Virus Hawai

vinceric Messages postés 99 Statut Membre -  
vinceric Messages postés 99 Statut Membre -
Bonjour,



depuis la fin mai j'ai mon ordi qui rame et me plante très régulièrement. De plus au démarrage j'ai la page de firefox qui s'ouvre toute seule alors qu'avant ce n'était pas le cas.

le problème est que je n'y connais rien. Une connaissance de mon homme a regardé très rapidement et m'a dit qu'il pensait que le "progamme hawai" devait me créer des problèmes.
mais il ne m'a pas donné de solutions ni où il l'avait trouvé. il m'a juste dit fait une bonne sauvegarde et reformate ton ordi.

avant d'en arriver là je voudrais savoir ce que je peux faire,
pourriez-vous m'aider en m'expliquant pas à pas ce qu'il faut faire car je n' y connais vraiment pas grand chose.

Merci d'avance pour votre aide

46 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un ordinateur sous Windows XP avec Firefox 3.6.8 présente des ralentissements et des plantages, et Firefox se lance automatiquement au démarrage, avec une suspicion de logiciel malveillant.
Plusieurs interventions proposent des outils de diagnostic et de nettoyage, notamment ZHPDiag et Malwarebytes, pour détecter les menaces, supprimer les éléments indésirables et générer des rapports de diagnostic.
Des étapes complémentaires évoquent la suppression de barres d’outils comme DosPop et la vérification du navigateur et des extensions, avec des rapports à partager et des scans successifs.
D’autres éléments indiquent que la démarche repose sur la poursuite des analyses et la validation des rapports, afin de vérifier l’absence de menaces résiduelles et de prévenir de nouvelles intrusions.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    salut

    on va regarder , fais ce diagnostique

    ● Télécharges ZHPDiag ( de Nicolas coolman ).

    ● Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " )

    ● Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau

    ● Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner.

    ● Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau.

    ● Rends toi sur http://www.cijoint.fr/

    ● Cliques sur " Parcourir " dans la partie " Joindre un fichier[...] "

    ● Séléctionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau

    ● Cliques ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
    0
  2. vinceric Messages postés 99 Statut Membre
     
    merci déjà pour ta réponse rapide
    donc j'ai fait ce que tu as dit
    voici le lien du scan
    http://www.cijoint.fr/cjlink.php?file=cj201007/cijccJVNGT.txt
    0
  3. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    re

    * Télécharger et enregistrer lopSD sur ton bureau : http://www.malekal.com/tutorial_Lop_SD.php
    * Double-clic Lop S&D
    * Faire l'installation
    * Fermer toutes les applications
    * Le lancer par un double-clic sur le raccourci qui est sur le bureau

    * Avec VISTA => clic-droit et => Exécuter en tant qu'administrateur
    * Taper F pour français , puis presser entrée
    * Taper 1
    * Presser Entrée
    * Le PC va redémarrer

    * Note= si l'antivirus annonce une infection dans TEMP , l'ignorer
    * Attendre l'apparition du rapport
    * Copier le rapport et le coller dans la réponse

    * le rapport se trouve aussi à C:\lopR
    0
  4. vinceric Messages postés 99 Statut Membre
     
    alors voici le rapport:

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijrTT9wLM.txt

    (je n'arrivais pas à le poster autrement

    merci encore de ton aide même si je ne comprends rien à tous ces rapports
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    Bien

    le 1er rapport est un scan de diagnostique; Il permet de voir d'éventuelles infections et mises à jours à faire dans ton PC

    le 2eme est un rapport spécifique à une infection LOP

    * Relance Lop S&D

    * Choisis cette fois-ci l'option 2 (Suppression)

    * Ne ferme pas la fenêtre lors de la suppression !

    Poste le rapport généré (C:\lopR.txt)

    * (Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)

    ---------------------------------------------------- ensuite

    ● Télécharges Malwarebytes

    ● Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.

    ● Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

    ● Lance une analyse complète en cliquant sur "Exécuter un examen complet"

    ● Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

    L'analyse peut durer un bon moment.....

    ● Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

    ● Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

    ● Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    ● Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

    Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.
    MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.

