Se connecter / S'enregistrer
Votre question

[Résolu] Au démarrage: Fichier: Setwallpaper.cmd

Tags :
  • Demarrage
  • Programme
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Octobre 2012 08:37:11

Bonjour, je viens de m'apercevoir que dans les executables lancés au démarrage de mon pc il y avait la commande Setwallpaper.cmd (c:/programdata/setwallpaper.cmd)
Pouvez vous me dire si ce programme est un malware, spyware ou virus et si oui, comment faire pour le supprimer
Merci d'avance pour vos réponses

Je rajoute la log hijackthis au cas ou:

http://cjoint.com/?BJConxZOPOD

trouvant le demarrage lent j'ai aussi fait ZHPDiag:

http://cjoint.com/?BJCosx6wSU5

Merci d'avance pour votre aide

Autres pages sur : resolu demarrage fichier setwallpaper cmd

a c 547 8 Sécurité
28 Octobre 2012 19:57:26

Bonsoir,

Tu as des adwares, des logiciels publicitaires sur ce pc, c'est possiblement lié à eux.

On va regarder :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    Contenus similaires
    a c 547 8 Sécurité
    28 Octobre 2012 22:38:20

    Re,

    Pour le moment je ne faisais qu'un scan du pc pour "voir", rien n'a été effectué, donc, soyez patient. ;) 

    Note : Nous déconseillons fortement le téléchargement via 01Net ou Softonic, car ces deux plateforme (entre autre) font du repackage de logiciels gratuits en y insérant des sponsors publicitaires, à lire :
    http://forum.security-x.fr/securite-generale/telecharge...

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - HijackThis 2.0.2 (inutile ici)
    - ZHPDiag 1.31 (idem)

    - Browser Manager (adware : logiciel publicitaire)


    2) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.


    3) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    PRC - [2012/10/10 12:24:19 | 002,309,656 | ---- | M] () -- C:\ProgramData\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe
    MOD - [2012/10/10 12:24:19 | 002,309,656 | ---- | M] () -- C:\ProgramData\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe
    MOD - [2012/10/10 12:23:16 | 002,068,504 | ---- | M] () -- c:\ProgramData\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll
    SRV - [2012/10/10 12:24:19 | 002,309,656 | ---- | M] () [Auto | Running] -- C:\ProgramData\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe -- (Browser Manager)
    IE - HKU\S-1-5-21-443397299-4067209624-941931316-1000\..\URLSearchHook: {8e5025c2-8ea3-430d-80b8-a14151068a6d} - No CLSID value found
    IE - HKU\S-1-5-21-443397299-4067209624-941931316-1000\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKU\S-1-5-21-443397299-4067209624-941931316-1000\..\SearchScopes,BrowserMngrDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKU\S-1-5-21-443397299-4067209624-941931316-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKU\S-1-5-21-443397299-4067209624-941931316-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=112842&tt=3612_1&babsrc=SP_ss&mntrId=48df6ca40000000000003e4bd674f9ce
    FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension [2012/10/10 21:44:57 | 000,000,000 | ---D | M]
    [2012/10/28 09:19:15 | 000,000,000 | ---D | M] (01NET.com) -- C:\Users\ASUS\AppData\Roaming\mozilla\Firefox\extensions\{8e5025c2-8ea3-430d-80b8-a14151068a6d}
    O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
    O3 - HKU\S-1-5-21-443397299-4067209624-941931316-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O4 - HKLM..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd File not found
    O8:64bit: - Extra context menu item: Télécharger avec Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm File not found
    O8 - Extra context menu item: Télécharger avec Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm File not found
    O20 - AppInit_DLLs: (c:\progra~3\browse~1\23787~1.43\{16cdf~1\browse~1.dll) - c:\ProgramData\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll ()
    O20 - AppInit_DLLs: (c:\progra~3\browse~1\22630~1.40\{16cdf~1\browse~1.dll) - File not found
    [2012/10/28 09:20:17 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Conduit
    [2012/10/28 09:20:01 | 000,000,000 | ---D | C] -- C:\Users\ASUS\AppData\Local\Conduit
    [2012/10/28 10:15:10 | 000,000,000 | ---- | M] () -- C:\END
    [2011/03/28 20:09:00 | 000,005,078 | ---- | C] () -- C:\ProgramData\bltofzsb.qlf
    [2012/09/06 12:04:22 | 000,000,000 | ---D | M] -- C:\Users\ASUS\AppData\Roaming\Babylon
    [2011/04/13 16:35:16 | 000,000,000 | ---D | M] -- C:\Users\ASUS\AppData\Roaming\OfferBox
    @Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:AB689DEA
    @Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:15024E60
    @Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:734E442A
    @Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:4CF61E54
    @Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:B88E99C8
    @Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:1198CD34

