Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1650 connectés 

  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  [Resolu] Wallpaper pirate, format HTML, comment s'en débarrasser ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Resolu] Wallpaper pirate, format HTML, comment s'en débarrasser ?

n°2094605
monsieur b​uj
Posté le 15-07-2005 à 02:34:52  profilanswer
 

Suite à un virus nomé "AV Gold", j'ai balancé toute la panoplie que j'avais :
 - Norton 2004
 - Ad-Aware SE 1.06
 - SpyBot 1.4
 - RegCleaner 4.3
 - EasyClaener 2.0.6
 - JV16 PowerTools 1.5
Les clés registres ont été virées, les fichiers ont été viré... Mais il en reste un qui me fais bien suer !
 
Il s'appelle "screen.html" et se situe sous le répertoir d'installation windows. Il se met automatiquement à chaque boot, donc vu que c'est une page HTML, j'ai un lien (vers le virus surement) et une image.
Avant j'avais une image en fond d'écran, je sais que celle-ci n'a pas disparu car qu'en je demande à XP de fermer celle-ci réapparait. D'autre part c'est très pénible car avec le click droit je n'ai plus accès aux raccourcis mais aux propriétés de la page HTML !
 
Voilà ce que j'ai tenté jusqu'à présentsans succès :
 - passer par le panneau de config pour rétablir mon papier peint -> marche pas
 - supprimer le fichier screen.html et là ça me fait un truc bizzare : au reboot mon fond d'écran clignote tanto en blanc tanto en gris clair, j'ai vérifié le fichier n'a pas été regénéré ou copié ailleurs par un worm. En faisant un click droit sur le fond d'écran, il apparait que c'est toujours une page html lié au fichier screen.html qui n'éxiste plus! -> marche pas
 - copier mon fichier image de fond d'écran en le renommant "screen.html et là il m'affiche le code source de l'image en fond d'écran mais toujours en HTML (normal vous me direz. -> marche pas
 - créer une page HTML nommé screen.html dans laquelle j'ai collé mon fichier fond d'écran et la ma page s'affiche avec mon image -> marche mais je flippe et je refuse cette méthode !!!
 
Donc ma question est : comment faire pour que je puisse virer cette association automatique au fichier screen.html et retrouver un fond d'écran libre d'accès ?
 
Merci à tous et désolé pour la longueur des explications... ;)


Message édité par monsieur buj le 16-07-2005 à 17:24:38
mood
Publicité
Posté le 15-07-2005 à 02:34:52  profilanswer
 

n°2094636
xanack
Posté le 15-07-2005 à 09:04:16  profilanswer
 

j'ai trouvé un post sur un autre forum qui en parle, essaye toujours :
 
telecharges hijackthis et supprimes les choses douteuses ou postes ici si t'es pas sur.
 
 
 * Supprime les fichiers/dossiers  
C:\windows\system32\temp532.exe
C:\windows\system32\eliteizj32.exe
 
* Pour remettre le fond d'écran
Telecharge ce fichier
http://www.bleepingcomputer.com/fi [...] tfraud.reg
 
Démarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.
 
Double-clique sur Smitfraud.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner.
 
Ensuite tu remets un fond d'écran
 
Personnalisation du bureau
onglet web
supprime tout ce qui se trouve là, sauf ma page d'accueil que tu laissera décochée.  
 
reboot.


Message édité par xanack le 15-07-2005 à 09:06:40
n°2094982
monsieur b​uj
Posté le 15-07-2005 à 14:22:22  profilanswer
 

J'ai téléchargé Hijackthis 1.99.1 et j'ai balancé un scan... J'ai des doutes surce qu'il faut supprimer :
 - R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
 - R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
 - 03 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx
J'en ai supprimé une concernant MSN vu que je ne l'utilise pas et toutes les autres concernent Norton antivirus, SpyBot+TeaTimer...
 
Je passe à la suite des évenements...

n°2094984
monsieur b​uj
Posté le 15-07-2005 à 14:25:28  profilanswer
 

C:\windows\system32\temp532.exe  
C:\windows\system32\eliteizj32.exe  
Je ne l'ai pas trouvé, ils servent à quoi ?
 
Bon je redémarre en mode sans échec et je touche du bois... ;)

n°2094990
monsieur b​uj
Posté le 15-07-2005 à 14:34:33  profilanswer
 

Personnalisation du bureau  
onglet web  
supprime tout ce qui se trouve là, sauf ma page d'accueil que tu laissera décochée.  
 Peux-tu être plus précis stp car j'ai pas trouvé d'option personnalisation du bureau en mode sans échec...
 
Double-clique sur Smitfraud.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner. Ce que tu appelles fusionner c'est juste d'accepter que la clé soit inscrite au registre ?
 
Voilà ce que j'ai fait en mode sans échec :
 - installer la cké registre
 - click droit sur le bureau-> propriété d'affichage-> aucun fond d'écran ->aucun écran de veille
 - reboot
 
J'oubliait avant tout ça j'ai supprimé le fameu fichier screen.html...
 
Verdict : au redémarrage, je retrouve mon clignotement blanc et gris clair... :(


Message édité par monsieur buj le 15-07-2005 à 14:39:56
n°2095025
xanack
Posté le 15-07-2005 à 15:29:58  profilanswer
 

onglet web => dans les propriétés d'affichage, onglet "bureau" ya un bouton en bas "personalisation du bureau" puis un onglet "web"...
 
pour hijackthis, poste le log en entier....

n°2095147
monsieur b​uj
Posté le 15-07-2005 à 17:51:14  profilanswer
 

Ok merci, je vais poster le log d'ici peu et je refaisle truc avec l'onglet web... Juste une question, ça doit être fait en mode sanséchec ou en normal ?
 
PS: Je suis vraiment très con pour l'onglet web... C'était pas dur à trouver mais bon on panique vite avec un virus dans le dur ! ;)


Message édité par monsieur buj le 15-07-2005 à 17:52:58
n°2095211
monsieur b​uj
Posté le 15-07-2005 à 18:53:27  profilanswer
 

Joie...Bonheur!!! Je suis d'abord allé dans personnalisationen mode sans échec et ça n'a rien donné mais en mode normal,j'ai tout viré sauf ma page d'accueill et là: mon fond d'écran est redevenu normal!!!!
 
Un grand grand merci à xanack pour le temps qu'il consacré à me sortir du pétrin ! Merci mister... :)
 
Je vais poster le log de Hijackthis histoire d'avoir plus d'info... :)

n°2095682
monsieur b​uj
Posté le 16-07-2005 à 15:37:21  profilanswer
 

Voici le log que j'ai eu cet après-midi avec Hijackthis:
 
Logfile of HijackThis v1.99.1
Scan saved at 15:33:39, on 16/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
E:\Securite\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS.0\System32\devldr32.exe
E:\Cleaner - Ram\RamBoost XP\rambxpfr.exe
E:\Securite\Norton AntiVirus\navapsvc.exe
C:\WINDOWS.0\System32\nvsvc32.exe
C:\WINDOWS.0\system32\srvany.exe
C:\WINDOWS.0\system32\resetservice.exe
E:\Securite\Norton AntiVirus\SAVScan.exe
E:\Securite\HijackThis 1.99.1.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Securite\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Securite\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: RamBoost.lnk = E:\Cleaner - Ram\RamBoost XP\rambxpfr.exe
O20 - Winlogon Notify: reset5 - C:\WINDOWS.0\SYSTEM32\reset5.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - E:\Securite\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\System32\nvsvc32.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS.0\system32\srvany.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Securite\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
 
Je fais quoi avec ça ? ;)

n°2095719
xanack
Posté le 16-07-2005 à 16:44:02  profilanswer
 

rien, ça a l'air saint....

mood
Publicité
Posté le 16-07-2005 à 16:44:02  profilanswer
 

n°2095751
monsieur b​uj
Posté le 16-07-2005 à 17:21:33  profilanswer
 

Dac merci m'sieur ;)
 
Au fait, ça je l'ai fait les yeux fermé mais ça a servit à quoi ?
http://www.bleepingcomputer.com/fi [...] tfraud.reg


Message édité par monsieur buj le 16-07-2005 à 17:23:16

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  [Resolu] Wallpaper pirate, format HTML, comment s'en débarrasser ?

 

Sujets relatifs
[RESOLU] Suppression d'un ex-cd virtuel et suppression dans BDR impo[Help] On pirate ma boite mail
[RESOLU] partage de fichiers : invisibleImpossible de désinstaller Ghost 9 [résolu]
[resolu] Windows XP super lent | Disque dur = 3mo/sec + 50% cpuconvertir des documents en HTML
Comment accéder au 2ème PC du réseau WiFi ? [Résolu]Installé SP2 puis enlevé: explorer ko [RESOLU]
[RESOLU] Connexion limitée et/ou cable réseau débranché[Résolu] Bug barre latérale sur bureau windows. Comment la virer?
Plus de sujets relatifs à : [Resolu] Wallpaper pirate, format HTML, comment s'en débarrasser ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR