Problème de papier peint sous windows

[Draune]

Bonours,

Après une série d'infections virales, je suis dans l'impossibilité de mettre une image comme papier peint sur mon bureau sous windows XP Pro. Je peux juste en changer la couleur...
Ce qui est étonnant, c'est que cela se passe sur mon compte administrateur alors que sur un compte invité, ça marche normalement...
Si vous avez une idée d'où cela peut venir, je suis tout ouï!
Merci d'avance
Draune

[Draune]

Non, pas d'idée?

[JPL]

Comme je ne sais pas comment tu as traité ton infection virale (et il y a de bonnes chances que tout ne soit pas clean), je transfère la discussion dans un forum plus adapté et je te conseille vivement d'appliquer cette procédure :
http://forums.futura-sciences.com/thread69698.html

[Draune]

ça y est : j'ai fait la procédure que tu m'as conseillé JPL.
ça n'a rien changé à mon problème mais ça a fait l'occasion de nétoyer un peu mon ordi : merci!!
Mais ça parle d'un mesage (où on doit mettre les rapports des analyses) : c'est quoi ce message?

[sanet]

poste tes rapports en pièces jointes ds ton prochain message. utilise la touche en bas "gérer les pièces jointes" quand tu composes ton msg.

[igor51]

Bonjour draune,

tu es infecté par un smitfraud, il te faut un outils spécifique pour te débarrasser de ceci, néanmoins on ne te le donnera qu'après avoir mis les deux rapprts en ligne (c'est surtout pour savoir s'il n'y a pas autre chose avec ce spyware).

Lorsque tu réponds, tu as "gérer les pièces jointes" tu clique dessus et tu met le log d'ewido ainsi que le log hijakcthis en ayant pris soin de le renomer en hijackthis.txt pour pouvoir le poster.

Bonne journée,

Igor

[Draune]

Voilà j'ai mis les 2 rapports. Cependant comme pour Ewido, ce n'est pas mon premier scan et que j'ai pas suavegarde le précédent, il n'y a rien dessus (en fait j'aurais pas du le mettre...).

[Cyrrus]

Bonsoir tout le monde,

Belle infection par smitfraud...entre autre. Pour celui qui va se coltiner le log :
winbrume.dll<--- un bon smitfraud quasi dernière génération.
secure32.html<-- annonce une belle désinfection en perspective

A priori il y aurait 2 Vundo identique en même temps mais je n'ai jamais vue ce genre de ligne :

O20 - Winlogon Notify: RunOnce - C:\WINDOWS\

..donc prudence...

Il y a aussi du purity apparemment...

Draune attend les indications d'Igor ou de synthexe et n'essaye pas d'enlever tout ca toi même.

Amusez vous bien !
Cyrrus

[igor51]

Bonsoir à tous, Cyrrus

on va s'occuper du smitfraud en premier, puis du vundo:

1/

(WinXP, Win2K)
Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Dézipper la totalité de l'archive smitfraudfix.zip

Utilisation ----- option 1 - Recherche :
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
Poster le rapport sur le forum.

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

2/Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer.
• Coche Run VundoFix as a task.
• Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau.
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

poste les rapports en pièce jointe

Bonne soirée,

Igor

[Draune]

Voilà pour le premier

[Draune]

Vundofix n'a rien trouvé : je crois que c'est pas la peine de mettre le rapport...

[igor51]

Bonsoir Draune,
étonnant qu'il n'est rien trouvé, poste le rapport quand même s'il te plait (l'autre est en attente de validation) je te dis quoi faire dès que je peux le lire.

Bonne soirée,

Igor

[Draune]

Et voilà le nouveau Hijackthis!

[Draune]

OK le voilà :

[igor51]

Rebonsoir,

1/

Utilisation ----- option 2 -Nettoyage :
Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage
ou tuto Symantec).

Double cliquer sur smitfraudfix.cmd
Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran
et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté.
A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
Redémarrer en mode normal et poster le rapport sur le forum.

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention : l'option 2 de l'outil supprime le fond d'écran !

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

2/

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

quand tu auras fais ces deux opérations, refais un scan avec vundofix, si le rapport contient quelque chose poste le sinon dis le moi juste.

Reposte aussi un log hijakcthis (après ces opération tu va retrouver ton arrière plan cependant ton pc reste bien infecté)

Pense à poster les log en pièce jointe.

Bonne soirée,

Igor