virus Hawai

Question

Bonjour, 



Configuration: Windows XP / Firefox 3.6.8

depuis la fin mai j'ai mon ordi qui rame  et me plante très régulièrement. De plus au démarrage j'ai la page de firefox qui s'ouvre toute seule alors qu'avant ce n'était pas le cas.

le problème est que je n'y connais rien. Une connaissance de mon homme  a regardé très rapidement et m'a dit qu'il pensait que le "progamme hawai" devait me créer des problèmes.
mais il ne m'a pas donné de solutions ni où il l'avait trouvé. il m'a juste dit fait une bonne sauvegarde et reformate ton ordi.

avant d'en arriver là je voudrais savoir ce que je peux faire, 
pourriez-vous m'aider en m'expliquant pas à pas ce qu'il faut faire  car je n' y connais vraiment pas grand chose.

Merci d'avance pour votre aide

fred08700 · Answer

salut

on va regarder , fais ce diagnostique

&#9679 Télécharges ZHPDiag ( de Nicolas coolman ).

	&#9679 Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " )

	&#9679 Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau

	&#9679 Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner.

	&#9679 Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau.

	&#9679 Rends toi sur http://www.cijoint.fr/

	&#9679 Cliques sur " Parcourir " dans la partie " Joindre un fichier[...] "

	&#9679 Séléctionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau

	&#9679 Cliques ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

vinceric · Answer

merci déjà pour ta réponse rapide
donc j'ai fait ce que tu as dit 
voici le lien du scan
http://www.cijoint.fr/cjlink.php?file=cj201007/cijccJVNGT.txt

fred08700 · Answer

re

    * Télécharger et enregistrer lopSD sur ton bureau : http://www.malekal.com/tutorial_Lop_SD.php
    * Double-clic Lop S&D
    * Faire l'installation
    * Fermer toutes les applications
    * Le lancer par un double-clic sur le raccourci qui est sur le bureau

      * Avec VISTA => clic-droit et => Exécuter en tant qu'administrateur
    * Taper F pour français , puis presser entrée
    * Taper 1							
    * Presser Entrée							
    * Le PC va redémarrer							

      * Note= si l'antivirus annonce une infection dans TEMP , l'ignorer							
    * Attendre l'apparition du rapport							
    * Copier le rapport et le coller dans la réponse							


* le rapport se trouve aussi à C:\lopR

vinceric · Answer

alors voici le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201007/cijrTT9wLM.txt 

(je n'arrivais pas à le poster autrement

merci encore de ton aide même si je ne comprends rien  à tous ces rapports

fred08700 · Answer

Bien

le 1er rapport est un scan de diagnostique; Il permet de voir d'éventuelles infections et mises à jours à faire dans ton PC

le 2eme est un rapport spécifique à une infection LOP

* Relance Lop S&D			
						
* Choisis cette fois-ci l'option 2 (Suppression)			
									
* Ne ferme pas la fenêtre lors de la suppression !			
									
Poste le rapport généré (C:\lopR.txt)			

* (Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)

----------------------------------------------------  ensuite

  &#9679 Télécharges Malwarebytes			

   &#9679 Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.			

    &#9679 Fais la mise à jour du logiciel (elle se fait normalement à l'installation)			

    &#9679 Lance une analyse complète en cliquant sur "Exécuter un examen complet"			

    &#9679 Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"			

    &#9679 L'analyse peut durer un bon moment.....			

    &#9679 Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"		

    &#9679 Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"		

    &#9679 Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum		

&#9679 Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée		


Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.		
MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.

vinceric · Answer

alors voici les 2 rapports comme tu me l'a dit :

http://www.cijoint.fr/cjlink.php?file=cj201007/cijQb9ifac.txt

http://www.cijoint.fr/cjlink.php?file=cj201007/cijfzpTf1d.txt

il y avait un élément infecté

voilà pour le moment

fred08700 · Answer

ok

relances malwarebytes , quarantaine, sélectionnnes la détection et supprimes

et refais un scan ZHPdiag

vinceric · Answer

bon j'ai supprimé comme tu me l'as dit et j'ai relancé ZHPdiag
dont voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201007/cijwsvwJJU.txt

fred08700 · Answer

bonjour Utilisation de ZHPfix *fais un copié des lignes en gras suivantes ---------------------------------------------------------- O42 - Logiciel: DosPop Toolbar - (.Pas de propriétaire.) [HKLM] [HKCU\Software\TBSB09293] O43 - CFD:Common File Directory ----D- C:\Program Files\DosPop Toolbar O43 - CFD:Common File Directory ----D- C:\Program Files\WordUninstaller O47 - AAKE:Key Export SP - "C:\Program Files\BitDownload\BitDownload.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Program Files\BitDownload\BitDownload.exe O44 - LFC:[MD5.F293FE44D81DAC7177BBFFF31935E529] - 27/07/2010 - 15:15:32 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\lopR2.txt [17916] O47 - AAKE:Key Export SP - "D:\Documents and Settings\Virginie\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\ETGRLFQ4\incredimail_install[1].exe" [Enabled] .(.Pas de propriétaire - .) (.not file.) -- D:\Documents and Settings\Virginie\Loca O47 - AAKE:Key Export SP - "D:\Documents and Settings\Virginie\Bureau\incredimail_incredimail_build_3088_francais_10318.exe" [Enabled] .(.Pas de propriétaire - .) (.not file.) -- D:\Documents and Settings\Virginie\Bureau\incredimail_incredimail_build_3088 O63 - Logiciel: Hijackthis Version Française 1.99.0.1 - (.PC-HELP-BORDEAUX.) O64 - Services: CurCS - (.not file.) - nmconpid (nmconpid) .(.Pas de propriétaire - Pas de description.) - LEGACY_NMCONPID O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\IMApp.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Tray Application.) (.not file.) -- C:\Program Files\IncrediMail\bin\IMApp.exe O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\ImpCnt.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Content Importer.) (.not file.) -- C:\Program Files\IncrediMail\bin\ImpCnt.exe O47 - AAKE:Key Export SP - "F:\Program Files\IncrediMail\bin\IMApp.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- F:\Program Files\IncrediMail\bin\IMApp.exe O47 - AAKE:Key Export SP - "F:\Program Files\IncrediMail\bin\ImPackr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- F:\Program Files\IncrediMail\bin\ImPackr.exe O47 - AAKE:Key Export SP - "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [Enabled] .(.Logitech Inc. - .) (.not file.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O47 - AAKE:Key Export DP - "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [Enabled] .(.Logitech Inc. - .) (.not file.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe ---------------------------------------------------------- * Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-) * Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») * Le texte que tu as copié sera présent * Clique sur « Tous », puis sur « Nettoyer » * Copie/colle la totalité du rapport dans ta prochaine réponse ********************************* Pour supprimer les anciennes versions de Java et télécharger la nouvelle. Télécharge javara ==> suis bien le tutoriel ********************************* ● Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) Déconnecte toi et ferme toutes les applications en cours ● Double-clique sur l'icône AD-Remover ● Au menu principal, clique sur "Nettoyer" ● Confirme le lancement de l'analyse et laisse l'outil travailler ● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt ) (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. els de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

vinceric · Answer

alors j'espère avoir bien suivi tes explications

voici le 1er rapport :
http://www.cijoint.fr/cjlink.php?file=cj201007/cijWH6gees.doc

et voici le 2ème  :
http://www.cijoint.fr/cjlink.php?file=cj201007/cijMjSdzYa.txt

j'espère avoir réussi ta démarche

par contre j'ai toujours firefox  qui s'ouvre dès le démarrage
comment faire aussi?

merci

fred08700 · Answer

re

Tu t'es trompé a la 1ere partie . Tu as cliqué sur le A rouge au lieu de H dans ZHPfix

On recommence

Utilisation de ZHPfix => télécharges-le ici

*fais un copié des lignes en gras suivantes

----------------------------------------------------------
O42 - Logiciel: DosPop Toolbar - (.Pas de propriétaire.) [HKLM]
[HKCU\Software\TBSB09293]
O43 - CFD:Common File Directory ----D- C:\Program Files\DosPop Toolbar
O43 - CFD:Common File Directory ----D- C:\Program Files\WordUninstaller
O47 - AAKE:Key Export SP - "C:\Program Files\BitDownload\BitDownload.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Program Files\BitDownload\BitDownload.exe
O44 - LFC:[MD5.F293FE44D81DAC7177BBFFF31935E529] - 27/07/2010 - 15:15:32 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\lopR2.txt [17916]
O47 - AAKE:Key Export SP - "D:\Documents and Settings\Virginie\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\ETGRLFQ4\incredimail_install[1].exe" [Enabled] .(.Pas de propriétaire - .) (.not file.) -- D:\Documents and Settings\Virginie\Loca
O47 - AAKE:Key Export SP - "D:\Documents and Settings\Virginie\Bureau\incredimail_incredimail_build_3088_francais_10318.exe" [Enabled] .(.Pas de propriétaire - .) (.not file.) -- D:\Documents and Settings\Virginie\Bureau\incredimail_incredimail_build_3088
O63 - Logiciel: Hijackthis Version Française 1.99.0.1 - (.PC-HELP-BORDEAUX.)
O64 - Services: CurCS - (.not file.) - nmconpid (nmconpid) .(.Pas de propriétaire - Pas de description.) - LEGACY_NMCONPID
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\IMApp.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Tray Application.) (.not file.) -- C:\Program Files\IncrediMail\bin\IMApp.exe
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\bin\ImpCnt.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Content Importer.) (.not file.) -- C:\Program Files\IncrediMail\bin\ImpCnt.exe
O47 - AAKE:Key Export SP - "F:\Program Files\IncrediMail\bin\IMApp.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- F:\Program Files\IncrediMail\bin\IMApp.exe
O47 - AAKE:Key Export SP - "F:\Program Files\IncrediMail\bin\ImPackr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- F:\Program Files\IncrediMail\bin\ImPackr.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [Enabled] .(.Logitech Inc. - .) (.not file.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O47 - AAKE:Key Export DP - "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [Enabled] .(.Logitech Inc. - .) (.not file.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe


----------------------------------------------------------

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Le texte que tu as copié sera présent
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse 

****************************************

ensuite refais ceci , puisque tu l'as fais disparaitre

https://forums.commentcamarche.net/forum/affich-18633990-virus-hawai#1

vinceric · Answer

désolée pour la fausse manoeuvre 
alors j'ai refait le ZHPfix
voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201007/cijxSERFn4.doc

puis j'ai ré installer ZHPDIAG:
voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201007/cijAVWqEGN.txt

j'espère que ce coup-ci je l'ai bien réussi ce que tu m'a dit :)

fred08700 · Answer

bien

1) Tu n'as pas fais la mise à jour de java avec [ https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara javara]
==> important

2) supprimes ceci : DosPop Toolbar 

3) ensuite , on repasse deux outils
le 1er car une ligne de ton rapport ressemble à une infection navipromo
le 2è car tu fais du P2P

	    &#9679 Télécharges sur le bureau Navilog1 ( prendre le 2ème lien )				

	     &#9679 Si ton antivirus s'affole , le désactiver				

	    &#9679 sous vista : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur"				

	     &#9679 sous XP : double-clic dessus pour le lancer				

	     &#9679 taper F				

	    &#9679 Appuyer sur une touche pour arriver aux options				

	     &#9679 Choisir Recherche/Désinfection automatique ( = taper 1 )		

	     * un rapport : fixnavi.txt dans ==> C :		

	    * le copier et le coller dans la réponse		
			 
------------------------------------------------------------------

&#9679  télécharger  FindyKill (créé par Chiquitine29)     

     &#9679 Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.      

     &#9679  tutoriel recherche      

     &#9679 /!\ Ne fais pas le nettoyage tout de suite /!\      

     &#9679 Double clic sur le raccourci FindyKill sur ton bureau, l'installation se fera automatiquement     (sous vista/seven==> clique droit en tant qu'administrateur) 

    &#9679 Au menu principal,choisi l option 1 <gras>(Recherche)/gras>      

     * Postes le rapport FindyKill.txt       

 * Note : le rapport FindyKill.txt est sauvegardé à la racine du disque

vinceric · Answer

j'ai suivi le tuto pour java mais je 'ai pas le message de confirmation de la dernière version comment faire?

pour la 2 ème partie je suis allée dans "ajout et suppression de programme" j'ai bien trouvé DosPop Toolbar  mais lorsque je clique sur "modifier /supprimer" j'ai comme une page qui s'ouvre et se referme aussitôt sans pouvoir rien faire
comment dois-je faire avant d'attaquer la suite?