    :Files
    C:\ProgramData\Browser Manager

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    m
    0
    l
    29 Octobre 2012 07:02:54

    Bonjour,
    Après avoir lancé Adwcleaner, le pc a bien redémarré mais il reste sur un ecran noir, l'execution d'adwcleaner est elle longue?

    Scan terminé je posterais les logs ce midi.

    m
    0
    l
    29 Octobre 2012 13:12:58

    Bonjour,
    Voici la log du adwcleaner: http://security-x.fr/up/file.php?h=Ra1954e8cedfe23727f2...

    Par contre pour OTL, lorsque j'a cliquer sur correction cela m'a provoqué un ecran bleu ( plantage) et au redémarrage du PC, je ne trouve aucun fichier de log

    de plus depuis les première manip, lorsque j'ouvre IE j'ai maintenant une fenêtre "Gerer les modules complémentaires" qui s'ouvrent intempestivement.

    Merci encore
    m
    0
    l
    a c 547 8 Sécurité
    29 Octobre 2012 18:49:33

    Re,

    OK ;) 

    As-tu encore le souci au démarrage ?
    As-tu encore les alertes d'IE avec la gestion des modules ? et que demande-t-il si oui ?
    m
    0
    l
    29 Octobre 2012 19:44:47

    Re,
    Je trouve le démarrage de windows assez long mais ce n'est pas non plus rédibitoire.
    Je n'ai plus le souci pour IE ( j avais reglé le souci en reinitialisant les paramètres IE)
    m
    0
    l
    a c 547 8 Sécurité
    29 Octobre 2012 22:10:36

    Re,

    Ok, alors on conclus (parfois il faut quelques redémarrage après les manipulation pour retrouver une "normalité" )

    1) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstaller, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner.exe sur ton bureau.

    2) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    --------

    3) Mise à jour du système et des logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java(TM) 6 Update 31

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    (pense à ne pas accepter les offres comme McAfee security scan ou Chrome)


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

    -------------

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :


  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    m
    0
    l
    30 Octobre 2012 07:18:42

    Bonjour,
    Desinstallation de adwcleaner et de OTL Faites

    Par contre, lorsque je lance SXCU rien ne s'affiche à l'ecran.

    m
    0
    l
    a c 547 8 Sécurité
    30 Octobre 2012 10:37:17

    Re,

    Il nécessite quelques secondes pour se connecter et chercher les dernières mises à jour.
    Parfois les antivirus bloque ce processus, ce qui fait que rien n'apparait.

    Dans ce cas là, redémarre, désactive ton antivirus et relance l'application.
    m
    0
    l
    30 Octobre 2012 17:56:33

    Merci pour votre aide
    je passe donc a resolu
    m
    0
    l
    a c 547 8 Sécurité
    30 Octobre 2012 18:02:01

    Re,
    SXCU s'est lancé ? Tu as pu mettre à jour les logiciels ? C'est important, beaucoup d'infection utilisent des failles de sécurité en ce moment ;) 
    m
    0
    l
    30 Octobre 2012 18:08:22

    bonsoir, j'ai essayé de mettre a jour flash par l'intermediaire de SXCU mais rien ne se passe. (IE ne s'ouvre pas )
    m
    0
    l
    30 Octobre 2012 19:28:28

    Flash Mise à jour.
    Merci encore pour ton aide.
    m
    0
    l
    a c 547 8 Sécurité
    30 Octobre 2012 21:22:21

    [:hyunkel30]

    Bonne soirée.
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS