A L'AIDE INFECTION par SPYSHERRIF (Fond d'écran bleu impossible à changer)

Claude LaFrenière

13/09/2005 à 19:12

Bonjour *François* :

Ma configuration avant l'infection par Spysherrif :

COUIIIIIC !!!

J'ai entendu parlé du programme Hijackthis, j'ai installé la version
1.99.0.1 mais je ne sais pas m'en servir ni analyser les logs !!!

Quelqu'un peut'il me dire comment utiliser ce programme, puis analyser mon
log pour que je puisse faire un peu le ménage sur mon PC.

Merci beaucoup pour votre aide !!!!!

Cordialement

François

Fait le scan avec hijackThis, ne coche rien et envoie-moi ce log ici.
(de préférence en pièce-attachés, pas de retour à la ligne. Sinon en
copié-collé)

Je vais l'examiner et te dire quoi virer.

A+

:)
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017
«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Mtirabo marco

13/09/2005 à 19:16

François wrote:

Ma configuration avant l'infection par Spysherrif :

Windows XP SP1

Office 2000

Firewall et anti-virus: PC-cillin internet security 12

Bonjour,

Depuis quelques semaines j'ai attrapé un spyware sur mon PC. Il s'appelle
Spysheriff. J'ai depuis un fond d'écran bleu avec un gros message
d'avertissement « Your computer is infected,.... ».

J'ai beaucoup de mal à m'en débarrasser. Pourtant j'ai un firewall et un
anti-virus pc- cillin 12. Mais même en faisant des scans et autre, pc-
cillin ne découvre rien.

J'ai donc essayé d'autre programme comme ccleaner et antispyware de
microsoft. Mais le fond d'écran est toujours là bleu et je ne peux pas le
changer, la fenêtre de changement de fond d'écran est « grisé » !!!! je ne
peux plus agir dessus.

J'ai trouvé sur mon disque un fichier .htm qui était le message inscrit
sur mon fond d'écran. J'ai donc exécuté la commande regedit et j'ai
supprimer le chemin de ce fichier dans wallpaper. Du coup le message
n'existe plus, mais mon fond d'écran reste bleu et je ne peux toujours pas
agir dessus pour le changer..

A noter que quand j'éteint mon PC, juste à la fin de la fermeture de
Windows mon ancien fond d'écran apparaît 2 secondes avant que l'ordinateur
ne s'éteigne complètement. C'est comme si mon fond d'écran d'origine était
caché par le fond bleu. Je ne peux plus changer ma page d'accueil Internet
non plus, c'est le site « http://www.findthewebsiteyouneed.com» qui est en
page d'accueil, et si je le change il revient automatiquement..

Ne savant plus quoi faire j'ai mis à jour XP avec windows update et
maintenant j'ai windows XP SP2. A chaque fois que j'allume mon PC mon
anti-virus (pc- cillin 12) détecte un cheval de troie (WORM PETIK) en
disant qu'il le détruit, seulement il n'est jamais détruit puisqu'il
réapparaît à chaque démarrage...

Bref je ne sais plus quoi faire pour avoir de nouveau accès à mon fond
d'écran et à ma page d'accueil Internet ?????

J'ai entendu parlé du programme Hijackthis, j'ai installé la version
1.99.0.1 mais je ne sais pas m'en servir ni analyser les logs !!!

Quelqu'un peut'il me dire comment utiliser ce programme, puis analyser mon
log pour que je puisse faire un peu le ménage sur mon PC.

Merci beaucoup pour votre aide !!!!!

Cordialement

François
Bonsoir: Hijackthis est une très bonne idée! il faut télécharger la dernière

version et l'installer à la racine de ton disque dur ...ensuite lancer le
scan : si tu veux vraiment avoir de la très bonne info et une aide pour
cette analyse,je te conseille d'aller sur le site de "Zebulon" ,là il y a
des experts qui t'aideront à virer ce spy!! à+

François wrote:

Ma configuration avant l'infection par Spysherrif :

Windows XP SP1

Office 2000

Firewall et anti-virus: PC-cillin internet security 12

Bonjour,

Depuis quelques semaines j'ai attrapé un spyware sur mon PC. Il s'appelle
Spysheriff. J'ai depuis un fond d'écran bleu avec un gros message
d'avertissement « Your computer is infected,.... ».

J'ai beaucoup de mal à m'en débarrasser. Pourtant j'ai un firewall et un
anti-virus pc- cillin 12. Mais même en faisant des scans et autre, pc-
cillin ne découvre rien.

J'ai donc essayé d'autre programme comme ccleaner et antispyware de
microsoft. Mais le fond d'écran est toujours là bleu et je ne peux pas le
changer, la fenêtre de changement de fond d'écran est « grisé » !!!! je ne
peux plus agir dessus.

J'ai trouvé sur mon disque un fichier .htm qui était le message inscrit
sur mon fond d'écran. J'ai donc exécuté la commande regedit et j'ai
supprimer le chemin de ce fichier dans wallpaper. Du coup le message
n'existe plus, mais mon fond d'écran reste bleu et je ne peux toujours pas
agir dessus pour le changer..

A noter que quand j'éteint mon PC, juste à la fin de la fermeture de
Windows mon ancien fond d'écran apparaît 2 secondes avant que l'ordinateur
ne s'éteigne complètement. C'est comme si mon fond d'écran d'origine était
caché par le fond bleu. Je ne peux plus changer ma page d'accueil Internet
non plus, c'est le site « http://www.findthewebsiteyouneed.com» qui est en
page d'accueil, et si je le change il revient automatiquement..

Ne savant plus quoi faire j'ai mis à jour XP avec windows update et
maintenant j'ai windows XP SP2. A chaque fois que j'allume mon PC mon
anti-virus (pc- cillin 12) détecte un cheval de troie (WORM PETIK) en
disant qu'il le détruit, seulement il n'est jamais détruit puisqu'il
réapparaît à chaque démarrage...

Bref je ne sais plus quoi faire pour avoir de nouveau accès à mon fond
d'écran et à ma page d'accueil Internet ?????

J'ai entendu parlé du programme Hijackthis, j'ai installé la version
1.99.0.1 mais je ne sais pas m'en servir ni analyser les logs !!!

Quelqu'un peut'il me dire comment utiliser ce programme, puis analyser mon
log pour que je puisse faire un peu le ménage sur mon PC.

Merci beaucoup pour votre aide !!!!!

Cordialement

François
Bonsoir: Hijackthis est une très bonne idée! il faut télécharger la dernière

version et l'installer à la racine de ton disque dur ...ensuite lancer le
scan : si tu veux vraiment avoir de la très bonne info et une aide pour
cette analyse,je te conseille d'aller sur le site de "Zebulon" ,là il y a
des experts qui t'aideront à virer ce spy!! à+

Vous avez filtré cet utilisateur ! Consultez son message

François wrote:

Ma configuration avant l'infection par Spysherrif :

Windows XP SP1

Office 2000

Firewall et anti-virus: PC-cillin internet security 12

Bonjour,

Depuis quelques semaines j'ai attrapé un spyware sur mon PC. Il s'appelle
Spysheriff. J'ai depuis un fond d'écran bleu avec un gros message
d'avertissement « Your computer is infected,.... ».

J'ai beaucoup de mal à m'en débarrasser. Pourtant j'ai un firewall et un
anti-virus pc- cillin 12. Mais même en faisant des scans et autre, pc-
cillin ne découvre rien.

J'ai donc essayé d'autre programme comme ccleaner et antispyware de
microsoft. Mais le fond d'écran est toujours là bleu et je ne peux pas le
changer, la fenêtre de changement de fond d'écran est « grisé » !!!! je ne
peux plus agir dessus.

J'ai trouvé sur mon disque un fichier .htm qui était le message inscrit
sur mon fond d'écran. J'ai donc exécuté la commande regedit et j'ai
supprimer le chemin de ce fichier dans wallpaper. Du coup le message
n'existe plus, mais mon fond d'écran reste bleu et je ne peux toujours pas
agir dessus pour le changer..

A noter que quand j'éteint mon PC, juste à la fin de la fermeture de
Windows mon ancien fond d'écran apparaît 2 secondes avant que l'ordinateur
ne s'éteigne complètement. C'est comme si mon fond d'écran d'origine était
caché par le fond bleu. Je ne peux plus changer ma page d'accueil Internet
non plus, c'est le site « http://www.findthewebsiteyouneed.com» qui est en
page d'accueil, et si je le change il revient automatiquement..

Ne savant plus quoi faire j'ai mis à jour XP avec windows update et
maintenant j'ai windows XP SP2. A chaque fois que j'allume mon PC mon
anti-virus (pc- cillin 12) détecte un cheval de troie (WORM PETIK) en
disant qu'il le détruit, seulement il n'est jamais détruit puisqu'il
réapparaît à chaque démarrage...

Bref je ne sais plus quoi faire pour avoir de nouveau accès à mon fond
d'écran et à ma page d'accueil Internet ?????

J'ai entendu parlé du programme Hijackthis, j'ai installé la version
1.99.0.1 mais je ne sais pas m'en servir ni analyser les logs !!!

Quelqu'un peut'il me dire comment utiliser ce programme, puis analyser mon
log pour que je puisse faire un peu le ménage sur mon PC.

Merci beaucoup pour votre aide !!!!!

Cordialement

François
Bonsoir: Hijackthis est une très bonne idée! il faut télécharger la dernière

version et l'installer à la racine de ton disque dur ...ensuite lancer le
scan : si tu veux vraiment avoir de la très bonne info et une aide pour
cette analyse,je te conseille d'aller sur le site de "Zebulon" ,là il y a
des experts qui t'aideront à virer ce spy!! à+

Barney Gumble

13/09/2005 à 19:26

BURP Mtirabo marco BURP a éructé :
Buuuuurrrpppp ...

,je te conseille d'aller sur le site de "Zebulon" ,là il y a
des experts qui t'aideront à virer ce spy!! à+

Comme ça tu veux détourner des utilisateurs du meilleurs forum au MONDE ?

*Ton conseil tu peux te le fourrer dans le cul, tes "experts" aussi (par le bout qui pique s.v.p.)*

Et retourne dans le forum de bébé lala de Zebulon (avec des avatars amusants)

):-(

Je retoune chez MOE'S buurrppp....
--
Barney Gumble
BUUUURP ...

JF

13/09/2005 à 19:36

*Bonjour Mtirabo marco* ! Tu disais, dans le message
news:dg71ha$lf4$

| Bonsoir: Hijackthis est une très bonne idée! il faut télécharger la
| dernière version et l'installer à la racine de ton disque dur
...ensuite
| lancer le scan : si tu veux vraiment avoir de la très bonne info et
une
| aide pour cette analyse,je te conseille d'aller sur le site de
"Zebulon"
| ,là il y a des experts qui t'aideront à virer ce spy!! à+

Il y a effectivement un excellent tuto
www.zebulon.fr/articles/HijackThis.php

--
Salutations, Jean-François :o)
1- www.d2i.ch/pn/az
2- www.d2i.ch/pn/depannage/supports.html#faq
3- Montrez vos impressions d'écrans avec http://cjoint.com
4- Outlook Express: Suivez vos fils avec [CTL+H]

j

13/09/2005 à 19:47

Bonsoir à tous :-D
Sur son post :43270653$0$18588$,
François nous écrit:

...Ma configuration avant l'infection par Spysherrif ....

Une piste pour mieux le cibler ds Hijack ;-) ET ailleurs :o)
http://www.bleepingcomputer.com/forums/How_to_remove_SpySheriff_Winstallexe_Spysheriffexe-t22402.html%20
--
« De la discussion , jaillit la lumière ...»
Cdlt@+ à tous :-D

Tsilefy

13/09/2005 à 20:43

Dans le message news:sca86f8sh3t2$.v4u2q8kis4zk$,
Barney Gumble a écrit:

BURP Mtirabo marco BURP a éructé :
Buuuuurrrpppp ...

,je te conseille d'aller sur le site de "Zebulon" ,là il y a
des experts qui t'aideront à virer ce spy!! à+

Comme ça tu veux détourner des utilisateurs du meilleurs forum au
MONDE ?