merci encore pour ta patience

fred08700 · Answer

salut

attaque la suite , on verra après -)

vinceric · Answer

salut,

alors j'ai fait la suite comme tu me m'a dit
voici les rapports:
http://www.cijoint.fr/cjlink.php?file=cj201007/cijgS2NhsI.txt

http://www.cijoint.fr/cjlink.php?file=cj201007/cij6ApXzzV.txt

je me suis arrêté à la recherche comme tu me l'as marqué

fred08700 · Answer

salut

refait un scan ZHPdiag

comment ce comporte le PC?

vinceric · Answer

bonjour,

je viens de refaire le scan avec ZHPdiag dont voici le rapport
http://www.cijoint.fr/cjlink.php?file=cj201007/cijR0my9FH.txt

pour ce qui est du PC il plante moins à pioris car je n'ose plus trop m'en servir
par contre j'ai toujours firefox qui s'ouvre au démarrage.

Merci encore pour ton aide

fred08700 · Answer

salut

Désinstalles:
 Ad-aware.
Toutes des versions de java et remets celle-ci : https://www.java.com/fr/download/


Utilisation de ZHPfix

*fais un copié des lignes en gras suivantes 

----------------------------------------------------------
O42 - Logiciel: DosPop Toolbar - (.Pas de propriétaire.) [HKLM]   
----------------------------------------------------------

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Le texte que tu as copié sera présent 
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

************************************

Pour augmenter Windows au démarrage:

* Ouvrez l'utilitaire de configuration système :
o Faites : démarrer ==> Exécuter ==> tapez msconfig
o Ensuite, allez sur l'onglet Démarrage, décocher les programmes qui vous semblent inutiles au démarrage de votre PC. Cela n'empêchera pas les programmes de s'exécuter quand vous en aurez besoin, mais permettra à votre PC de démarrer plus vite.

N'hésitez pas, vous pouvez relancer l'utilitaire pour réactiver un élément décoché par erreur. 

************************************

refais un scan ZHPdiag

vinceric · Answer

Bonjour,

désolée de ne pas avoir répondu plus tôt mais je ne me suis pas connecté à l'ordi depuis 3 jours.

alors j'ai effectué ce que tu m'as demandé voici les 2 rapports :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijP4WNC1v.doc

http://www.cijoint.fr/cjlink.php?file=cj201008/cijIC8ytrY.txt

j'espère ne pas avoir commis d'erreur en désinstallant java  peux-tu me le confirmer?

merci encore pour ton aide précieuse

bonne journée

fred08700 · Answer

bonjour

D'où viens ce rapport ZHPdiag ??

Il y a plus d'infections dedans qu'au début de la désinfection

vinceric · Answer

je viens de refaire le scan  
http://www.cijoint.fr/cjlink.php?file=cj201008/cijW1qs54w.txt 

j'ai navigue un peu sur internet pour voir les soldes mais je n'ai rien téléchargé et rien fait de spécial A si il y a eu la mise à jour incredimail est-ce cela qui aurait pu causer toust ça?
........ désolée

fred08700 · Answer

tu as réinstaller search settings

Search Settings fait partie des barres de recherche néfastes.
Il est souvent installé lors de l'installation d'un autre logiciel. Il est donc conseillé lors de l'installation d'un logiciel même connu (comme Foxit Reader...) de bien lire ce qui est noté lors de son installation et de décocher les cases proposant d'installer aussi ces barres de recherche comme Askbar, Dealio, Sweetim

tu as réinstaller DosPop Toolbar

surement en installant ceci : C:\Program Files\Application Updater\ApplicationUpdater.exe

● Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX)

Déconnecte toi et ferme toutes les applications en cours

● Double-clique sur l'icône AD-Remover
● Au menu principal, clique sur "Nettoyer"
● Confirme le lancement de l'analyse et laisse l'outil travailler
● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

<gras<Note :</gras> Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. els de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

vinceric · Answer

j'ai fait ad remover et voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201008/cijpqfKogL.txt
par contre je dois partir maintenant mùais je me reconnecte ce soir pour suivre tes instruc tions 

bonne journée et encore merci

fred08700 · Answer

bien

ne télécharges rien le temps de la désinfections , pour ne pas refaire ceci : https://forums.commentcamarche.net/forum/affich-18633990-virus-hawai?page=2#21

refais un scan ZHpdiag

vinceric · Answer

donc voici le dernier scan 
http://www.cijoint.fr/cjlink.php?file=cj201008/cij3C8qmc2.txt

à priori il y a encore quelque chose si je ne me trompe pas

fred08700 · Answer

tu ne te trompe pas -)

Utilisation de ZHPfix

*fais un copié des lignes en gras suivantes 

----------------------------------------------------------
O42 - Logiciel: DosPop Toolbar - (.Pas de propriétaire.) [HKLM]  
O42 - Logiciel: Search Settings v1.2.3 - (.Spigot, Inc..) [HKLM]    
O42 - Logiciel: Search Settings v1.2.3 - (.Spigot, Inc..) [HKLM]    
----------------------------------------------------------

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Le texte que tu as copié sera présent 
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

*******************************
Télécharge CCleaner version slim. 
* Installe le puis lance le. 
* va dans " options" ==> "avancés" et décoches " effacer uniquement ------24 heures" 
* Clique sur Nettoyeur => Analyse => Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche. 
* Enfin, clique sur Registre => corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs. 

Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois). 

********************************

refais un scan Rapide avec malwarebytes

********************************
installes ces deux extensions pour firefox 

wot permet de naviguer et d'acheter sur Internet en toute sécurité. 
adblocks qui est un bloqueur de pubs 

*******************************

Pour augmenter Windows au démarrage:

* Ouvrez l'utilitaire de configuration système :
o Faites : démarrer ==> Exécuter ==> tapez msconfig
o Ensuite, allez sur l'onglet Démarrage, décocher les programmes qui vous semblent inutiles au démarrage de votre PC. Cela n'empêchera pas les programmes de s'exécuter quand vous en aurez besoin, mais permettra à votre PC de démarrer plus vite.

N'hésitez pas, vous pouvez relancer l'utilitaire pour réactiver un élément décoché par erreur. 

*******************************

reposte un scan ZHPdiag

vinceric · Answer

alors sur la 1ère partie il y a eu un problème car il ne trouver pas une des sources

voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijYPacupj.doc

j'ai fait le reste dans le même ordre

voici le rapport le rapport de malwarebytes qui m'a trouvé 6 elements infectés :
http://www.cijoint.fr/cjlink.php?file=cj201008/cij6vQ9TXa.txt

donc voici le dernier scan :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijRFTtOo6.txt

fred08700 · Answer

relances malwarebytes

quarantaines et supprimes la détection

*********************************

recommences zhpfix

Utilisation de ZHPfix

*fais un copié des lignes en gras suivantes 

----------------------------------------------------------

O42 - Logiciel: DosPop Toolbar - (.Pas de propriétaire.) [HKLM]   
O42 - Logiciel: Search Settings v1.2.3 - (.Spigot, Inc..) [HKLM]    
O42 - Logiciel: Search Settings v1.2.3 - (.Spigot, Inc..) [HKLM]    

----------------------------------------------------------

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Le texte que tu as copié sera présent 
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

et supprimes des programmes 

Dos Pop toolbar et search setting

vinceric · Answer

bonjour,

quand je fais ce que tu me dis j'ai ce message qui s'affiche 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijK98OAfQ.doc

et je n'arrive pas à désinstaller les programmes que tu me dis.

encore merci de ta patience

fred08700 · Answer

salut

Mets tes anciens rapports zhpdiag et zhpfix à la corbeille puis vides-la

ensuite , refais un scan ZHPdiag , merci

vinceric · Answer

coucou 
alors voici le nouveau scan 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijN01ctEv.txt

fred08700 · Answer

Télécharge SEAF  de C_XX.
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

# Double clique sur SEAF.exe
Si sous Vista , click droit sur le fichier et choisir "éxécuter en tant qu'administrateur"

# Tape search setting *  dans la zone de recherche.
# Pour l'option Calculer le checksum, choisis MD5
# Sélectionne l'option " Chercher également dans la base de registre "

# Valide en cliquant sur " lancer la recherche "
# Laisse l'outil scanner.

Copie/Colle le rapport qui s'ouvrira dans ton prochain message 


fais de même avec Dos Pop *

vinceric · Answer

alors j'ai fait comme tu me l'as dit voici les 2 rapports:
http://www.cijoint.fr/cjlink.php?file=cj201008/cij745Mblr.txt

http://www.cijoint.fr/cjlink.php?file=cj201008/cijlPZamG4.txt

voilà j'espère ne pas mettre tromper

fred08700 · Answer

ouvres les dossiers cachés : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

va dans C:/ programm files et supprimes tout search setting et Dos pop toolbar

vinceric · Answer

bonjour,

même dans les dossiers cachés je ne les trouve pas.

