Bonjour
Du ménage a été fait, mais il en reste.
Pour Clean, la version a légérement changé, il y a maintenant des options.
Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer
1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
rdrivRem.zip
http://www.geekstogo.com/forum/index.php?act=Attach&type=post&id=1778
Décompresse-le sur ton bureau
2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.
3 Relance un scan HijackThis et coche les lignes ci-dessous :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {371EE1EF-F177-1390-7807-08525DC0E55C} - C:\WINNT\system32\nweipeg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [HTML Help System] hhs.pif
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hrcopul.dll] "C:\WINNT\system32\rundll32.exe" "C:\Documents and Settings\Default User\Local Settings\Application Data\hrcopul.dll",vuljcec
O4 - HKLM\..\RunServices: [HTML Help System] hhs.pif
O4 - HKLM\..\RunServices: [sqvawaigtqdaycoayqiav] C:\WINNT\system32\rgutmlk.exe
O4 - HKCU\..\Run: [HTML Help System] hhs.pif
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunServices: [HTML Help System] hhs.pif
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O23 - Service: GCX Service - Unknown owner - C:\WINNT\gcxsrvc.exe (file missing)
O23 - Service: WindowsNT (MicsNT) - Unknown owner - C:\WINNT\winat.exe (file missing)
O23 - Service: Msdebugsrv1 (Msdebugsrv) - Unknown owner - C:\WINNT\dbg32hlp.exe (file missing)
O23 - Service: Microsoft Path Finder Service (MSpath) - Unknown owner - C:\WINNT\mspath.exe (file missing)
O23 - Service: sdktemp - Unknown owner - C:\WINNT\debughlp.exe (file missing)
O23 - Service: Windows Debugger - Unknown owner - C:\WINNT\sysnt.exe (file missing)
O23 - Service: WinMedia - Unknown owner - C:\WINNT\msmedia32.exe (file missing)
O23 - Service: Windows TCP Communication (wtcpcom) - Unknown owner - C:\WINNT\system32\wtcpcom.exe (file missing)
O23 - Service: Windows UPnP Service (wupnp) - Unknown owner - C:\WINNT\system32\wupnp.exe (file missing)
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
4 Ouvre le dossier rdrivRem.zip et exécute "rdrivRem.bat".
Appuie sur une touche quand l'outil t'y invite.
5 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
6 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
Dans la liste des services, cherche et sélectionne
"GCX Service" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "CC:\WINNT\gcxsrvc.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.
Recommence avec
WindowsNT et C:\WINNT\winat.exe
Msdebugsrv1 et C:\WINNT\dbg32hlp.exe
Microsoft Path Finder Service et C:\WINNT\mspath.exe
sdktemp et C:\WINNT\debughlp.exe
Windows Debugger et C:\WINNT\sysnt.exe
WinMedia et C:\WINNT\msmedia32.exe
Windows TCP Communication et C:\WINNT\system32\wtcpcom.exe
Windows UPnP Service et C:\WINNT\system32\wupnp.exe
7 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
C:\Documents and Settings\Default User\Local Settings\Application Data\hrcopul.dll
C:\WINNT\system32\nweipeg.dll
C:\WINNT\system32\rgutmlk.exe
C:\WINNT\system32\wtcpcom.exe
C:\WINNT\system32\wupnp.exe
C:\WINNT\dbg32hlp.exe
C:\WINNT\mspath.exe
C:\WINNT\debughlp.exe
C:\WINNT\sysnt.exe
C:\WINNT\msmedia32.exe
C:\WINNT\winat.exe
C:\WINNT\gcxsrvc.exe
hhs.pif --> Probablement dans C:\WINNT\system32 ou C:\WINNT
8 Lance le nettoyage avec CCleaner
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
9 Lance Clean
Lance l'option 2
10 Redémarre normalement
Poste un nouveau log HijackThis avec le rapport de rdrivRem et le rapport qui se trouve ici C:\rapport_clean.txt
