Ready to 
Remove Home Search Assistant (French Translation)
Daniel Pass
September 4, 2004 11:36 AM ET in Tech
 |
Guide de suppression manuelle du hijack Home Search Assistant.
Adaptation française : http://www.echu.org
style='font-size:10.0pt;font-family:Verdana'>
Le
Ce hijack est aussi connu sous les noms de :
_ Only The Best
_ Home Search Extender
_ Shopping Wizard
_ res//****.dll/index.html#***** (ou simplement res .dll)
Par la suite, dans ce guide nous le nommerons Home Search Assistant (HSA).
Ce hijack est généralement considéré comme une nouvelle version de l’infâme CoolWebSearch (CWS), mais ne peut pas être réparé par les outils utilisés pour éradiquer CWS. Nous avons eût certains utilisateurs qui nous ont rapporté que HSA pouvait aussi infecter votre système en mode sans échec.
La plus grande difficulté pour supprimer Home Search Assistant, c’est que les noms de fichiers et les entrées trouvées par HJT, se renomment elles-mêmes après chaque redémarrage du PC. Nous pensons que les fichiers et les entrées se renomment à deux moments différents : l’un se déroule lorsque vous éteignez votre machine et mettez ainsi fin au processus en cours, l’autre lorsque les premiers processus sont lancés au démarrage de la machine.
Une première étape assez simple pour supprimer ce hijack, consiste à télécharger et à exécuter un programme appelé HSRemove.exe disponible à l’adresse :
http://www.hsremove.com/
Ce programme est réputé pour fonctionner dans de nombreuses situations. Cependant, il y a également de nombreux cas où il n’a pas fonctionné. Si HSRemove ne fonctionne pas chez vous, vous allez alors devoir enlever manuellement les fichiers et les entrées de votre système. À l’heure actuelle, nous employons un procédé qui consiste à casser le cycle de changement du nom par le hard-booting (forçage de la fermeture du système) de l’ordinateur. Il vous faudra forcer la fermeture du système pour arrêter l’ordinateur afin de tuer l’efficacité de ce hijacker. En d’autres termes, ne redémarrez pas l’ordinateur en choisissant Eteindre ou Redémarrer (N’oubliez pas que l’on suppose qu’il utilise un procédé de modification automatique du nom des fichiers lors du redémarrage).
Eteignez manuellement l’ordinateur, de l’une des façons suivante :
– Débranchez la prise d’alimentation au dos de votre l’ordinateur ou directement depuis la prise murale, attendre quelques secondes, puis la rebrancher (méthode violente pour l’alimentation, nous vous la déconseillons);
– Eteignez l’alimentation de votre machine grâce au bouton On/Off ou 0/I qui se trouve au dos sur le boîtier d’alimentation (certaines machines n’en n’ont pas) puis rallumez votre machine à l’aide de ce même bouton;
– Appuyez un certain temps sur le bouton de mise en route de votre machine qui se situe sur la façade de l’unité centrale afin de l’éteindre.
N’importe lesquelles de ces méthodes fonctionneront parfaitement. Toutefois il est à noter que sur les postes Dell ou Compaq, l’action sur le bouton de mise en route de la machine effectuera une fermeture en douceur de celle-ci, ce qui est justement ce que nous voulons éviter. Optez alors pour les deux autres solutions.
Avant la suppression manuelle
Avant de tenter de supprimer HSA, nous vous conseillons de télécharger un
Vous pouvez également utiliser notre antispyware en ligne, attention cependant car PestScan vous donnera les clefs et fichiers à supprimer mais ne le fera pas automatiquement, vous devrez donc le faire manuellement :
De plus, nous vous recommandons d’effectuer un scan de virus avec votre logiciel
Si vous n’avez vraiment pas de logiciel antivirus, vous pouvez toujours utiliser celui mit à disposition en ligne sur le site Echu.org :
Finallement, après avoir effectué tout ce qui vous a été proposé précédemment, vous pouvez maintenant procéder à la suppression manuelle de Home Search Assistant.
Nous utiliserons des exemples pour les noms d’entrées logger sous HJT durant le reste de l’explication. Toutefois les entrées et les noms de fichiers qui apparaitront dans votre log HJT seront probablement différents de ceux donnés en exemple. Aidez-vous des explications que je fournirais afin de déterminer quel sont vos entrées/fichiers liés à HSA.