*Ton conseil tu peux te le fourrer dans le cul, tes "experts" aussi
(par le bout qui pique s.v.p.)*

Et retourne dans le forum de bébé lala de Zebulon (avec des avatars
amusants)

):-(

Je retoune chez MOE'S buurrppp....

Bonjour,
Seriez- vous le jumeau de *Médor* ?
Ou en tout cas de la même portée ...
:-)
--
Tsilefy

MÉDOR

13/09/2005 à 21:21

Ouaf ! Ouaf !

Bonjour,
Seriez- vous le jumeau de *Médor* ?
Ou en tout cas de la même portée ...
:-)

Je n'ai à voir avec ce sale humain.

:-D
--
MÉDOR [Most Valuable Dog] Windows Embedded for DOGS

Découvrez des choses étonnantes avec votre *Chien Numérique MS Dog ®*:

Claude LaFrenière

13/09/2005 à 21:24

Bonjour *MÉDOR* :

Ouaf ! Ouaf !

Bonjour,
Seriez- vous le jumeau de *Médor* ?
Ou en tout cas de la même portée ...
:-)

Je n'ai à voir avec ce sale humain.

:-D

Pfffttt ... quelle façon de s'exprimer !

Tu as oublié le mot "rien" sale cabot !

(ingrat!)

:-(
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017
«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

François

13/09/2005 à 22:38

Re-bonsoir,

Voici mon log de hijackthis (je ne peux le mettre en fichier joint sinon mon
mail ne part pas!!! je ne sais pas pourquoi d'ailleurs)
Merci encore pour votre aide!!

François

Logfile of HijackThis v1.99.1
Scan saved at 21:37:48, on 13/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1TRENDM~1INTERN~2PcCtlCom.exe
C:WINDOWSSystem32svchost.exe
C:PROGRA~1TRENDM~1INTERN~2Tmntsrv.exe
C:PROGRA~1TRENDM~1INTERN~2tmproxy.exe
C:PROGRA~1TRENDM~1INTERN~2TmPfw.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1TRENDM~1INTERN~2PccGuide.exe
C:WINDOWSBCMSMMSG.exe
C:WINDOWSsystem32dlatfswctrl.exe
C:WINDOWSSystem32hkcmd.exe
C:Program FilesFichiers communsSonicUpdate Managersgtray.exe
C:WINDOWSSystem32DSentry.exe
C:Program FilesiPodbiniPodManager.exe
C:Program FilesMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe
C:Program FilesWildTangentAppsCDAGameDrvr.exe
C:windowssp2update00.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32wuauclt.exe
C:Program FilesiPodbiniPodService.exe
C:WINDOWSSystem32wbemwmiprvse.exe
C:Program FilesMessengermsmsgs.exe
C:Documents and SettingsFrancoisBureauHijackThis.exe
C:PROGRA~1TRENDM~1INTERN~2TSC.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL http://searchbar.findthewebsiteyouneed.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar http://searchbar.findthewebsiteyouneed.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page http://searchbar.findthewebsiteyouneed.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.findthewebsiteyouneed.com
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page http://searchbar.findthewebsiteyouneed.com
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant http://searchbar.findthewebsiteyouneed.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O1 - Hosts: 213.222.11.6 ieautosearch
O4 - HKLM..Run: [IgfxTray] C:WINDOWSSystem32igfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSSystem32hkcmd.exe
O4 - HKLM..Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM..Run: [dla] C:WINDOWSsystem32dlatfswctrl.exe
O4 - HKLM..Run: [StorageGuard] "C:Program FilesFichiers
communsSonicUpdate Managersgtray.exe" /r
O4 - HKLM..Run: [DVDSentry] C:WINDOWSSystem32DSentry.exe
O4 - HKLM..Run: [iPodManager] C:Program FilesiPodbiniPodManager.exe
O4 - HKLM..Run: [MMTray] C:Program FilesMUSICMATCHMUSICMATCH
Jukeboxmm_tray.exe
O4 - HKLM..Run: [WildTangent CDA] "C:Program
FilesWildTangentAppsCDAGameDrvr.exe" /startup "C:Program
FilesWildTangentAppsCDAcdaEngine0500.dll"
O4 - HKLM..Run: [pccguide.exe] "C:Program FilesTrend MicroInternet
Security 12pccguide.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [msresearch] C:windowsmsresearch.exe
O4 - HKLM..Run: [sp2update] C:windowssp2update00.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Yahoo! Pager] C:Program
FilesYahoo!Messengerypager.exe -quiet
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:WINDOWSSystem32msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:WINDOWSSystem32msjava.dll
(file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} -
C:PROGRA~1AIMaim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:WINDOWSSystem32Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM
ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags
Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114689230000
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {98BFD494-F6AD-4794-9038-832C0654CC43} (AOL YGP UPF Ctrl) -
http://photos04.aol.fr/ygp/aol/plugin/upf/YGPUPF.fr-FR.9.2.4.0.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown
Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - Winlogon Notify: igfxcui - C:WINDOWSSYSTEM32igfxsrvc.dll
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc - C:Program
FilesiPodbiniPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation -
C:Program FilesIntelNCSSyncNetSvc.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend
Micro Incorporated. - C:PROGRA~1TRENDM~1INTERN~2PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro
Incorporated. - C:PROGRA~1TRENDM~1INTERN~2Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. -
C:PROGRA~1TRENDM~1INTERN~2TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. -
C:PROGRA~1TRENDM~1INTERN~2tmproxy.exe

"François" a écrit dans le message de news:
43270653$0$18588$

Ma configuration avant l'infection par Spysherrif :

Windows XP SP1

Office 2000

Firewall et anti-virus: PC-cillin internet security 12

Bonjour,

Depuis quelques semaines j'ai attrapé un spyware sur mon PC. Il s'appelle
Spysheriff. J'ai depuis un fond d'écran bleu avec un gros message
d'avertissement
« Your computer is infected,.... ».

J'ai beaucoup de mal à m'en débarrasser. Pourtant j'ai un firewall et un
anti-virus pc- cillin 12. Mais même en faisant des scans et autre, pc-
cillin ne découvre rien.

J'ai donc essayé d'autre programme comme ccleaner et antispyware de
microsoft. Mais le fond d'écran est toujours là bleu et je ne peux pas le
changer, la fenêtre de changement de fond d'écran est « grisé » !!!! je ne
peux plus agir dessus.

J'ai trouvé sur mon disque un fichier .htm qui était le message inscrit
sur
mon fond d'écran. J'ai donc exécuté la commande regedit et j'ai supprimer
le
chemin de ce fichier dans wallpaper. Du coup le message n'existe plus,
mais
mon fond d'écran reste bleu et je ne peux toujours pas agir dessus pour le
changer..

A noter que quand j'éteint mon PC, juste à la fin de la fermeture de
Windows
mon ancien fond d'écran apparaît 2 secondes avant que l'ordinateur ne
s'éteigne
complètement. C'est comme si mon fond d'écran d'origine était caché par le
fond bleu. Je ne peux plus changer ma page d'accueil Internet non plus,
c'est
le site « http://www.findthewebsiteyouneed.com» qui est en page d'accueil,
et si je le change il revient automatiquement..

Ne savant plus quoi faire j'ai mis à jour XP avec windows update et
maintenant j'ai windows XP SP2. A chaque fois que j'allume mon PC mon
anti-virus (pc- cillin 12) détecte un cheval de troie (WORM PETIK) en
disant
qu'il le détruit, seulement il n'est jamais détruit puisqu'il réapparaît à
chaque démarrage...

Bref je ne sais plus quoi faire pour avoir de nouveau accès à mon fond
d'écran
et à ma page d'accueil Internet ?????

J'ai entendu parlé du programme Hijackthis, j'ai installé la version
1.99.0.1 mais je ne sais pas m'en servir ni analyser les logs !!!

Quelqu'un peut'il me dire comment utiliser ce programme, puis analyser mon
log pour que je puisse faire un peu le ménage sur mon PC.

Merci beaucoup pour votre aide !!!!!

Cordialement

François

Re-bonsoir,

Voici mon log de hijackthis (je ne peux le mettre en fichier joint sinon mon
mail ne part pas!!! je ne sais pas pourquoi d'ailleurs)
Merci encore pour votre aide!!

François

Logfile of HijackThis v1.99.1
Scan saved at 21:37:48, on 13/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1TRENDM~1INTERN~2PcCtlCom.exe
C:WINDOWSSystem32svchost.exe
C:PROGRA~1TRENDM~1INTERN~2Tmntsrv.exe
C:PROGRA~1TRENDM~1INTERN~2tmproxy.exe
C:PROGRA~1TRENDM~1INTERN~2TmPfw.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1TRENDM~1INTERN~2PccGuide.exe
C:WINDOWSBCMSMMSG.exe
C:WINDOWSsystem32dlatfswctrl.exe
C:WINDOWSSystem32hkcmd.exe
C:Program FilesFichiers communsSonicUpdate Managersgtray.exe
C:WINDOWSSystem32DSentry.exe
C:Program FilesiPodbiniPodManager.exe
C:Program FilesMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe
C:Program FilesWildTangentAppsCDAGameDrvr.exe
C:windowssp2update00.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32wuauclt.exe
C:Program FilesiPodbiniPodService.exe
C:WINDOWSSystem32wbemwmiprvse.exe
C:Program FilesMessengermsmsgs.exe
C:Documents and SettingsFrancoisBureauHijackThis.exe
C:PROGRA~1TRENDM~1INTERN~2TSC.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL http://searchbar.findthewebsiteyouneed.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar http://searchbar.findthewebsiteyouneed.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page http://searchbar.findthewebsiteyouneed.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.findthewebsiteyouneed.com
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page http://searchbar.findthewebsiteyouneed.com
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant http://searchbar.findthewebsiteyouneed.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O1 - Hosts: 213.222.11.6 ieautosearch
O4 - HKLM..Run: [IgfxTray] C:WINDOWSSystem32igfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSSystem32hkcmd.exe
O4 - HKLM..Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM..Run: [dla] C:WINDOWSsystem32dlatfswctrl.exe
O4 - HKLM..Run: [StorageGuard] "C:Program FilesFichiers
communsSonicUpdate Managersgtray.exe" /r
O4 - HKLM..Run: [DVDSentry] C:WINDOWSSystem32DSentry.exe
O4 - HKLM..Run: [iPodManager] C:Program FilesiPodbiniPodManager.exe
O4 - HKLM..Run: [MMTray] C:Program FilesMUSICMATCHMUSICMATCH
Jukeboxmm_tray.exe
O4 - HKLM..Run: [WildTangent CDA] "C:Program
FilesWildTangentAppsCDAGameDrvr.exe" /startup "C:Program
FilesWildTangentAppsCDAcdaEngine0500.dll"
O4 - HKLM..Run: [pccguide.exe] "C:Program FilesTrend MicroInternet
Security 12pccguide.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [msresearch] C:windowsmsresearch.exe
O4 - HKLM..Run: [sp2update] C:windowssp2update00.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Yahoo! Pager] C:Program
FilesYahoo!Messengerypager.exe -quiet
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:WINDOWSSystem32msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:WINDOWSSystem32msjava.dll
(file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} -
C:PROGRA~1AIMaim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:WINDOWSSystem32Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM
ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags
Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114689230000
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {98BFD494-F6AD-4794-9038-832C0654CC43} (AOL YGP UPF Ctrl) -
http://photos04.aol.fr/ygp/aol/plugin/upf/YGPUPF.fr-FR.9.2.4.0.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown
Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - Winlogon Notify: igfxcui - C:WINDOWSSYSTEM32igfxsrvc.dll
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc - C:Program
FilesiPodbiniPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation -
C:Program FilesIntelNCSSyncNetSvc.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend
Micro Incorporated. - C:PROGRA~1TRENDM~1INTERN~2PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro
Incorporated. - C:PROGRA~1TRENDM~1INTERN~2Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. -
C:PROGRA~1TRENDM~1INTERN~2TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. -
C:PROGRA~1TRENDM~1INTERN~2tmproxy.exe

"François" <nono@no.fr> a écrit dans le message de news:
43270653$0$18588$626a14ce@news.free.fr...

