1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150
|
Etape 1
- Télécharger et installer les programmes suivants pour la désinfection
- Télécharge ATF-Cleaner (Atribune) http://www.atribune.org/ccount/click.php?id=1 enregistre ce fichier sur ton bureau
- Ewido http://www.ewido.net/en/download/
* Pendant l'installation
* Sur la page Additional Options
* Décoche Install background guardet et Install scan via context menu
Lance Ewido Security Suite. Clique sur Mise à jour La mise à jour faite quitte ewido
- LPSfix VF http://pchelpbordeaux.free.fr/logiciels.html
- The Hoster http://www.funkytoad.com/download/hoster.zip Dézippe ce fichier sur ton bureau
- winsockfix.exe http://www.softpedia.com/progDownl [...] 15337.html Enregistre ce fichier sur ton bureau
** Pour son utilisation voir en fin de rapport
Etape 2
- Vérifie dans AJout/Suppression de programmes la présence de
MediaLoads
WildTangent
- Désinstalles les si ils sont présents
Etape 3
* Hors connexion navigateur fermé ainsi que toutes les applications en cours
* Double clic sur hoster.exe
* Clique sur Restore Original Hosts ensuite sur Ok
Etape 4
- Lance LSP-fix
* coche la case devant Je sais ce que je fais
* Fais passer dans Supprimer tout ce qui a trait à fltmgr.dll Et surtout rien d'autre !!!
* Clique sur Fini
Etape 5
- Redémarre ton PC en mode sans échec Impératif !!!
- Relances Hijackthis, clique sur le bouton Scanner seuleument coche la case devant les lignes suivantes
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://yoursearch.ws/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://yoursearch.ws/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yoursearch.ws/browser/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yoursearch.ws/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yoursearch.ws/browser/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://yoursearch.ws/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://yoursearch.ws/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yoursearch.ws/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yoursearch.ws/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yoursearch.ws/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-s [...] stmpl1&fw=
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-s [...] stmpl1&fw=
R3 - Default URLSearchHook is missing
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Program Files\MediaLoads Enhanced\ME2.DLL
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINDOWS\system32\xpsp2fw.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [Search-Exe] "C:\Program Files\se\v11\se.EXE" /H
O4 - HKLM\..\Run: [PromulGate] "C:\Program Files\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Program Files\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [ICQ Net] C:\WINDOWS\winlogon.exe -stealth
O4 - HKLM\..\Run: [Cgtask Services] C:\WINDOWS\System32\cgtask.exe
O4 - HKCU\..\Run: [Windows Update Client ] C:\WINDOWS\system32\wuclient.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGo [...] /npwwg.cab
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGo [...] axchat.cab
O21 - SSODL: ltFMgTUv - {7056D935-DAFC-739F-36FE-977A81C16F6C} - C:\WINDOWS\System32\bgzpev.dll
- Clique sur Fixer obget
Etape 6
- Autorise l'affichage des fichiers et dossiers cachés de cette façon
Citation :
Poste de travail menu Outils - Option des dossiers onglet Affichage
Cocher Afficher les Fichiers et dossiers cachés
Décocher Masquer les fichiers protégés du système d'exploitation (recommandé)
Décocher Masquer les extensions dont le type est connu
clique sur Appliquer et Ok pour valider les changements
* Supprime les fichiers en gras suivants
C:\WINDOWS\System32\bgzpev.dll
C:\WINDOWS\system32\xpsp2fw.exe
C:\WINDOWS\winlogon.exe
C:\WINDOWS\System32\cgtask.exe
* Supprime les dossiers en gras suivants
C:\Program Files\MediaLoads
C:\Program Files\WildTangent
C:\Program Files\DelFin
C:\Program Files\DownloadWare
C:\Program Files\se
Etape 7
- Démarre ATF-Cleaner, coche
* Windows Temp
* Current User Temp
* All Users Temp
* Cookies
* Temporary Internet Files
* Prefetch
* Java Cache
* Recycle Bin
Clique sur Empty Selected et au message Done Cleaning sur Ok
Etape 8
- Fais un scan avec ewido
* Clique sur Scanner puis sur Scan complet du système
* Si des fichiers infectés sont trouvés, garde l'option par défaut Supprime avec la ligne Créer des copies de sauvegarde cryptées dans la quarantaine cochée
* A la fin du scan, Sauver le rapport
Etape 9
- Redémarre ton pc en mode normal, poste un nouveau rapport d'hijackthis, poste aussi le rapport d'ewido.
*** Si tu as des difficultés à te reconnecter aprés le passage de LSPfix
* Lance winsockfix.exe clique sur Fix Je le répéte ne te serts de winsockfix que si tu as une perte de connexion |
Partager