re,
Si durant la procedure ci bas, il y a des etapes que tu n'as pas reussi a faire, merci de
continuer la procedure jusqu'au bout et de les signaler dans ta prochaine reponse.
1/Télécharge la version d'évaluation d'Ewido:
http://www.ewido.net/en/download/
Installe la et mets à jour.
Démarre Ewido avec l'icône qui se trouve sur ton Bureau.
Clique sur [color=#3333FF]Update Now[/color],
attend la fin de cette mise à jour,
puis ferme le programme.
2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html
3/
demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:
TheSearchAccelerator
Deskbar
Network Monitor
si ces programmes sont presents desinstallent les.
4/fais:
demarer executer services.msc repere Command Service
Double clic dessus ans le champs Statut du service met le sur [color=red]arrêté [/color]
dans le champs Type de démarrage met le sur [color=red]désactivé [/color] puis
Appliquer puis ok .
5/ fais la meme manip avec Network Monitor
6/maintenant on supprimer le service:
demarrer/executer/ cmd
execute cette commande qui est en citation sans le mot citation:
Citation :
sc delete cmdService
|
7/fais la meme manip avec Network Monitor
8/lance hijackthis en cliquant sur do a scan system only coche ces lignes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,winservnt32.exe
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [Microsoft Explorer] iexplorer.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_14.exe
O4 - HKLM\..\Run: [ntdll.dll] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_14.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_14.exe
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\RunServices: [Microsoft Explorer] iexplorer.exe
O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked
9/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:
Citation :
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés
Décocher la case : Masquer les extensions des fichiers dont le type est connu
Décocher la case : Masquer les fichiers protégés du système d'exploitation
cliquer sur "Appliquer"
cliquer sur le bouton "Appliquer à tous les dossiers" / OK
|
10/supprime ce qui est en gras:
C:\Program Files\ Deskbar<== tout le dossier
C:\Program Files\ Network Monitor<== tout le dossier
C:\WINNT\ RFNJVA<== tout le dossier
C:\Program Files\ TheSearchAccelerator<== tout le dossier
C:\\ nwnmff_14.exe<== le fichier
C:\\ kybrdff_14.exe<== le fichier
C:\\ dfndrff_14.exe<== le fichier
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ ibm00001.exe<== le fichier
C:\WINNT\system32\ msijavaup32.exe<== le fichier
C:\WINNT\web\ related.htm<== le fichier
C:\WINNT\system32\ javanet.exe<== le fichier
C:\WINNT\system32\ msjava.exe<== le fichier
C:\WINNT\system32\ xpjavams.exe<== le fichier
C:\WINNT\system32\ wunosjava.exe<== le fichier
C:\WINNT\system32\ creative.exe<== le fichier
C:\WINNT\system32\ netapi.exe<== le fichier
C:\WINNT\system32\ msguard.exe<== le fichier
C:\WINNT\system32\ javaapplets.exe<== le fichier
C:\WINNT\system32\ jconsole.exe<== le fichier
C:\WINNT\system32\ winservnt32.exe<== le fichier
11/
Citation :
demarrer,rechercher,clique sur tous les fichiers et tout les dossiers, clique sur les deux petites fleches a cotes de options avancées
et coche rechercher dans les fichiers et dossiers cachés.
|
recherche (demarrer/rechercher) et supprime ce fichier si tu le trouves:
iexplorer.exe
12/ Relance Ewido et clique sur [color=#3333FF]Scanner [/color]
Puis sur l'onglets [color=#3333FF]Settings[/color], pour [color=#3333FF]How to Act [/color]sélèctionne [color=#3333FF]Quarantine[/color].
Reviens a l'onglet [color=#3333FF]Scan[/color] cliques [color=#3333FF]Complete system Scan[/color].
Le scan démarre.
A la fin cliquer sur [color=#3333FF]Apply all actions[/color]
Puis sur [color=#3333FF]Save report [/color]et pour finir [color=#3333FF]Save report as[/color] enregistrer sur le Bureau.
13/redemarre en mode normal
14/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.
bon courage, et si tu as la moindre question n'hesite surtout pas
@+
Message édité par the bruce lee le 31-08-2006 à 20:46:52