Ma configuration avant l'infection par Spysherrif :

Windows XP SP1

Office 2000

Firewall et anti-virus: PC-cillin internet security 12

Bonjour,

Depuis quelques semaines j'ai attrapé un spyware sur mon PC. Il s'appelle
Spysheriff. J'ai depuis un fond d'écran bleu avec un gros message
d'avertissement
« Your computer is infected,.... ».

J'ai beaucoup de mal à m'en débarrasser. Pourtant j'ai un firewall et un
anti-virus pc- cillin 12. Mais même en faisant des scans et autre, pc-
cillin ne découvre rien.

J'ai donc essayé d'autre programme comme ccleaner et antispyware de
microsoft. Mais le fond d'écran est toujours là bleu et je ne peux pas le
changer, la fenêtre de changement de fond d'écran est « grisé » !!!! je ne
peux plus agir dessus.

J'ai trouvé sur mon disque un fichier .htm qui était le message inscrit
sur
mon fond d'écran. J'ai donc exécuté la commande regedit et j'ai supprimer
le
chemin de ce fichier dans wallpaper. Du coup le message n'existe plus,
mais
mon fond d'écran reste bleu et je ne peux toujours pas agir dessus pour le
changer..

A noter que quand j'éteint mon PC, juste à la fin de la fermeture de
Windows
mon ancien fond d'écran apparaît 2 secondes avant que l'ordinateur ne
s'éteigne
complètement. C'est comme si mon fond d'écran d'origine était caché par le
fond bleu. Je ne peux plus changer ma page d'accueil Internet non plus,
c'est
le site « http://www.findthewebsiteyouneed.com» qui est en page d'accueil,
et si je le change il revient automatiquement..

Ne savant plus quoi faire j'ai mis à jour XP avec windows update et
maintenant j'ai windows XP SP2. A chaque fois que j'allume mon PC mon
anti-virus (pc- cillin 12) détecte un cheval de troie (WORM PETIK) en
disant
qu'il le détruit, seulement il n'est jamais détruit puisqu'il réapparaît à
chaque démarrage...

Bref je ne sais plus quoi faire pour avoir de nouveau accès à mon fond
d'écran
et à ma page d'accueil Internet ?????

J'ai entendu parlé du programme Hijackthis, j'ai installé la version
1.99.0.1 mais je ne sais pas m'en servir ni analyser les logs !!!

Quelqu'un peut'il me dire comment utiliser ce programme, puis analyser mon
log pour que je puisse faire un peu le ménage sur mon PC.

Merci beaucoup pour votre aide !!!!!

Cordialement

François

Vous avez filtré cet utilisateur ! Consultez son message

Re-bonsoir,

Voici mon log de hijackthis (je ne peux le mettre en fichier joint sinon mon
mail ne part pas!!! je ne sais pas pourquoi d'ailleurs)
Merci encore pour votre aide!!

François

Logfile of HijackThis v1.99.1
Scan saved at 21:37:48, on 13/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1TRENDM~1INTERN~2PcCtlCom.exe
C:WINDOWSSystem32svchost.exe
C:PROGRA~1TRENDM~1INTERN~2Tmntsrv.exe
C:PROGRA~1TRENDM~1INTERN~2tmproxy.exe
C:PROGRA~1TRENDM~1INTERN~2TmPfw.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1TRENDM~1INTERN~2PccGuide.exe
C:WINDOWSBCMSMMSG.exe
C:WINDOWSsystem32dlatfswctrl.exe
C:WINDOWSSystem32hkcmd.exe
C:Program FilesFichiers communsSonicUpdate Managersgtray.exe
C:WINDOWSSystem32DSentry.exe
C:Program FilesiPodbiniPodManager.exe
C:Program FilesMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe
C:Program FilesWildTangentAppsCDAGameDrvr.exe
C:windowssp2update00.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32wuauclt.exe
C:Program FilesiPodbiniPodService.exe
C:WINDOWSSystem32wbemwmiprvse.exe
C:Program FilesMessengermsmsgs.exe
C:Documents and SettingsFrancoisBureauHijackThis.exe
C:PROGRA~1TRENDM~1INTERN~2TSC.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL http://searchbar.findthewebsiteyouneed.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar http://searchbar.findthewebsiteyouneed.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page http://searchbar.findthewebsiteyouneed.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.findthewebsiteyouneed.com
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page http://searchbar.findthewebsiteyouneed.com
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant http://searchbar.findthewebsiteyouneed.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O1 - Hosts: 213.222.11.6 ieautosearch
O4 - HKLM..Run: [IgfxTray] C:WINDOWSSystem32igfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSSystem32hkcmd.exe
O4 - HKLM..Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM..Run: [dla] C:WINDOWSsystem32dlatfswctrl.exe
O4 - HKLM..Run: [StorageGuard] "C:Program FilesFichiers
communsSonicUpdate Managersgtray.exe" /r
O4 - HKLM..Run: [DVDSentry] C:WINDOWSSystem32DSentry.exe
O4 - HKLM..Run: [iPodManager] C:Program FilesiPodbiniPodManager.exe
O4 - HKLM..Run: [MMTray] C:Program FilesMUSICMATCHMUSICMATCH
Jukeboxmm_tray.exe
O4 - HKLM..Run: [WildTangent CDA] "C:Program
FilesWildTangentAppsCDAGameDrvr.exe" /startup "C:Program
FilesWildTangentAppsCDAcdaEngine0500.dll"
O4 - HKLM..Run: [pccguide.exe] "C:Program FilesTrend MicroInternet
Security 12pccguide.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [msresearch] C:windowsmsresearch.exe
O4 - HKLM..Run: [sp2update] C:windowssp2update00.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Yahoo! Pager] C:Program
FilesYahoo!Messengerypager.exe -quiet
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:WINDOWSSystem32msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:WINDOWSSystem32msjava.dll
(file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} -
C:PROGRA~1AIMaim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:WINDOWSSystem32Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM
ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags
Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114689230000
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {98BFD494-F6AD-4794-9038-832C0654CC43} (AOL YGP UPF Ctrl) -
http://photos04.aol.fr/ygp/aol/plugin/upf/YGPUPF.fr-FR.9.2.4.0.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown
Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - Winlogon Notify: igfxcui - C:WINDOWSSYSTEM32igfxsrvc.dll
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc - C:Program
FilesiPodbiniPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation -
C:Program FilesIntelNCSSyncNetSvc.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend
Micro Incorporated. - C:PROGRA~1TRENDM~1INTERN~2PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro
Incorporated. - C:PROGRA~1TRENDM~1INTERN~2Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. -
C:PROGRA~1TRENDM~1INTERN~2TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. -
C:PROGRA~1TRENDM~1INTERN~2tmproxy.exe

"François" a écrit dans le message de news:
43270653$0$18588$

Ma configuration avant l'infection par Spysherrif :

Windows XP SP1

Office 2000

Firewall et anti-virus: PC-cillin internet security 12

Bonjour,

Depuis quelques semaines j'ai attrapé un spyware sur mon PC. Il s'appelle
Spysheriff. J'ai depuis un fond d'écran bleu avec un gros message
d'avertissement
« Your computer is infected,.... ».

J'ai beaucoup de mal à m'en débarrasser. Pourtant j'ai un firewall et un
anti-virus pc- cillin 12. Mais même en faisant des scans et autre, pc-
cillin ne découvre rien.

J'ai donc essayé d'autre programme comme ccleaner et antispyware de
microsoft. Mais le fond d'écran est toujours là bleu et je ne peux pas le
changer, la fenêtre de changement de fond d'écran est « grisé » !!!! je ne
peux plus agir dessus.

J'ai trouvé sur mon disque un fichier .htm qui était le message inscrit
sur
mon fond d'écran. J'ai donc exécuté la commande regedit et j'ai supprimer
le
chemin de ce fichier dans wallpaper. Du coup le message n'existe plus,
mais
mon fond d'écran reste bleu et je ne peux toujours pas agir dessus pour le
changer..

A noter que quand j'éteint mon PC, juste à la fin de la fermeture de
Windows
mon ancien fond d'écran apparaît 2 secondes avant que l'ordinateur ne
s'éteigne
complètement. C'est comme si mon fond d'écran d'origine était caché par le
fond bleu. Je ne peux plus changer ma page d'accueil Internet non plus,
c'est
le site « http://www.findthewebsiteyouneed.com» qui est en page d'accueil,
et si je le change il revient automatiquement..

Ne savant plus quoi faire j'ai mis à jour XP avec windows update et
maintenant j'ai windows XP SP2. A chaque fois que j'allume mon PC mon
anti-virus (pc- cillin 12) détecte un cheval de troie (WORM PETIK) en
disant
qu'il le détruit, seulement il n'est jamais détruit puisqu'il réapparaît à
chaque démarrage...

Bref je ne sais plus quoi faire pour avoir de nouveau accès à mon fond
d'écran
et à ma page d'accueil Internet ?????

J'ai entendu parlé du programme Hijackthis, j'ai installé la version
1.99.0.1 mais je ne sais pas m'en servir ni analyser les logs !!!

Quelqu'un peut'il me dire comment utiliser ce programme, puis analyser mon
log pour que je puisse faire un peu le ménage sur mon PC.

Merci beaucoup pour votre aide !!!!!

Cordialement

François

François

13/09/2005 à 22:45

Re-bonsoir,

Voici mon log de hijackthis. Désolé mais je ne peux l'en,voyer en fichier
joint le mail ne part pas sinon
Merci encore pour votre aide!!

François

Logfile of HijackThis v1.99.1
Scan saved at 21:37:48, on 13/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1TRENDM~1INTERN~2PcCtlCom.exe
C:WINDOWSSystem32svchost.exe
C:PROGRA~1TRENDM~1INTERN~2Tmntsrv.exe
C:PROGRA~1TRENDM~1INTERN~2tmproxy.exe
C:PROGRA~1TRENDM~1INTERN~2TmPfw.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1TRENDM~1INTERN~2PccGuide.exe
C:WINDOWSBCMSMMSG.exe
C:WINDOWSsystem32dlatfswctrl.exe
C:WINDOWSSystem32hkcmd.exe
C:Program FilesFichiers communsSonicUpdate Managersgtray.exe
C:WINDOWSSystem32DSentry.exe
C:Program FilesiPodbiniPodManager.exe
C:Program FilesMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe
C:Program FilesWildTangentAppsCDAGameDrvr.exe
C:windowssp2update00.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32wuauclt.exe
C:Program FilesiPodbiniPodService.exe
C:WINDOWSSystem32wbemwmiprvse.exe
C:Program FilesMessengermsmsgs.exe
C:Documents and SettingsFrancoisBureauHijackThis.exe
C:PROGRA~1TRENDM~1INTERN~2TSC.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL http://searchbar.findthewebsiteyouneed.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar http://searchbar.findthewebsiteyouneed.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page http://searchbar.findthewebsiteyouneed.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.findthewebsiteyouneed.com
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page http://searchbar.findthewebsiteyouneed.com
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant http://searchbar.findthewebsiteyouneed.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O1 - Hosts: 213.222.11.6 ieautosearch
O4 - HKLM..Run: [IgfxTray] C:WINDOWSSystem32igfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSSystem32hkcmd.exe
O4 - HKLM..Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM..Run: [dla] C:WINDOWSsystem32dlatfswctrl.exe
O4 - HKLM..Run: [StorageGuard] "C:Program FilesFichiers
communsSonicUpdate Managersgtray.exe" /r
O4 - HKLM..Run: [DVDSentry] C:WINDOWSSystem32DSentry.exe
O4 - HKLM..Run: [iPodManager] C:Program FilesiPodbiniPodManager.exe
O4 - HKLM..Run: [MMTray] C:Program FilesMUSICMATCHMUSICMATCH
Jukeboxmm_tray.exe
O4 - HKLM..Run: [WildTangent CDA] "C:Program
FilesWildTangentAppsCDAGameDrvr.exe" /startup "C:Program
FilesWildTangentAppsCDAcdaEngine0500.dll"
O4 - HKLM..Run: [pccguide.exe] "C:Program FilesTrend MicroInternet
Security 12pccguide.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [msresearch] C:windowsmsresearch.exe
O4 - HKLM..Run: [sp2update] C:windowssp2update00.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Yahoo! Pager] C:Program
FilesYahoo!Messengerypager.exe -quiet
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:WINDOWSSystem32msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:WINDOWSSystem32msjava.dll
(file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} -
C:PROGRA~1AIMaim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:WINDOWSSystem32Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM
ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags
Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114689230000
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {98BFD494-F6AD-4794-9038-832C0654CC43} (AOL YGP UPF Ctrl) -
http://photos04.aol.fr/ygp/aol/plugin/upf/YGPUPF.fr-FR.9.2.4.0.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown
Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - Winlogon Notify: igfxcui - C:WINDOWSSYSTEM32igfxsrvc.dll
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc - C:Program
FilesiPodbiniPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation -
C:Program FilesIntelNCSSyncNetSvc.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend
Micro Incorporated. - C:PROGRA~1TRENDM~1INTERN~2PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro
Incorporated. - C:PROGRA~1TRENDM~1INTERN~2Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. -
C:PROGRA~1TRENDM~1INTERN~2TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. -
C:PROGRA~1TRENDM~1INTERN~2tmproxy.exe

"Claude LaFrenière" a écrit dans le message de
news: 1e1wbjzurz8to$.1pr7x9oio318x$

Bonjour *François* :

Ma configuration avant l'infection par Spysherrif :

COUIIIIIC !!!

J'ai entendu parlé du programme Hijackthis, j'ai installé la version
1.99.0.1 mais je ne sais pas m'en servir ni analyser les logs !!!

Quelqu'un peut'il me dire comment utiliser ce programme, puis analyser
mon
log pour que je puisse faire un peu le ménage sur mon PC.

Merci beaucoup pour votre aide !!!!!

Cordialement

François

Fait le scan avec hijackThis, ne coche rien et envoie-moi ce log ici.
(de préférence en pièce-attachés, pas de retour à la ligne. Sinon en
copié-collé)

Je vais l'examiner et te dire quoi virer.

A+

:)
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017
«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Re-bonsoir,

Voici mon log de hijackthis. Désolé mais je ne peux l'en,voyer en fichier
joint le mail ne part pas sinon
Merci encore pour votre aide!!

François

Logfile of HijackThis v1.99.1
Scan saved at 21:37:48, on 13/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1TRENDM~1INTERN~2PcCtlCom.exe
C:WINDOWSSystem32svchost.exe
C:PROGRA~1TRENDM~1INTERN~2Tmntsrv.exe
C:PROGRA~1TRENDM~1INTERN~2tmproxy.exe
C:PROGRA~1TRENDM~1INTERN~2TmPfw.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1TRENDM~1INTERN~2PccGuide.exe
C:WINDOWSBCMSMMSG.exe
C:WINDOWSsystem32dlatfswctrl.exe
C:WINDOWSSystem32hkcmd.exe
C:Program FilesFichiers communsSonicUpdate Managersgtray.exe
C:WINDOWSSystem32DSentry.exe
C:Program FilesiPodbiniPodManager.exe
C:Program FilesMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe
C:Program FilesWildTangentAppsCDAGameDrvr.exe
C:windowssp2update00.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32wuauclt.exe
C:Program FilesiPodbiniPodService.exe
C:WINDOWSSystem32wbemwmiprvse.exe
C:Program FilesMessengermsmsgs.exe
C:Documents and SettingsFrancoisBureauHijackThis.exe
C:PROGRA~1TRENDM~1INTERN~2TSC.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL http://searchbar.findthewebsiteyouneed.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar http://searchbar.findthewebsiteyouneed.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page http://searchbar.findthewebsiteyouneed.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.findthewebsiteyouneed.com
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page http://searchbar.findthewebsiteyouneed.com
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant http://searchbar.findthewebsiteyouneed.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O1 - Hosts: 213.222.11.6 ieautosearch
O4 - HKLM..Run: [IgfxTray] C:WINDOWSSystem32igfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSSystem32hkcmd.exe
O4 - HKLM..Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM..Run: [dla] C:WINDOWSsystem32dlatfswctrl.exe
O4 - HKLM..Run: [StorageGuard] "C:Program FilesFichiers
communsSonicUpdate Managersgtray.exe" /r
O4 - HKLM..Run: [DVDSentry] C:WINDOWSSystem32DSentry.exe
O4 - HKLM..Run: [iPodManager] C:Program FilesiPodbiniPodManager.exe
O4 - HKLM..Run: [MMTray] C:Program FilesMUSICMATCHMUSICMATCH
Jukeboxmm_tray.exe
O4 - HKLM..Run: [WildTangent CDA] "C:Program
FilesWildTangentAppsCDAGameDrvr.exe" /startup "C:Program
FilesWildTangentAppsCDAcdaEngine0500.dll"
O4 - HKLM..Run: [pccguide.exe] "C:Program FilesTrend MicroInternet
Security 12pccguide.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [msresearch] C:windowsmsresearch.exe
O4 - HKLM..Run: [sp2update] C:windowssp2update00.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Yahoo! Pager] C:Program
FilesYahoo!Messengerypager.exe -quiet
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:WINDOWSSystem32msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:WINDOWSSystem32msjava.dll
(file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} -
C:PROGRA~1AIMaim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:WINDOWSSystem32Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM
ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags
Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114689230000
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {98BFD494-F6AD-4794-9038-832C0654CC43} (AOL YGP UPF Ctrl) -
http://photos04.aol.fr/ygp/aol/plugin/upf/YGPUPF.fr-FR.9.2.4.0.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown
Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - Winlogon Notify: igfxcui - C:WINDOWSSYSTEM32igfxsrvc.dll
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc - C:Program
FilesiPodbiniPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation -
C:Program FilesIntelNCSSyncNetSvc.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend
Micro Incorporated. - C:PROGRA~1TRENDM~1INTERN~2PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro
Incorporated. - C:PROGRA~1TRENDM~1INTERN~2Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. -
C:PROGRA~1TRENDM~1INTERN~2TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. -
C:PROGRA~1TRENDM~1INTERN~2tmproxy.exe

"Claude LaFrenière" <No_InterNUT@AntiPebkac.org> a écrit dans le message de
news: 1e1wbjzurz8to$.1pr7x9oio318x$.dlg@40tude.net...