je ne sais plus quoi faire?

merci encore de ta patience

fred08700 · Answer

salut

repasse Ad-remover

● Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX)

Déconnecte toi et ferme toutes les applications en cours

● Double-clique sur l'icône AD-Remover
● Au menu principal, clique sur "Nettoyer"
● Confirme le lancement de l'analyse et laisse l'outil travailler
● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

<gras<Note :</gras> Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. els de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

vinceric · Answer

bonsoir 

alors j'ai fait ad remover  dont voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201008/cij5AbxeQ1.txt

merci

fred08700 · Answer

salut
relances malwarebytes ( mets le à jour avant le scan)

https://forums.commentcamarche.net/forum/affich-18633990-virus-hawai#5

vinceric · Answer

salut

alors voici le dernier rapport de malwarebytes
http://www.cijoint.fr/cjlink.php?file=cj201008/cij4VcE0ZJ.txt
A priori il est bon si je ne me trompe pas :)

fred08700 · Answer

salut

bon , je ne parviens à supprimer Dospop et searchsetting , que tu as réinstallée entre le 31/7 et le 4/8

refais ceci

Télécharge SEAF  de C_XX.
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

# Double clique sur SEAF.exe
Si sous Vista , click droit sur le fichier et choisir "éxécuter en tant qu'administrateur"

# Tape Search Settings v1.2.3  dans la zone de recherche.
# Pour l'option Calculer le checksum, choisis MD5
# Sélectionne l'option " Chercher également dans la base de registre "

# Valide en cliquant sur " lancer la recherche "
# Laisse l'outil scanner.

Copie/Colle le rapport qui s'ouvrira dans ton prochain message 

idem avec DosPop Toolbar

vinceric · Answer

alors voici les 2 nouveaux rapprots le 1er pour search:
http://www.cijoint.fr/cjlink.php?file=cj201008/cijPHWhoWR.txt

et le 2ème pour dospop
http://www.cijoint.fr/cjlink.php?file=cj201008/cijgowBViQ.txt

voilà pour le moment

merci encore pour ton aide

fred08700 · Answer

re

[x] Télécharge OtMoveIt sur ton bureau.

[x] Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ".

:reg

[-HKEY_CLASSES_ROOT\Installer\Products\D82C50F59AED6DA47AA360145789E8BA]
[-HKEY_CLASSES_ROOT\Installer\Products\D82C50F59AED6DA47AA360145789E8BA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\D82C50F59AED6DA47AA360145789E8BA\InstallProperties]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5F05C28D-DEA9-4AD6-A73A-064175988EAB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TBSB09293.TBSB09293Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TBSB09293.TBSB09293.3]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TBSB09293.TBSB09293]
[-HKEY_CLASSES_ROOT\TBSB09293.TBSB09293.3]
[-HKEY_CLASSES_ROOT\TBSB09293.TBSB09293]

[HKEY_USERS\S-1-5-21-3897467498-3691818810-4210203564-1008\Software\Microsoft\Search Assistant\ACMru\5603]
"002"=-

[HKEY_USERS\S-1-5-21-3897467498-3691818810-4210203564-1008\Software\Microsoft\Search Assistant\ACMru\5604]
"001"=-

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604]
"001"=-

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"002"=-

:files

c:\Program Files\ZHPFix\Quarantine\*

:commands

[emptytemp]



[x] Clique maintenant sur " MoveIt! "

[x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.

Note : Le rapport est également sauvegardé sous C:\_OTM\MovedFiles 


==> puis refais un scan ZHPdiag

vinceric · Answer

bonsoir,

j'ai essaye de faire ce que tu m'as dit le soucis cela me plante l'ordi 
il tourne à fond et ne répond plus est-ce normal?

cela m'inquiète

fred08700 · Answer

Bonjour

désolé pour le retard. Refais un scan ZHPdiag , stp

on verra après pour OTM

vinceric · Answer

bonsoir,

désolée de ne pas t'avoir répondu plus tôt mais j'étais parti , je t'avais envoyé un MP poour t'avertir.

en tout cas merci encore de ta patience voici le scan :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijUtbHWwY.txt

merci encore

Virus Hawai

46 réponses

Votre réponse

Discussions similaires

Newsletters