impossible de changer mon wallpaper

Question

bonjour
j'ai été attaqué par un virus (topantispyware ou qq chose comme ça) qui a changé mon wallpaper
dans la panique j'ai nettoyé ma bécane y compris ma base de registre ... mais voilà qu'à présent je ne peux plus changer de fond d'écran ... car je n'ai plus d'onglet bureau dans panneau de config/affichage !!!!
ceci n'arrive que dans ma session (administrateur !!!) et pas dans les autres ( là j'ai cet onglet manquant) !!!
j'ai viré trop de clefs ????
si quelqu'un peut m'aider je lui en serais vraiment trés reconnaissant !!!!
... Merci d'avance !!!

Configuration: win xp familiale

Geg · Answer

à l'aide SVP !!!!

Geg · Answer

y a t'il qqun qui pourrait m'aider ??????

moe · Answer

salut greg

Tu as nettoyé ton registre avec un logiciel ? ou à la main ?

Pour vérifier qu'il ne soit plus présent, telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile" et surtout rien d'autre.
fais un copier coller du log entier ici.

a+

Geg · Answer

Merci de ton aide moe
voilà le log de hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 19:29:40, on 16/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\Program Files\Grisoft\AVG Free\avgemc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Geg (Daniel)\Mes documents\secu\HijackThis1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
O2 - BHO: (no name) - {BFB4EB30-513C-AF6C-DEDB-9970A1BFD3CD} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

enfin un espoir ...

moe · Answer

Salut

Pas grand chose dans le log.
Est ce que c'est ceci que tu avais sur ton bureau?
http://securityresponse.symantec.com/avcenter/venc/data/adware.topantispyware.html

-> Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"

Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
Workstation NetLogon Service
Double clic dessus et clic sur arreter puis dans :
type de demarrage --> selectionne désactivé.

Lance hijackthis et Fixe:
(cocher au début de chaques lignes valider avec fix checked)

O2 - BHO: (no name) - {BFB4EB30-513C-AF6C-DEDB-9970A1BFD3CD} - (no file)
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - - (no file)

Rechercher et supprimer si présent:

C:\Windows\System32\spoolsrv32.exe
C:\Windows\System32\srpcsrv32.dll
C:\Windows\System32\txfdb32.dll
C:\Windows\Web\desktop.html

Ensuite:

Fais un nettoyage des fichiers temps...etc avec ce programme:
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

ou manuellement:

Supprimer tout les fichiers à l'intérieur des dossiers suivants:

* C:\Temp
* C:\Windows\Temp
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* C:\Documents and Settings\tous les utilisateurs\Local Settings\Temp
* C:\Documents and Settings\tous les utilisateurs \Local Settings\Temporary Internet Files
* C:\Documents and Settings\tous les utilisateurs \Cookies

* Vider la corbeille !

-----------------------------
Puis:

Démarrer
- Panneau de configuration
- Affichage
- Bureau
- Personnalisation du bureau
- Web
- Décoche toutes les cases

---------------

reposte un log hijack pour vérifier l'évolution

Ne pas oublier après les manips de recocher " masquer les fichiers protégés du système" dans les options des dossiers

a+

siong · Answer

salut

si tu cherche seulement a changer ton wallpper
simple:
Avec acdsee je clic droite sur l'image que je visionne
en ce moment et choisi "papier paint".

Sinon pour cause de virus les conseils deja donner sont
amplement suffisant.

moe · Answer

salut geg

tu est sur que c'est bien par topantispyware que tu as été infecté ?
est ce que le wallpaper ressemblait à ceci:
http://securityresponse.symantec.com/avcenter/venc/data/adware.topantispyware.html

va sur cette clé: (si elle existe)
HKEY_CURRENT_USER\Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ clic droit sur System puis clic sur exporter

donne un nom a la sauvegarde et dans type choisis fichier texte

fais un copier coller de ce qui se trouve a l'interieur du fichier texte et poste le ici.

balltrap34 · Answer

desoler de m incruster
salut a tous les deux
tu dit que tu na plus d onglet dans panneau de config??????
quelle onglet
tu veut peut etre parler du gestionnaire de tache si c est le cas c est simple tu ouvre ton gestionnaire tu double clik sur le bord de celui ci

moe · Answer

salut balltrap

apparement le trojan desactive les onglets bureau, themes.. dans les proprietes d'affichage.
C'est nouveau ca!

pour geg:
apparement les 2 coupables sont:

NoDispBackgroundPage valeur 1 <- onglet bureau désactivé
NoDispAppearancePage valeur 1<- onglet apparence et theme désactivé

rend toi sur:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

dans la fenetre de droite double clic sur NoDispBackgroundPage et tu met 0 comme valeur
fais pareil pour NoDispAppearancePage

le changement devrait etre immediat, sinon redemarre le pc et dit nous si tu as retrouvé les fonction disparues.

a+

balltrap34 · Answer

oki merci moeont pourrait faire un petit reg pour y remedier

moe · Answer

salut à tous les deux

geg, content que ton probleme soit resolu !

c'est vrai qu'un reg, ce serait pas mal.
Dit moi ce que tu penses de ces 2.

Est ce qu'ils sont corrects, n'étant pas très familier des reg, j'aimerais que tu me donne ton avis ?

...................

Dans le cas ou seul l'utilisateur en cours n'a pas accès à l'onglet bureau, theme et apparence:

_______________________________

REGEDIT 4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage"=dword:00000000
"NoDispAppearancePage"=dword:00000000

___________________________

Dans le cas ou tous les utilisateurs en cours n'ont pas accès à l'onglet bureau, theme et apparence:
___________________________

REGEDIT 4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage"=dword:00000000
"NoDispAppearancePage"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"NoDispBackgroundPage"=dword:00000000
"NoDispAppearancePage"=dword:00000000

a+

moe · Answer

ok merci de la précisiona+

balltrap34 · Answer

salut moe
je pense que comme cela ont suppr direct
--------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"NoDispBackgroundPage"=-
"NoDispAppearancePage"=-
----------------------------------------------------------
la chasse et le balltrap ma vrai passion
voir site perso dans profil

moe · Answer

salut balltrapCa supprime directement les 2 valeurs ou ca les remets à 0 ?a+

balltrap34 · Answer

cela les suppr et tu retrouve tes onglets d origine je l ai tester en creent ces donnees avec valeur a 1mes onglets avait disparueapres utilisation du reg cela les vires et je les est retrouver

moe · Answer

merci pour la précision, c'est ma journée reg LOL

balltrap34 · Answer

oui c est pas evident de les comprendre je nage un peu aussi lol

kornichon · Answer

Salut!!Moi j'ai le meme probleme, j'ai tout suivi, et tout fait, mes onglets sont revenu, mais, mon fond d'ecran reste toujours noir.si quelqu'un a une idée?marchi d'avance!!

balltrap34 · Answer

oki kornichonutilise ceci et execute le http://pageperso.aol.fr/Balltrap34/Background.zipdouble clik dessus et confirme ensuite tu redemarre

moe · Answer

salut

est ce que tu as essayé ceci:
Démarrer
- Panneau de configuration
- Affichage
- Bureau
- Personnalisation du bureau
- Web
- Décoche toutes les cases

Puis essaye de mettre une image en fond

kornichon · Answer

c'est presque sa,mon fond d'ecran est revenu, mais, j'ai plus la gestion des .jpg (en fond d'ecran) et je peu plus les etiré, en fait c'est le meme pano que pour window 98.et j'ai voulu fair la personalisation du bureau, mais j'ai plus l'onglet bureau non plus.heu je vien de voir que j'ai aussi 2 icones "affichage" dans le pano de configuration

balltrap34 · Answer

quel soluce a tu utiliser

moe · Answer

tu as executé le reg de balltrap ?

kornichon · Answer

j'ai utiliser le reg, et j'avai aussi changer dans le regedit les clé dansHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\systemaprès avoir changer les clé, j'avai de nouveau les onglet (sauf celui "bureau") mais mon fond d'ecran était toujours noir, et après avoir lancer les reg j'avais de nouveau mon fond d'ecran

moe · Answer

essaye ceci:enregistre ce qui est en gras dans le bloc note en fix.reg par exemple.dans type selectionne tous les fichiers et enregistreWindows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "NoDispBackgroundPage"=- "NoDispAppearancePage"=-[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "NoDispBackgroundPage"=- "NoDispAppearancePage"=-lance fix.reg, tu devrais retrouver l'onglet bureau

kornichon · Answer

sa me dit "le fichier n'est pas un script de registre. vous ne pouvez importer que des script de registre"

moe · Answer

alors comme caREGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "NoDispBackgroundPage"=- "NoDispAppearancePage"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "NoDispBackgroundPage"=- "NoDispAppearancePage"=- Sinon deplace toi sur chaques clés et supprime ces 2 valeursNoDispBackgroundPageNoDispAppearancePage

kornichon · Answer

sa change rienpetite precision je suis pas sous Xp, mais sous ME(je sais beurk, mais c'est pas mon pc)

moe · Answer

j'avoue que là je sèche...En plus je connais pas ME

balltrap34 · Answer

moi non plussi ta restauration systeme est ok tente une restauration a une date avant le probleme

Lionel · Answer

SalutJ'ai le même problème que cité là-dessus (fond d'écran modifié, plus d'onglets Bureau ni Apparence), j'ai bien lu les conseils mais c'est où "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" ?? Merci d'avance

kornichon · Answer

bah c'est pas grave sa remarche presquemerci beaucoup!!A+

Impossible de changer mon wallpaper

32 réponses

Newsletters