Guide de suppression manuelle
Étape 1 – Téléchargez et installez le programme Hijack This.exe disponible ici :
Ensuite, téléchargez le programme about :Buster et décompressez le dans le même répertoire où vous avez placé le programme HJT (vous pouvez pour celà bien sûr, créer un dossier spécifique, sur le bureau par exemple) :
Veuillez tout de suite le tester. Vous n’avez pas besoin le laisser scanner jusqu’au bout, voyez juste si les commandes fonctionnent ou non. Si vous recevez un message d’erreur au sujet d’un fichier MSCOMCTL.OCX c’est que vous devez télécharger la mise à jour suivante :
Lancez ce programme, puis exécutez about :buster de nouveau pour voir si celà fonctionne. Si ce n’est pas le cas, ne vous inquiétez pas, vous pouvez continuer ce guide sans le programme.
Quand vous aurez installé ces programmes dans leur dossiers respectifs (lors de l’installation, il vous suffit de laisser le chemin d’installation donné par défaut), exécutez HJT puis appuyez sur le bouton Scan (voir figure 1 ci-dessous).
Appuyez sur le bouton Save Log (voir figure 2 ci-dessous) pour enregistrer le log, mais veuillez également l’imprimer. Vous pourrez utiliser cette copie afin de déterminer quelles entrées posent problème, et vous serez en mesure de comparer ceci à un second scan effectué en Mode sans échec, d’où l’utilité de cette impression. Une fois que cela est fait, quittez HJT.
 |
Voilà , ce que vous devriez trouver dans le fichier de log :
– Une multitude d’entrées R0 et R1 avec le même nom de DLL, suivi de /sp.html#xxxxx où x est un nombre aléatoire,
– Une entrée R3 – où par défaut le URLSearchHook est absent,
РUne entr̩e 02 BHO avec une DLL semblant al̩atoirement nomm̩ (habituellement 5 caract̬res, suivi du chiffre 32),
РUne entr̩e 04 HKLM..Run avec un EXE semblant al̩atoirement nomm̩ (de 4 ou 5 caract̬res comprenant souvent le chiffre 32),
– Une multitude d’entrées 04 HKLM..RunOnce avec un EXE semblant aléatoirement nommé (de 4 ou 5 caractères comprenant souvent le chiffre 32).
Attention : le ou les fichiers recherchés se situent uniquement dans winnt pour 2000 ou windows pour XP.
Par exemple :
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =
res//C:WINNTzxzgr.dll/sp.html#12802
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =
res//C:WINNTzxzgr.dll/sp.html#12802
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res//zxzgr.dll/index.html#12802
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
res//zxzgr.dll/index.html#12802
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
res//C:WINNTzxzgr.dll/sp.html#12802
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar =
res//C:WINNTzxzgr.dll/sp.html#12802
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
res//C:WINNTzxzgr.dll/sp.html#12802
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = res//zxzgr.dll/index.html#12802
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
res//C:WINNTzxzgr.dll/sp.html#12802
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
res//C:WINNTzxzgr.dll/sp.html#12802
R3 – Default URLSearchHook is missing
O2 – BHO: (no name) – {5EA09FEA-707B-FB28-AF23-9B7F1EA97C20} – C:WINNTmfcwz32.dll
O4 – HKLM..Run: [sdkql.exe] C:WINNTsdkql.exe
Dans ce cas, les fichiers qui sont la cause du problème sont :
C:WINNTSDKQL.EXE
C:WINNTzxzgr.dll
C:WINNTmfcwz32.dll
Voici un exemple des entrées 04 HKLM..RunOnce :
O4 – HKLM..RunOnce: [apisn.exe] C:WINNTapisn.exe
O4 – HKLM..RunOnce: [sysdl.exe] C:WINNTsystem32sysdl.exe
O4 – HKLM..RunOnce: [iehe.exe] C:WINNTsystem32iehe.exe
O4 – HKLM..RunOnce: [javaiz32.exe] C:WINNTjavaiz32.exe
O4 – HKLM..RunOnce: [winqe.exe] C:WINNTwinqe.exe
O4 – HKLM..RunOnce: [appxv32.exe] C:WINNTappxv32.exe
O4 – HKLM..RunOnce: [addji32.exe] C:WINNTaddji32.exe
O4 – HKLM..RunOnce: [iefj32.exe] C:WINNTiefj32.exe
O4 – HKLM..RunOnce: [ieif.exe] C:WINNTieif.exe
O4 – HKLM..RunOnce: [mswl.exe] C:WINNTsystem32mswl.exe
O4 – HKLM..RunOnce: [apioi32.exe] C:WINNTsystem32apioi32.exe
O4 – HKLM..RunOnce: [netgi.exe] C:WINNTsystem32netgi.exe
O4 – HKLM..RunOnce: [apiey32.exe] C:WINNTapiey32.exe
O4 – HKLM..RunOnce: [appxa.exe] C:WINNTappxa.exe
O4 – HKLM..RunOnce: [winvr.exe] C:WINNsystem32winvr.exe
O4 – HKLM..RunOnce: [mfcib32.exe] C:WINNTmfcib32.exe
O4 – HKLM..RunOnce: [atlvf.exe] C:WINNTatlvf.exe
O4 – HKLM..RunOnce: [winhj.exe] C:WINNTsystem32winhj.exe
On prêtera particulièrement attention aux entrées 04 HKLM..Run et HKLM..RunOnce dont le nom du processus et le nom du fichier sont identiques, par exemple :
O4 – HKLM..RunOnce: [winhj.exe] C:WINDOWSsystem32winhj.exe
Ceci vous donne une certaine idée de ce que vous devez rechercher dans votre fichier de log.
Étape 2 – Affichez sur votre ordinateur les dossiers et les fichiers cachés.
Dans n’importe quelle fenêtre Windows :
– Menu Outils, Options des dossiers…,
– Onglet Affichage,
Dans Paramètres avancés :
РCocher Afficher les fichiers et dossiers cach̩s,
РD̩cocher Masquer les extensions des fichiers dont le type est connu,
РD̩cocher Masquer les fichiers prot̩g̩s du syst̬me
Étape 3 – Si vous êtes sous Windows XP ou ME, désactivez l’option de restauration du système.
A partir du bureau :
РMenu D̩marrer, Param̬tres,
– Panneau de configuration,
РSyst̬me,
РOnglet Restauration du syst̬me,
РCochez la case D̩sactiver la restauration du syst̬me.
Étape 4 – A partir du bureau cliquez sur Démarrer puis sur Exécuter. Tapez ensuite “Services.msc” et dans la fenêtre Services de Windows, recherchez les services suivants :
– Pare-feu de Connexion Internet (ICF) / Partage de connexion Internet (ICS) (uniquement sous Windows XP)
РOuverture de session r̩seau
РAppel de proc̩dure distante (RPC)
Si vous trouvez un de ces services, faîtes un clic droit dessus avec la souris, puis choisissez Arrêter. De nouveau faîtes un clic droit, puis choisissez Propriétés, puis dans l’onglet général choisissez Type de démarrage : Désactivé. Ensuite fermez la fenêtre.
Si vous ne voyez aucuns des services corrompus, cités dans l’étape 4 de ce guide, veuillez suivre les procédures décrites ci-dessous :
Pour commencer, forcez la fermeture du système comme indiqué en haut de ce guide puis redémarrez en Mode sans échec. Si cette fois-ci, vous trouvez un des services listés précédemment, arrêtez le et désactivez le. Rendez vous ensuite à l’étape 7.
Si vous ne voyez toujours pas un des services référencés, redémarrez en Mode normal et téléchargez ce fichier :
Décompressez le dans le même répertoire que Hijack This, et exécutez get active services.vbs. Ce programme est écrit en Visual Basic. Votre logiciel antivirus est susceptible de vous alerter si la prise en charge des scripts VBS est active, si cela est le cas, indiquez à votre logiciel antivirus d’accorder l’exécution du script.
Le programme scannera vos services en cours d’exécution et génèrera un fichier texte appelé Active.txt.
Ouvrez ce fichier texte, pour rechercher un des trois services énumérés au dessus. Ils apparaîtront sous la forme :
Network Security Service: ½O.#ž,,,□õØÂ’□â
“C:WINDOWSipyt32.exe” /s
ou
Workstation NetLogon Service: ½O.#ž,,,□õØÂ’□â
“C:WINDOWSipyt32.exe” /s
ou
Remote Procedure Call (RPC) Helper: ½O.#ž,,,□õØÂ’□â
“C:WINDOWSipyt32.exe” /s
Le nom du fichier sera différent, et ressemblera aux entrées 04 RUN de votre log HJT.
Mais les caractères ASCII affichés après le nom du service sont un indice, que les services présents sont corrompus.
Dorénavant vous connaissez le nom du service qui cause problème sur votre machine. Retournez à l’étape 4 du guide, et rentrez de nouveau dans la fenêtre Services de Windows, et recherchez le nom du service que vous venez de trouver. Stoppez le et désactivez le comme indiqué plus haut.
Note : Certains utilisateurs nous ont rapportés avoir eut des problèmes dans l’utilisation de Active Script Process. Si c’est le cas pour vous aussi, vous avez la possibilité de corriger cela, par le biais de Hijack This. Exécutez HJT. Cliquez sur Config -> MISC TOOLS. Décochez que les options situées sous le bouton Generate StartupList Log, ensuite cliquez sur le bouton même. Générez le log, sauvegardez le en tant que fichier texte, et examinez le. C’est un log extrêmement long et détaillé, mais faîtes le défiler jusqu’à apercevoir la ligne Enumerating Windows NT/2000/XP services.
Cette section vous montrera tous les services actifs ou inactifs sur votre machine. Avec le log établi au démarrage de HJT, le service corrompu n’apparaîtra pas avec les étranges caractères après le nom. Cependant, cherchez les noms des mauvais services connus, et surveillez le fichier .exe rattaché à ces services. Si vous en voyez un, suivant le même type de nommage que HSA, rattaché à un service corrompu connu, c’est que vous avez découvert l’entrée à l’origine de vos problèmes.
Par exemple :
Remote Procedure Call (RPC) Helper : C:WINDOWSsystem32atlkb32.exe /s (autostart)
Si vous avez toujours des problèmes pour identifier le service corrompu, prenez le fichier généré par Get Active Services (ou bien la liste généré au démarrage par HJT), identifiez vous sur notre forum, et postez le log des services de votre machine, ainsi que le résultat du scan de HJT dans la partie Virus & Spam :
Ceci nous permettra de mieux vous aider et vous guider dans la suppression de ce service.
Étape 5 – Forcez la fermeture du système à l’aide d’une des méthodes décrites plus haut.
Étape 6 – Au moment ou votre l’ordinateur redémarre, pressez la touche F8 sur votre clavier. Vous accéderez à l’écran des options de démarrage avancé de windows. A l’aide des flèches haut/bas de votre clavier, choisissez l’option qui indique Mode sans échec (assurez-vous que vous choisissez bien celui-ci et non pas une autre option comme avec celle avec la prise en charge de réseau ou avec le message Invite de commande en mode sans échec). Ce menu variera selon la version de l’OS que vous utilisez. Pressez la touche Entrée, afin que l’ordinateur se lance en le mode sans échec. Selon votre ordinateur, ceci peut prendre plusieurs minutes.
Note : Sur certains ordinateurs, si vous pressez la touche F8 vous accéderez d’abord à un menu de choix de Boot propre à votre carte mère. Un menu vous permettant de choisir le dispositif de démarrage apparaîtra. Vous aurez le choix entre Floppy Drive, IDE Hard Drive, ATAPI CD-ROM, Removable Device, etc. Sélectionnez IDE Hard Drive, le menu disparaîtra, pressez à nouveau F8, pour accéder aux options de démarrage avancé, cités ci-dessus.
Étape 7 – Une fois que l’ordinateur a démarré en mode sans échec, lancez de nouveau un scan avec HJT, puis sauvegardez ce nouveau log. Comparez ce log avec celui que vous avez imprimé plus tôt. Si les fichiers qui apparaissent dans ce nouveau log ont été renommés, vous pourrez facilement les identifier, le tout est de comparer et de déterminer quelles sont les entrées R0, R1, 02 et 04 qui n’apparaissent pas dans le log imprimé. Autrement dit, si les noms des fichiers scannés sont à nouveau identiques, suivez alors les explications suivantes afin de déterminer lesquels sont probablement liés à votre problème. Les entrées R0 et R1 seront quasi évidentes (mais si vous n’êtes pas sûr, vous pouvez sélectionner toutes les entrées R0 et R1, puisqu’il est facile de les réinitialiser dans votre navigateur plus tard, elles correspondent par exemple au paramètre de la page de démarrage d’Internet Explorer). Les entrées 03 et 04 devront être sélectionnées en les identifiant grâce à leur nom. Vous pouvez utiliser un moteur de recherche comme
Echu.org vous en propose quelques uns :
Si vous avez des doutes sur un fichier suspect n’hésitez pas à nous contacter sur le forum :
Cochez les entrées R1, R2, 02 BHO, et les entrées 04 Run/RunOnce fautives.
Ensuite, quittez HJT, tout en restant en mode sans échec.
Étape 8 – Ensuite lancez le programme about :Buster. Veillez à télécharger la dernière mise à jour du programme. Scannez alors votre ordinateur en cliquant sur le bouton Start, et cliquez sur Ok. Il tentera d’identifier et de corriger les entrées R0 et R1 décrites ci-dessus, ainsi que tout les autres fichiers susceptibles d’être infectés sur votre ordinateur.
Étape 9 – Après avoir lancé about :Buster, vous devez vérifier que les fichiers dans le log de HJT ont bien été enlevés. Restez toujours en mode sans échec, cliquez sur l’icône Poste de travail, puis double cliquez sur l’icône représentant le disque dur principal (attention, ce n’est pas obligatoirement C). Créez un nouveau dossier (nommé quarantaine) qui servira à placer en quarantaine vos fichiers contaminés. À partir des entrées trouvées dans le log de HJT, vous pourrez retrouver le chemin des fichiers et des répertoires qui sont infectés.
Par exemple :
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =
res//C:WINNTzxzgr.dll/sp.html#12802
O2 – BHO: (no name) – {5EA09FEA-707B-FB28-AF23-9B7F1EA97C20} – C:WINNTmfcwz32.dll
O4 – HKLM..Run: [sdkql.exe] C:WINNTsdkql.exe
O4 – HKLM..RunOnce: [addji32.exe] C:WINNTaddji32.exe
Vérifiez que tous les fichiers infectés n’existent plus à l’endroit indiqué dans le log de HJT. Si l’un d’entres eux existe toujours, passez à l’étape 10. Autrement, allez directement à l’étape 11.
Étape 10 – Déplacez ces fichiers dans le dossier créé pour la mise en quarantaine (sur votre disque principal). Renommez toutes les extensions .dll en .ddd, et tous les .exe en .xxx. De cette façon, si vous mettez accidentellement un fichier sain en quarantaine, vous pourrez toujours le récupérer en le renommant et en le replaçant dans son dossier d’origine (consultez votre log imprimé de HJT pour déterminer le chemin exact tel qu’il était avant de l’avoir déplacé, ou bien consultez le fichier texte de votre log de HJT sauvegardé auparavant en prenant comme référence la date de création/modification.)
Étape 11 – Dans cette étape vous allez utiliser l’outil Regedit. Soyez très prudent, car si vous faîtes une erreur ici, cela peut sérieusement endommager votre système d’exploitation ! Pour effectuer une sauvegarde de la base de registre, allez dans registre, Exporter un clé du registre, dans étendue de l’exportation choisissez Tout. Choisissez maintenant le répertoire de destination de la sauvegarde de la BDR (pour plus de facilité, créez une disquette d’urgence, ou plus si nécessaire, à l’aide de l’outil de restauration et incluez y le fichier de BDR) puis cliquez sur Ok.
Donc toujours en mode sans échec, allez dans Démarrer, Exécuter, tapez “regedit” puis appuyez sur la touche Entrée.
Cliquez sur le signe + pour afficher le contenu d’un dossier, puis allez dans :
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
Sélectionnez les services qui sont dans la fenêtre de gauche pour apercevoir dans la fenêtre de droite toutes les entrées qu’ils contiennent. Recherchez les entrées nommées :
– Shared access
– NetLogon
– RpcSs
-__NS_Service
-__NS_Service_2
-__NS_Service_3
Évidemment, vous vous attendez à voir celle qui correspond au service que vous avez identifié dans l’étape 4, mais vérifiez tout de même chacune d’entre elles (prêtez particulièrement attention aux *.exe qui sont des processus). Si vous voyez l’une de ces entrées, alors effectuez un clic droit dessus puis Supprimer.
Maintenant allez dans :
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRoot
Et recherchez les entrées suivantes :
– LEGACY_SHAREDACCESS
– LEGACY_NETLOGON
– LEGACY_RPCSS
– LEGACY___NS_Service
– LEGACY___NS_Service_2
– LEGACY___NS_Service_3
Une nouvelle fois, vous vous attendez à voir celle qui correspond au service que vous avez identifié dans l’étape 4, mais vérifiez tout de même chacune d’entre elles (prêtez particulièrement attention aux *.exe qui sont des processus). Si vous voyez l’une de ces entrées, alors effectuez un clic droit dessus puis Supprimer.
