Icone "your computer is infected"

[regis56]

Re

 

Tiens tu as eu deux rapports le tool a du étre modifié !

Effectivement je viens de l'essayer ce n'est plus le même du tout !

 

Envoi moi une adresse email dont tu a l'accès et envoie la moi par MP je t'enverai le bon tool !

 

Puis fais ce que je t'ai demandé STP

 

Re

 

Bon j'ai un service a te demander !

 

Peut tu envoyer le fichie infecté à notre développeur pour examen ?

 

Si tu est d'accord va ici

http://siri.urz.free.fr/upload/

 

Clique sur parcourir

Parcours ton disque jusqu'à ce chemin

C:\WINDOWS\system32\stickrep.dll

Puis clique sur upload

 

Ensuite retourne voir ce fichier donne moi ces propriétés heure/jour de création

 

A plus !

Modifié le 25 mars 2006 par regis56

[Lucasmoal]

Re

j'ai fait l'upload à la fin ca m'amis que le fichier existait déjà.

 

propriétés:

Type : extension d'application

S'ouvre avec : application inconnue

Taille: 172 ko

Crée samedi25/03/06 13.34.40

Modifié le idem

Rien de coché en bas lecture seule et caché

 

C'est grave docteur?

a plus

[regis56]

Re

 

Non c'est pas grave mais c'est rare alors on en profite

 

Je reviens avec un autre tool oublie ce que je t'ai dis pour le mail

 

A plus !

[regis56]

Re

 

Peut tu faire ca STP

 

Créer un fichier Sys32-gM.bat

 

Démarrer / Exécuter / tape notepad et clique sur OK

Copie-colle les 9 lignes ci-dessous dans la fenêtre

@echo off
c:
cd\Windows\System32
dir *.*|find "26/03/2006">C:\Sys32-gM0.txt
dir *.*|find "25/03/2006">>C:\Sys32-gM0.txt
dir *.*|find "24/03/2006">>C:\Sys32-gM0.txt
dir *.*|find "23/03/2006">>C:\Sys32-gM0.txt
sort C:\Sys32-gM0.txt>c:\Sys32-gM.txt
del C:\Sys32-gM0.txt

Sauvegarder le fichier sur le bureau sous le nom Sys32-gM.bat (et pas Sys32-gM.bat.txt)

Quitter Notepad

Vérifier le nom de ce fichier : Sys32-gM.bat

 

Double cliquer dessus (une fenêtre sur fond noir s'ouvre puis se ferme)

Avec l'Explorateur Windows, double cliquer sur le fichier C:\Sys32-gM.txt pour l'ouvrir dans le bloc notes

Poster le contenu

Supprimer le fichier C:\Sys32-gM.txt

Supprimer le fichier Sys32-gM.bat du bureau

 

A plus !

[Lucasmoal]

Re

Rapport:

25/03/2006 12:39 <REP> Kaspersky Lab

25/03/2006 15:04 6ÿ656 interf.tlb

25/03/2006 16:57 13ÿ646 wpa.dbl

25/03/2006 19:01 1ÿ406 Help.ico

25/03/2006 19:01 2ÿ550 Uninstall.ico

25/03/2006 19:01 30ÿ590 pavas.ico

25/03/2006 19:01 <REP> CatRoot2

25/03/2006 19:05 0 asfiles.txt

25/03/2006 19:15 <REP> ActiveScan

25/03/2006 19:16 <REP> AlertModule

25/03/2006 19:16 <REP> config

25/03/2006 19:16 <REP> drivers

25/03/2006 19:17 <REP> wbem

25/03/2006 19:18 <REP> .

25/03/2006 19:18 <REP> ..

25/03/2006 21:12 384 DVCState-{00000005-00000000-00000008-00001102-00000004-20021102}.dat

25/03/2006 21:12 384 DVCStateBkp-{00000005-00000000-00000008-00001102-00000004-20021102}.dat

25/03/2006 21:12 1ÿ080 settings.sfm

25/03/2006 21:12 1ÿ080 settingsbkup.sfm

25/03/2006 21:12 32ÿ088 BMXBkpCtrlState-{00000005-00000000-00000008-00001102-00000004-20021102}.rfx

25/03/2006 21:12 32ÿ088 BMXCtrlState-{00000005-00000000-00000008-00001102-00000004-20021102}.rfx

25/03/2006 21:12 32ÿ592 BMXState-{00000005-00000000-00000008-00001102-00000004-20021102}.rfx

25/03/2006 21:12 32ÿ592 BMXStateBkp-{00000005-00000000-00000008-00001102-00000004-20021102}.rfx

25/03/2006 21:13 0 _nvidia_xxx_.log

25/03/2006 22:43 176ÿ128 stickrep.dll

25/03/2006 22:52 1ÿ166 nmp.log

 

A plus

[regis56]

Re

 

Bon on analyse tout ca et on te tiens au courant moi ou quelqu'un d'autre car je vais me coucher !

 

Sinon à demain !

[Lucasmoal]

Moi aussi

Merci encore et à demain

[regis56]

Bonjour Lucasmoal !

