[réglé] "Spyware infection!", impossible de changer le fond d'écran.

Problème résolu, j'ai du supprimer ces valeurs:

ForceActiveDesktopOn et NoActiveDesktop
de
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

et
Wallpaper
de
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

Merci a jackall789 !!!  

j'ai eu un probleme similaire, dans mon cas l'invaseur etait un certain
PS GUard
la solution j'ai trouvé ici :
http://www.pcrepaircentral.com/spywaredetail_23181.html

Chez moi c'était Spy Shérif, qui s'installais (si je me souviens bien) dans C:\Program Files\Spy Sherif.
Mais il ne suffit pas de supprimer ce dossier, il faut bien supprimer les clefs de registre.

Ben moi, y a eu aucun virus, aucun spyware, mais tout d'un coup je pouvais plus changer mon fond d'écran, c'étais tout en grisé, donc je pouvais rien faire. Ben le tru a faire, c d'aller dans le regidtre [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop] et supprimer la clé NoChangingWalpaper ou un truc du genre, mais il faut qu'il en reste qu'une, la clé "(par défaut)". Voila...

salut tout le monde...je suis pas tres fort dans le monde informatique...j'ai pas trop compris les msg précédent...j'ai le meme probleme, j'ai eu un trojan horse, et j'ai réussi à l'effacer !! mais maintenant, le fond d'écran est tout bleu ! quand j'éteind le PC, on voit un court moment mon ancien fond...et sa m'énerve vraiment de pas pouvoir changer le fond...si vous pouviez donner des explication un peu moins compliqúé...merci d'avance...  

salut ,

j'ai eu le meme prob, et en plus de l'écran bleu à chaque fois il ya des fenetes qui s'ourvent vers des plusieurs sites ,, c'est trés embetant  

j'ai utilisé microsot antispy , aparament il y a suprimé les fichiers du spyware qui ont été installés dans programme files , mais le prob pérsiste, j'ai généré le rapport de smifraud et je sais pas l'étape suivante que je dois faire ,, aidez moi SVP  

voici le rapport

SmitFraudFix v2.08

Rapport fait à 12:25:35,12 le jeu. 15/12/2005
Executé à partir de C:\Documents and Settings\MLTC\Bureau\Nouveau dossier\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

C:\drsmartload1.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT

C:\WINNT\desktop.html PRESENT !
C:\WINNT\kl.exe PRESENT !
C:\WINNT\secure32.html PRESENT !
C:\WINNT\tool1.exe PRESENT !
C:\WINNT\tool2.exe PRESENT !
C:\WINNT\tool3.exe PRESENT !
C:\WINNT\tool4.exe PRESENT !
C:\WINNT\tool5.exe PRESENT !
C:\WINNT\toolbar.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\MLTC\Application Data

C:\Documents and Settings\MLTC\Application Data\Install.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

et voici le rappot de hickthis :


Logfile of HijackThis v1.99.1
Scan saved at 15:16:02, on 15/12/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Program Files\Rainbow Technologies\SPN Combo Installer\1.0.5\Server\WinNT\spnsrvnt.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\atiptaxx.exe
C:\WINNT\System32\desk95.exe
C:\WINNT\Mixer.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\EasyPHP1-7\easyphp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINNT\System32\ctfmon.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\WINNT\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Yahoo!\Messenger\YPager.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\UltraEdit\uedit32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\MLTC\Bureau\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HydarVisionDesktopManager] desk95.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [EasyPHP] "C:\Program Files\EasyPHP1-7\easyphp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Registry Toolkit] C:\Program Files\Registry Toolkit\RegToolkit.exe /scan
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0793d79ff7b2d70cb906/netzip...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDown...
O17 - HKLM\System\CCS\Services\Tcpip\..\{24FAB24E-069E-47DD-8F31-6ABFD27D0F76}: NameServer = 212.217.0.1,212.217.0.12
O17 - HKLM\System\CS1\Services\Tcpip\..\{24FAB24E-069E-47DD-8F31-6ABFD27D0F76}: NameServer = 212.217.0.1,212.217.0.12
O17 - HKLM\System\CS2\Services\Tcpip\..\{24FAB24E-069E-47DD-8F31-6ABFD27D0F76}: NameServer = 212.217.0.1,212.217.0.12
O20 - Winlogon Notify: App Management - C:\WINNT\system32\k6080gdue6080.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SuperProServer - Unknown owner - C:\Program Files\Rainbow Technologies\SPN Combo Installer\1.0.5\Server\WinNT\spnsrvnt.exe

O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe

en fait, j'avais analyé le fichier log dans hickyhis.de ,, et puis j'ai suprrimé
le fichier que tu m'a indiqué et 3 autres fichiers qu'il a mentionné éventulement méchant
lorsque j'ai redemaré , le prob pérsite et pire encore , je ne peux plus me conecter à internet!!!
je sais pas si les 3 fichiers que j'ai suprimé sont la cause

aider moi SVP , c'est mon PC au travail et je suis la seule informticienne ici ,
càd je dois régler le prob seule !!  

HELP HELP HELP !!

stp comment supprimer les cles de registre spy sherif. je suis alle dans regedit cles de registre mais y en a trop pour tout regarder.
merci pour l info.
badaboom

Salut,j'ai eu le même problème.  
Il faut aller dans Démarrer/Executer puis taper "regedit" puis faire comme l'a indiqué jackall789 dans un précédent message, soit supprimer les valeurs:

ForceActiveDesktopOn et NoActiveDesktop
de
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

et
Wallpaper
de
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

 
Bonne chance  

salut
voila en faite j'ai le meme probleme que toi a cause de spysherif je ne sais plus modifier mon fond 'écran.
j'ai telecharger zoneAlarme , donc me voila protéger mais comment puis-je faire pour mon fand ecran?
merci de ton aide
vitel




........................... vitelmente@yahoo.fr

Salut à tous,

Je vous ai rejoint dans le club des "Spyware infection!" en fond d'écran bloqué.

J'ai utilisé la méthode de jackall789 en essayant de supprimer les lignes:

ForceActiveDesktopOn et NoActiveDesktop
de
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

et
Wallpaper
de
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

OK pour la première, mais la seconde n'existe pas dans ma base de registre.

J'ai donc pu enlever le message "Spyware infection!", retrouver l'accès à mes images MAIS rien ne se valide, j'ai tjrs un fond d'écran bleu  

Si quelqu'un peut m'aider à retrouver mes images perdues à cause de ce   Spy Sherif de -BIP- , je lui en serais très reconnaissant.

Merci à tous pour vos réponses!!!!  

J'ai trouvé d'autres vlés a supprimer parce que chez moi j'avais pas le "wallpaper"

Dans [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

j'avais une clé "no adding components" qui m'empechait d'ajouter des images
et une autre qui m'empechait de modifier tout simplement le wallpaper...voir en anglais la traduction;.parce que quand j'ai suppimé j'ai pas retenu mais ça se passe la dedans  

jme demande meme s'il ne faut pas toutes les supprimer sauf la "default"

Vous voulez la solution sans toucher au registre ni supprimer des fichiers, c'est simple :
Panneau de configuration, Affichage, Bureau, Personnalisation du bureau, Web et tu décoches la page internet qu'il y a.
Et voila.

salut à tous, je suis une quiche totale en informatique, je suis tombée sur ce forum par google, j'ai le même problème, à savoir le fond d'écran bleu avec le message "spyware infection", j'ai essayé de passer par le panneau de configuration mais ça ne marche pas, j'ai cherché HKEY_CURRENT_USER mais je ne l'ai pas trouvé (je suis nulle) et je ne sais plus quoi faire   . est-ce que quelqu'un pourrait m'expliquer en termes simples comment faire pour me débarrasser de ce truc bleu. j'ai scanné et nettoyé mon ordi avec avast, merci de m'aider  

Salut,j'ai eu le même problème.  
Il faut aller dans Démarrer/Executer puis taper "regedit" puis faire comme l'a indiqué jackall789 dans un précédent message, soit supprimer les valeurs:

ForceActiveDesktopOn et NoActiveDesktop
de
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

et
Wallpaper
de
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

 
Bonne chance  

bonjour ,
Salut,j'ai eu le même problème.  
Il faut aller dans Démarrer/Executer puis taper "regedit" puis faire comme l'a indiqué jackall789 dans un précédent message, soit supprimer les valeurs:

ForceActiveDesktopOn et NoActiveDesktop
de
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

et
Wallpaper
de
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

Je veux bien y aller mais après que dois-je faire ??? supprimer des fichiers changer quelque chose?????

bjr comment as tu fais pour supprimer tous ces fichier j'ai le meme probleme et je nis connais rien en informatique merci

bonjour je suis alléé dans regedit et wallpaper et force active desktopon et no active desktop ne s'affiche pas

Bonjour j'ai le même soucis que vous sauf que moi je ne peux supprimé les valeurs que vous indiquez :

ForceActiveDesktopOn et NoActiveDesktop
de
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

et
Wallpaper
de
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

j'ai également pensé à aller dans "Panneau de configuration, Affichage, Bureau, Personnalisation du bureau, Web " mais il n'y a rien  
Donc je suis dans le caca

Bonjour, J'ai le même problème avec ce sataner fond d'écran. En effet, au démarrage de windows, celui-ci se change en fond d'écran bleu et un texte dans un carrer jaune dessus.

Je suppose que sa viens d'antivirus XP 2008 je ne sait quoi car souvent, il s'installe automatiquement sur mon pc.  

Donc voila, j'ai regarder dans mon registre les valeurs que vous citez plus haut et Je ne les ai pas. Les seuls valeurs qui se trouves là-dedans c'est :

Explorer : 'LinkResolveIgnoreLinkInfo', 'NoDriveTypeAutoRun', 'NoResolveSearch', 'NoResolveTrack'.
System : 'NoDispBackgroundPage', 'NoDispScrSavPage'

J'ai un petit doute sur les deux derniers qui comportes Background et ScrSav (Fond d'écran et écran de veille).

Donc voila si quelqu'un connait la solution à ce problème je lui en serais reconnaissant.

Au revoir.

Personne n'a de solution pour nos problèmes ?  

Bonjour, voici la solution à votre problème:

DEMARRER--Executer-- taper REGEDIT puis ok

là vous êtes dans la base de registres.

Allez dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Il y a 2 clés: NoDispBackgroundPage et NoDispScrSavPage

Pour les deux: double clic, et mettre la donnée de la valeur à 0 si elle est à 1.

redemarrer le PC.

J'espère avoir été assez clair.

daftwes.

Voilà j'ai le même problème que les autres c'est à dire après avoir supprimé un trojan, j'ai maintenant un fond d'écran me disant de scanner mon PC ( trojan : antivirus xp 2008 ).

J'ai fais comme indiqué sur le précédent post c'est à dire mettre la valeur zéro pour c'est deux clés NoDispBackgroundPage et NoDispScrSavPage, tout fonction je peux de nouveau changer de fond d'écran mais lorsque je redémarre, le problème reviens ( un fond d'écran me disant de scanner mon PC ) et les deux clés NoDispBackgroundPage et NoDispScrSavPage ont de nouveau la valeur 1.