    0
  7. vinceric Messages postés 99 Statut Membre
     
    alors voici les 2 rapports comme tu me l'a dit :

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijQb9ifac.txt

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijfzpTf1d.txt

    il y avait un élément infecté

    voilà pour le moment
    0
  8. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    ok

    relances malwarebytes , quarantaine, sélectionnnes la détection et supprimes

    et refais un scan ZHPdiag
    0
  9. vinceric Messages postés 99 Statut Membre
     
    bon j'ai supprimé comme tu me l'as dit et j'ai relancé ZHPdiag
    dont voici le rapport :
    http://www.cijoint.fr/cjlink.php?file=cj201007/cijwsvwJJU.txt
    0
  10. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    bonjour

    Utilisation de ZHPfix

    *fais un copié des lignes en gras suivantes

    ----------------------------------------------------------
    O42 - Logiciel: DosPop Toolbar - (.Pas de propriétaire.) [HKLM]
    [HKCU\Software\TBSB09293]
    O43 - CFD:Common File Directory ----D- C:\Program Files\DosPop Toolbar
    O43 - CFD:Common File Directory ----D- C:\Program Files\WordUninstaller
    O47 - AAKE:Key Export SP - "C:\Program Files\BitDownload\BitDownload.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Program Files\BitDownload\BitDownload.exe
    O44 - LFC:[MD5.F293FE44D81DAC7177BBFFF31935E529] - 27/07/2010 - 15:15:32 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\lopR2.txt [17916]
    O47 - AAKE:Key Export SP - "D:\Documents and Settings\Virginie\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\ETGRLFQ4\incredimail_install[1].exe" [Enabled] .(.Pas de propriétaire - .) (.not file.) -- D:\Documents and Settings\Virginie\Loca
    O47 - AAKE:Key Export SP - "D:\Documents and Settings\Virginie\Bureau\incredimail_incredimail_build_3088_francais_10318.exe" [Enabled] .(.Pas de propriétaire - .) (.not file.) -- D:\Documents and Settings\Virginie\Bureau\incredimail_incredimail_build_3088
    O63 - Logiciel: Hijackthis Version Française 1.99.0.1 - (.PC-HELP-BORDEAUX.)
    O64 - Services: CurCS - (.not file.) - nmconpid (nmconpid) .(.Pas de propriétaire - Pas de description.) - LEGACY_NMCONPID
    O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\IMApp.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Tray Application.) (.not file.) -- C:\Program Files\IncrediMail\bin\IMApp.exe
    O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\ImpCnt.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Content Importer.) (.not file.) -- C:\Program Files\IncrediMail\bin\ImpCnt.exe
    O47 - AAKE:Key Export SP - "F:\Program Files\IncrediMail\bin\IMApp.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- F:\Program Files\IncrediMail\bin\IMApp.exe
    O47 - AAKE:Key Export SP - "F:\Program Files\IncrediMail\bin\ImPackr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- F:\Program Files\IncrediMail\bin\ImPackr.exe
    O47 - AAKE:Key Export SP - "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [Enabled] .(.Logitech Inc. - .) (.not file.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O47 - AAKE:Key Export DP - "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [Enabled] .(.Logitech Inc. - .) (.not file.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe



    ----------------------------------------------------------

    * Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Le texte que tu as copié sera présent
    * Clique sur « Tous », puis sur « Nettoyer »
    * Copie/colle la totalité du rapport dans ta prochaine réponse

    *********************************

    Pour supprimer les anciennes versions de Java et télécharger la nouvelle.

    Télécharge javara

    ==> suis bien le tutoriel

    *********************************

    ● Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX)

    Déconnecte toi et ferme toutes les applications en cours

    ● Double-clique sur l'icône AD-Remover
    ● Au menu principal, clique sur "Nettoyer"
    ● Confirme le lancement de l'analyse et laisse l'outil travailler
    ● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    <gras<Note :</gras> Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. els de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    0
  11. vinceric Messages postés 99 Statut Membre
     
    alors j'espère avoir bien suivi tes explications

    voici le 1er rapport :
    http://www.cijoint.fr/cjlink.php?file=cj201007/cijWH6gees.doc

    et voici le 2ème :
    http://www.cijoint.fr/cjlink.php?file=cj201007/cijMjSdzYa.txt

    j'espère avoir réussi ta démarche

    par contre j'ai toujours firefox qui s'ouvre dès le démarrage
    comment faire aussi?