Bonjour *François* :

Ma configuration avant l'infection par Spysherrif :

COUIIIIIC !!!

J'ai entendu parlé du programme Hijackthis, j'ai installé la version
1.99.0.1 mais je ne sais pas m'en servir ni analyser les logs !!!

Quelqu'un peut'il me dire comment utiliser ce programme, puis analyser
mon
log pour que je puisse faire un peu le ménage sur mon PC.

Merci beaucoup pour votre aide !!!!!

Cordialement

François

Fait le scan avec hijackThis, ne coche rien et envoie-moi ce log ici.
(de préférence en pièce-attachés, pas de retour à la ligne. Sinon en
copié-collé)

Je vais l'examiner et te dire quoi virer.

A+

:)
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017
«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Vous avez filtré cet utilisateur ! Consultez son message

Re-bonsoir,

Voici mon log de hijackthis. Désolé mais je ne peux l'en,voyer en fichier
joint le mail ne part pas sinon
Merci encore pour votre aide!!

François

Logfile of HijackThis v1.99.1
Scan saved at 21:37:48, on 13/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1TRENDM~1INTERN~2PcCtlCom.exe
C:WINDOWSSystem32svchost.exe
C:PROGRA~1TRENDM~1INTERN~2Tmntsrv.exe
C:PROGRA~1TRENDM~1INTERN~2tmproxy.exe
C:PROGRA~1TRENDM~1INTERN~2TmPfw.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1TRENDM~1INTERN~2PccGuide.exe
C:WINDOWSBCMSMMSG.exe
C:WINDOWSsystem32dlatfswctrl.exe
C:WINDOWSSystem32hkcmd.exe
C:Program FilesFichiers communsSonicUpdate Managersgtray.exe
C:WINDOWSSystem32DSentry.exe
C:Program FilesiPodbiniPodManager.exe
C:Program FilesMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe
C:Program FilesWildTangentAppsCDAGameDrvr.exe
C:windowssp2update00.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32wuauclt.exe
C:Program FilesiPodbiniPodService.exe
C:WINDOWSSystem32wbemwmiprvse.exe
C:Program FilesMessengermsmsgs.exe
C:Documents and SettingsFrancoisBureauHijackThis.exe
C:PROGRA~1TRENDM~1INTERN~2TSC.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL http://searchbar.findthewebsiteyouneed.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar http://searchbar.findthewebsiteyouneed.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page http://searchbar.findthewebsiteyouneed.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.findthewebsiteyouneed.com
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page http://searchbar.findthewebsiteyouneed.com
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant http://searchbar.findthewebsiteyouneed.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O1 - Hosts: 213.222.11.6 ieautosearch
O4 - HKLM..Run: [IgfxTray] C:WINDOWSSystem32igfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSSystem32hkcmd.exe
O4 - HKLM..Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM..Run: [dla] C:WINDOWSsystem32dlatfswctrl.exe
O4 - HKLM..Run: [StorageGuard] "C:Program FilesFichiers
communsSonicUpdate Managersgtray.exe" /r
O4 - HKLM..Run: [DVDSentry] C:WINDOWSSystem32DSentry.exe
O4 - HKLM..Run: [iPodManager] C:Program FilesiPodbiniPodManager.exe
O4 - HKLM..Run: [MMTray] C:Program FilesMUSICMATCHMUSICMATCH
Jukeboxmm_tray.exe
O4 - HKLM..Run: [WildTangent CDA] "C:Program
FilesWildTangentAppsCDAGameDrvr.exe" /startup "C:Program
FilesWildTangentAppsCDAcdaEngine0500.dll"
O4 - HKLM..Run: [pccguide.exe] "C:Program FilesTrend MicroInternet
Security 12pccguide.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [msresearch] C:windowsmsresearch.exe
O4 - HKLM..Run: [sp2update] C:windowssp2update00.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Yahoo! Pager] C:Program
FilesYahoo!Messengerypager.exe -quiet
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:WINDOWSSystem32msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:WINDOWSSystem32msjava.dll
(file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} -
C:PROGRA~1AIMaim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:WINDOWSSystem32Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM
ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags
Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114689230000
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {98BFD494-F6AD-4794-9038-832C0654CC43} (AOL YGP UPF Ctrl) -
http://photos04.aol.fr/ygp/aol/plugin/upf/YGPUPF.fr-FR.9.2.4.0.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown
Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - Winlogon Notify: igfxcui - C:WINDOWSSYSTEM32igfxsrvc.dll
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc - C:Program
FilesiPodbiniPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation -
C:Program FilesIntelNCSSyncNetSvc.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend
Micro Incorporated. - C:PROGRA~1TRENDM~1INTERN~2PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro
Incorporated. - C:PROGRA~1TRENDM~1INTERN~2Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. -
C:PROGRA~1TRENDM~1INTERN~2TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. -
C:PROGRA~1TRENDM~1INTERN~2tmproxy.exe

"Claude LaFrenière" a écrit dans le message de
news: 1e1wbjzurz8to$.1pr7x9oio318x$

Bonjour *François* :

Ma configuration avant l'infection par Spysherrif :

COUIIIIIC !!!

J'ai entendu parlé du programme Hijackthis, j'ai installé la version
1.99.0.1 mais je ne sais pas m'en servir ni analyser les logs !!!

Quelqu'un peut'il me dire comment utiliser ce programme, puis analyser
mon
log pour que je puisse faire un peu le ménage sur mon PC.

Merci beaucoup pour votre aide !!!!!

Cordialement

François

Fait le scan avec hijackThis, ne coche rien et envoie-moi ce log ici.
(de préférence en pièce-attachés, pas de retour à la ligne. Sinon en
copié-collé)

Je vais l'examiner et te dire quoi virer.

A+

:)
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017
«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

A L'AIDE INFECTION par SPYSHERRIF (Fond d'écran bleu impossible à changer)

10 réponses

Veuillez sélectionner un problème