Si vous n’arrivez pas à supprimer ces entrées, cela est peut-être dû à un problème de droits (permissions) sur le fichier. Pour cela rendez vous dans le répertoire du dit fichier, localisez le puis effectuez un clic droit dessus Propriété et donnez les droit à tous les utilisateurs sur ce fichier.
Note : Vous ne pourrez peut-être pas identifier toutes les entrées problématiques qui sont dans votre base de registre Windows, du fait que les informations disponibles à leurs sujets sur le net demandent de nombreuses mises à jours. De plus il est possible que vous ne trouviez pas tous les services énumérés précédemment, mais ne vous inquiétez pas cela ne vous empêche pas de passer à l’étape 12. À condition que vous ayez bien arrêté chaques services et que vous ayez mis en quarantaine les fichiers infectés. Les entrées parasitées de la base de registre ne provoqueront pas le retour du hijack HSA. Votre base de registre Windows contient probablement encore beaucoup d’entrées parasitées comme ceux identifiées par les différents logiciels que vous avez installés au début. Ne vous préoccupez pas de cela. Toutefois nous vous vous conseillons d’utiliser par la suite, des logiciels comme Easy Cleaner qui est disponible ici :
Étape 12 – Nettoyez les cookies et les fichiers temporaires d’Internet Explorer. Il existe différentes façons de procéder :
a – Allez dans Poste de travail puis faîtes un clic droit à l’aide la souris sur l’icône représentant votre disque principal, puis allez dans Propriété. Ensuite cliquez sur Nettoyage de disque.
b – Allez dans Démarrer, Exécuter puis taper “cleanmgr”. Choisissez ensuite le disque dur que vous voulez nettoyer.
c РUtilisez un programme de nettoyage d̩di̩ (une nouvelle fois Easy cleaner par exemple) pour nettoyer vos fichiers temporaires.
Étape 13 – Forcez de nouveau la fermeture du système (voir les indications données au début pour plus d’explications). Puis laissez-le redémarrer normalement.
Étape 14 – Lancez Internet Explorer, et vérifiez si le problème est résolu. Vous allez sûrement devoir réinitialiser votre page de démarrage.
A partir d’Internet Explorer :
– Menu Outils, Options Internet,
– Onglet Programmes
РCliquez sur R̩tablir les param̬tres Web.
Ensuite allez sur l’onglet Général pour choisir le site que vous voulez voir s’afficher au démarrage d’Internet Explorer, puis testez si cela fonctionne correctement, en naviguant sur d’autre sites Web (comme
Étape 15 – Quittez Internet Explorer et lancez HJT une dernière fois. Scannez encore et recherchez de nouveau toutes les entrées qui peuvent répondre aux critères de HSA. Si vous en trouvez, recommencez le processus. Si ce n’est pas le cas, quittez HJT et dites-vous :
On la enfin Bai*er cette Pu**ain de Me**de de Hijack !
Lâchez vous ça fait du bien ;-)
Si le problème persiste, les étapes 13 et 14 sont inutiles, inscrivez-vous sur le site Echu.org et parlez nous-en sur le forum de discussion Virus & Spam :
Note : Si vous êtes venu à bout de ce hijack, vous pouvez remarquer qu’il est toujours présent dans le panneau de contrôle Ajout/Suppression de programmes. Pour remédier au problème et le retirer du panneau de contrôle vous devrez utiliser Easy Cleaner une dernière fois.
Étape 16 – Modifiez de nouveau les options des dossiers :
Dans une fenêtre Windows :
– Menu Outils, Options des dossiers…,
– Onglet Affichage,
Dans Paramètres avancés :
РCochez Masquer les fichiers prot̩g̩s du syst̬me,
РLaissez d̩coche Masquer les extensions des fichiers dont le type est connu,
РLaissez d̩coch̩ Masquer les fichiers prot̩g̩s du syst̬me.
Cela vous donnera un meilleur aperçu de ce qui se trouve sur votre système.
Étape 17 – Si vous êtes sous Windows XP ou ME, réactivez l’option Restauration du système.
A partir du bureau :
РMenu D̩marrer, Param̬tre
РPuis Panneau de configuration, Syst̬me,
РOnglet Restauration du syst̬me,
РCochez la case Activer la restauration du syst̬me.
Et voilà s’en est fini de Home Search Assistant, vous pouvez retourner à une vie normale…
Crédits :
Article original de Dexter :
Adaptation française de Stephane Laumont [
Site Internet :
RSS