    merci
    0
  12. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    re

    Tu t'es trompé a la 1ere partie . Tu as cliqué sur le A rouge au lieu de H dans ZHPfix

    On recommence

    Utilisation de ZHPfix => télécharges-le ici

    *fais un copié des lignes en gras suivantes

    ----------------------------------------------------------
    O42 - Logiciel: DosPop Toolbar - (.Pas de propriétaire.) [HKLM]
    [HKCU\Software\TBSB09293]
    O43 - CFD:Common File Directory ----D- C:\Program Files\DosPop Toolbar
    O43 - CFD:Common File Directory ----D- C:\Program Files\WordUninstaller
    O47 - AAKE:Key Export SP - "C:\Program Files\BitDownload\BitDownload.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Program Files\BitDownload\BitDownload.exe
    O44 - LFC:[MD5.F293FE44D81DAC7177BBFFF31935E529] - 27/07/2010 - 15:15:32 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\lopR2.txt [17916]
    O47 - AAKE:Key Export SP - "D:\Documents and Settings\Virginie\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\ETGRLFQ4\incredimail_install[1].exe" [Enabled] .(.Pas de propriétaire - .) (.not file.) -- D:\Documents and Settings\Virginie\Loca
    O47 - AAKE:Key Export SP - "D:\Documents and Settings\Virginie\Bureau\incredimail_incredimail_build_3088_francais_10318.exe" [Enabled] .(.Pas de propriétaire - .) (.not file.) -- D:\Documents and Settings\Virginie\Bureau\incredimail_incredimail_build_3088
    O63 - Logiciel: Hijackthis Version Française 1.99.0.1 - (.PC-HELP-BORDEAUX.)
    O64 - Services: CurCS - (.not file.) - nmconpid (nmconpid) .(.Pas de propriétaire - Pas de description.) - LEGACY_NMCONPID
    O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\IMApp.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Tray Application.) (.not file.) -- C:\Program Files\IncrediMail\bin\IMApp.exe
    O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\ImpCnt.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Content Importer.) (.not file.) -- C:\Program Files\IncrediMail\bin\ImpCnt.exe
    O47 - AAKE:Key Export SP - "F:\Program Files\IncrediMail\bin\IMApp.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- F:\Program Files\IncrediMail\bin\IMApp.exe
    O47 - AAKE:Key Export SP - "F:\Program Files\IncrediMail\bin\ImPackr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- F:\Program Files\IncrediMail\bin\ImPackr.exe
    O47 - AAKE:Key Export SP - "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [Enabled] .(.Logitech Inc. - .) (.not file.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O47 - AAKE:Key Export DP - "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [Enabled] .(.Logitech Inc. - .) (.not file.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe


    ----------------------------------------------------------

    * Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Le texte que tu as copié sera présent
    * Clique sur « Tous », puis sur « Nettoyer »
    * Copie/colle la totalité du rapport dans ta prochaine réponse

    ****************************************

    ensuite refais ceci , puisque tu l'as fais disparaitre

    https://forums.commentcamarche.net/forum/affich-18633990-virus-hawai#1
    0
  13. vinceric Messages postés 99 Statut Membre
     
    désolée pour la fausse manoeuvre
    alors j'ai refait le ZHPfix
    voici le rapport :
    http://www.cijoint.fr/cjlink.php?file=cj201007/cijxSERFn4.doc

    puis j'ai ré installer ZHPDIAG:
    voici le rapport :
    http://www.cijoint.fr/cjlink.php?file=cj201007/cijAVWqEGN.txt

    j'espère que ce coup-ci je l'ai bien réussi ce que tu m'a dit :)
    0
  14. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    bien

    1) Tu n'as pas fais la mise à jour de java avec [ https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara javara]
    ==> important

    2) supprimes ceci : DosPop Toolbar

    3) ensuite , on repasse deux outils
    le 1er car une ligne de ton rapport ressemble à une infection navipromo
    le 2è car tu fais du P2P

    ● Télécharges sur le bureau Navilog1 ( prendre le 2ème lien )

