scan clic "copy", ouvre ton bloc note , et colle (ctrl+V), le rapport Gmer apparaitra que tu posteras http://imagik.fr/view-rl/172325

ok le rapport SDFix stp

• supprime c:\documents and settings\LAMBERT\Menu D‚marrer\Programmes\D‚marrage\EUROBARRE.lnk • Vas sur le site http://virusscan.jotti.org/ Clique en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ces fichiers : c:\windows\system32\drivers\GVTDrv.sys c:\windows\GPCIDrv.sys Clique sur submit toujours en haut à droite Le scan va se lancer, ça va prendre un petit instant A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte Poste ce fichier dans ta prochaine réponse ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens! Aide : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId662799• Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. http://downloads.andymanchesta.com/RemovalTools/SDFix.exe ou la: http://sdfix.net/SDFix.exe Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. *si le fix se referme immediatement , ne fonctionne pas , copie colle la ligne ci dessous dans executer et relance RunThis.bat %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe * Appuie sur Y pour commencer le processus de nettoyage. * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. * Appuie sur une touche pour redémarrer le PC. * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!) * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire) * Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. * Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

bon le probleme est là: [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WinEcd] "ImagePath"="\"c:\program files\Fichiers communs\Microsoft Shared\bvtKS.exe\"" Recherche de fichiers cachés ... c:\windows\system32:gcaa.dll 9728 bytes executable c:\windows\system32:imwbi.exe 130759 bytes executable hidden from API c:\windows\xcsle1.dll 92831 bytes executable [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9D4F8C23-5CB0-1D50-FEA7-C1C9905EF05F}] 2007-07-09 22:40 92831 --a------ c:\windows\xcsle1.dll ça pue grave !!! On va essayer un truc. » ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Driver:: WinEcd ADS:: c:\windows\system32:gcaa.dll c:\windows\system32:imwbi.exe File:: c:\windows\xcsle1.dll c:\program files\Fichiers communs\Microsoft Shared\bvtKS.exe Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9D4F8C23-5CB0-1D50-FEA7-C1C9905EF05F}] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

va sy c'est ok , le CFScript doit etre ok , il est pourri ton PC, c'est meme n'importawak !faut passer à la couture et puis arrete les couleurs dans ton rapport !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! merci, ça flingue mes copier_coller pfffffffffffff

attend , j'edite le script du message precedent