 

Voilà la procédure que tu vas devoir suivre pour virer ton infection !

 

Télécharge Smitrem ici

http://www.bleepingcomputer.com/files/smitRem.php

Cliquer sur smitRem Download Link

Sauvegarde le sur le bureau puis dé-zipper dans un dossier à son nom (Smitrem)

 

Télécharge FixSQ.reg ici

http://www.bleepingcomputer.com/files/reg/FixSQ.reg

Sauvegarde le sur le bureau

Double clique dessus et accepte la fusion !

 

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC.

Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.

 

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" et en ayant désactivé les protections résidentes si il y en a ! (ex:Spybot S&D, Ad-Watch, Microsoft AntiSpyware )

 

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924

 

Ouvrir le panneau de configuration cliquer sur ajout/suppression de programmes

Si l'entrée en gras existe désinstaller:

SpywareQuake

 

-Maintenant on va supprimer manuellement sur le disque, des fichiers infectieux !

 

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\Windows\System32\

Le dossier va s'ouvrir

Supprime le fichier indiqué en gras:

stickrep.dll(clique droit /supprimer)

 

Supprime le dossier en gras si il existe !

C:\Program Files\SpywareQuake\

 

Ferme toutes les fenètres !

 

Ouvre le dossier Smitrem qui est sur ton bureau !

Double-clique sur RunThis.bat

Plusieurs fenètres vont s'ouvrir les lire et continuer en appuyant sur n'importe quelle touche

Si "l'uninstaller" démarre c'est que Smitrem a détécté une infection !

Cliquer sur Uninstall

Il va se fermer automatiquement puis cliquer sur n'importe quelle touche

Quand Smitrem aura finit il lancera disk cleanup automatiquement !

 

-Redémarrer en mode normal :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Coller le rapport smitfiles.txt

 

Refait un regseach sur stickrep.dll et colle le rapport STP

 

A plus !

[Lucasmoal]

Bonjour regis56

 

Pour commencer: bonne nouvelle, l'icône a disparu de la barre des tâches et déjà pour cela un grand merci à toi surtout mais aussi à bibi26 et Angélique.

 

Je colle les 2 rapports ci-dessous:

 

 

smitRem © log file

version 2.8

 

by noahdfear

 

 

Microsoft Windows XP [version 5.1.2600]

 

Running from

C:\Documents and Settings\lucas\Mes documents\J-L\Smitrem\smitRem

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Pre-run SharedTask Export

 

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)

Copyright© 2006 BleepingComputer.com

 

Registry Pseudo-Format Mode (Not a valid reg file):

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

checking for ShudderLTD key

 

ShudderLTD key not present!

 

checking for PSGuard.com key

 

 

PSGuard.com key not present!

 

 

checking for WinHound.com key

 

 

WinHound.com key not present!

 

spyaxe uninstaller NOT present

Winhound uninstaller NOT present

SpywareStrike uninstaller NOT present

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Existing Pre-run Files

 

 

~~~ Program Files ~~~

 

 

 

~~~ Shortcuts ~~~

 

 

 

~~~ Favorites ~~~

 

 

 

~~~ system32 folder ~~~

 

 

 

~~~ Icons in System32 ~~~

 

 

 

~~~ Windows directory ~~~

 

 

 

~~~ Drive root ~~~

 

 

~~~ Miscellaneous Files/folders ~~~

 

 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 Craig.Peacock@beyondlogic.org

Killing PID 800 'explorer.exe'

 

Starting registry repairs

 

Registry repairs complete

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

SharedTask Export after registry fix

 

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)

Copyright© 2006 BleepingComputer.com

 

Registry Pseudo-Format Mode (Not a valid reg file):

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Deleting files

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Remaining Post-run Files

 

 

~~~ Program Files ~~~

 

 

 

~~~ Shortcuts ~~~

 

 

 

~~~ Favorites ~~~

 

 

 

~~~ system32 folder ~~~

 

 

 

~~~ Icons in System32 ~~~

 

 

 

~~~ Windows directory ~~~

 

 

 

~~~ Drive root ~~~

 

 

~~~ Miscellaneous Files/folders ~~~

 

 

~~~ Wininet.dll ~~~

 

CLEAN!

 

 

 

et Regsearch

 

REGEDIT4

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.0.1

 

; Results at 26/03/2006 10:34:28 for strings:

; 'stickrep.dll'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_USERS\S-1-5-21-602162358-823518204-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]

"b"="C:\\WINDOWS\\system32\\stickrep.dll"

 

[HKEY_USERS\S-1-5-21-602162358-823518204-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]

"b"="C:\\WINDOWS\\system32\\stickrep.dll"

 

; End Of The Log...

 

 

J'attends tes instructions au cas où!!!

 

A plus et encore merci

[regis56]

Bonjour Lucasmoal !

 

Pourrait tu vérifier que ce fichier est bien supprimé !

 

C:\Windows\System32\stickrep.dll

 

Pourrait tu refaire un rapport hijackthis aussi STP

 

A plus !