    ● Si ton antivirus s'affole , le désactiver

    sous vista : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur"

    sous XP : double-clic dessus pour le lancer

    taper F

    ● Appuyer sur une touche pour arriver aux options

    ● Choisir Recherche/Désinfection automatique ( = taper 1 )

    * un rapport : fixnavi.txt dans ==> C :

    * le copier et le coller dans la réponse

    ------------------------------------------------------------------

    ● télécharger FindyKill (créé par Chiquitine29)

    ● Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.

    tutoriel recherche

    /!\ Ne fais pas le nettoyage tout de suite /!\

    ● Double clic sur le raccourci FindyKill sur ton bureau, l'installation se fera automatiquement (sous vista/seven==> clique droit en tant qu'administrateur)

    ● Au menu principal,choisi l option 1 <gras>(Recherche)/gras>

    * Postes le rapport FindyKill.txt

    * Note : le rapport FindyKill.txt est sauvegardé à la racine du disque
    0
  15. vinceric Messages postés 99 Statut Membre
     
    j'ai suivi le tuto pour java mais je 'ai pas le message de confirmation de la dernière version comment faire?

    pour la 2 ème partie je suis allée dans "ajout et suppression de programme" j'ai bien trouvé DosPop Toolbar mais lorsque je clique sur "modifier /supprimer" j'ai comme une page qui s'ouvre et se referme aussitôt sans pouvoir rien faire
    comment dois-je faire avant d'attaquer la suite?

    merci encore pour ta patience
    0
  16. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    salut

    attaque la suite , on verra après -)
    0
  17. vinceric Messages postés 99 Statut Membre
     
    salut,

    alors j'ai fait la suite comme tu me m'a dit
    voici les rapports:
    http://www.cijoint.fr/cjlink.php?file=cj201007/cijgS2NhsI.txt

    http://www.cijoint.fr/cjlink.php?file=cj201007/cij6ApXzzV.txt

    je me suis arrêté à la recherche comme tu me l'as marqué
    0
  18. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    salut

    refait un scan ZHPdiag

    comment ce comporte le PC?
    0
  19. vinceric Messages postés 99 Statut Membre
     
    bonjour,

    je viens de refaire le scan avec ZHPdiag dont voici le rapport
    http://www.cijoint.fr/cjlink.php?file=cj201007/cijR0my9FH.txt

    pour ce qui est du PC il plante moins à pioris car je n'ose plus trop m'en servir
    par contre j'ai toujours firefox qui s'ouvre au démarrage.

    Merci encore pour ton aide
    0
  20. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    salut

    Désinstalles:
    Ad-aware.
    Toutes des versions de java et remets celle-ci : https://www.java.com/fr/download/

    Utilisation de ZHPfix

    *fais un copié des lignes en gras suivantes

    ----------------------------------------------------------
    O42 - Logiciel: DosPop Toolbar - (.Pas de propriétaire.) [HKLM]
    ----------------------------------------------------------

    * Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Le texte que tu as copié sera présent
    * Clique sur « Tous », puis sur « Nettoyer »
    * Copie/colle la totalité du rapport dans ta prochaine réponse

    ************************************

    Pour augmenter Windows au démarrage:

    * Ouvrez l'utilitaire de configuration système :
    o Faites : démarrer ==> Exécuter ==> tapez msconfig
    o Ensuite, allez sur l'onglet Démarrage, décocher les programmes qui vous semblent inutiles au démarrage de votre PC. Cela n'empêchera pas les programmes de s'exécuter quand vous en aurez besoin, mais permettra à votre PC de démarrer plus vite.

    N'hésitez pas, vous pouvez relancer l'utilitaire pour réactiver un élément décoché par erreur.

    ************************************

    refais un scan ZHPdiag
    0
  21. vinceric Messages postés 99 Statut Membre
     
    Bonjour,

    désolée de ne pas avoir répondu plus tôt mais je ne me suis pas connecté à l'ordi depuis 3 jours.

    alors j'ai effectué ce que tu m'as demandé voici les 2 rapports :

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijP4WNC1v.doc

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijIC8ytrY.txt

    j'espère ne pas avoir commis d'erreur en désinstallant java peux-tu me le confirmer?

    merci encore pour ton aide précieuse

    bonne journée
    0
  • 1
  • 2
  • 3