FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Chris05']

Bonsoir, j'ai reçu un virus hadopi hier soir, après avoir consulter différents tutoriaux, je viens vers vous pour obtenir de l'aide, n'étant pas un expert dans l'informatique.

j'ai déjà télécharger ZHPdiag pour le diagnostic de mon PC, ainsi que adwcleaner

Voici ci-dessus les différents rapports ci-dessous:

ZHPdiag: http://www.casimages.com/f.php?f=130713061249286369.txt

AdwCleaner: http://www.casimages.com/f.php?f=130713061335171057.txt

Je vous remercie d'avance pour votre aide!

[leserou]

Un virus Hadopi ??? Tu veux dire le terrible virus de la Gendarmerie ?

[leserou]

Si oui, merci d'indiquer QUELLE VERSION du virus Gendarmerie as-tu contacté !

[2011N2]

Bonsoir,

Un virus Hadopi ??? Tu veux dire le terrible virus de la Gendarmerie ?
Je me permets de répondre moi-même : oui, ça paraît évident. ^^

Si oui, merci d'indiquer QUELLE VERSION du virus Gendarmerie as-tu contacté !
Je ne comprends pas trop le sens de la question non plus. Comment veux-tu qu'il sache "quelle version" a-t-il ? Peut-être que tu veux parler de la variante de l'infection.



Chris05, tout d'abord, pour mieux recevoir les réponses, tu peux t'inscrire au forum (plus d'informations ici).
Puis :

• Télécharge sur le bureau RogueKiller (par tigzy).
• Clique sur l'icône RogueKiller qui correspond à ta version de Windows (64 bits ou non) pour télécharger RogueKiller.
• Quitte tous les programmes en cours.
• Lance RogueKiller.exe
• Attends la fin du Prescan...
• Clique sur Scan.
• À la fin du scan, clique sur Rapport et copie/colle le contenu dans ta prochaine réponse.

Aide en vidéo : http://www.youtube.com/watch?v=YuwS6dMA ... e=youtu.be

Si tu as des questions, n'hésite pas à les poser !

@+

Gabriel.

[Chris05]

Bonsoir, voici le rapport:


RogueKiller V8.6.2 [Jul  5 2013] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Christ [Droits d'admin]
Mode : Recherche -- Date : 07/13/2013 20:40:23
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - TROUVÉ
[APPINIT][SUSP PATH] HKLM\[...]\Windows : AppInit_DLLs (c:\docume~1\alluse~1\applic~1\browse~1\23796~1.11\{16cdf~1\browse~1.dll [x]) - TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Inline] SSDT[199] : NtRequestPort @ 0x805E6AFF - HOOKED (Unknown @ 0xB9FBECA0)
[Inline] SSDT[200] : NtRequestWaitReplyPort @ 0x8057D153 - HOOKED (Unknown @ 0xB9FBED40)
[Inline] SSDT[260] : NtTraceEvent @ 0x80549B20 - HOOKED (Unknown @ 0xB9FBEC00)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1       localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3200822A +++++
--- User ---
[MBR] 9d1a1b59e0ffe71ef2567d14e0cdec59
[BSP] 6c96a713c4ef00d22ca2115bb0ccfdb8 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 190771 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :


Merci!

[2011N2]

Re,

Bien.
Une question : est-ce que l'infection est toujours visible ?

• Quitte tous les programmes en cours.
• Relance RogueKiller.exe.
• Attends la fin du Prescan...
• Clique sur Scan.
• À la fin du scan, clique sur Suppression.
• Patiente...
• À la fin de la suppression, clique sur Rapport et copie/colle le contenu dans ta prochaine réponse.

Aide en vidéo : http://www.youtube.com/watch?v=v83OWU-F ... e=youtu.be

Si tu as des questions, n'hésite pas à les poser !

@+

Gabriel.

[Chris05]

RogueKiller V8.6.2 [Jul 5 2013] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Christine [Droits d'admin]
Mode : Suppression -- Date : 07/13/2013 20:57:56
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - REMPLACÉ (0)
[APPINIT][SUSP PATH] HKLM\[...]\Windows : AppInit_DLLs (c:\docume~1\alluse~1\applic~1\browse~1\23796~1.11\{16cdf~1\browse~1.dll [x]) - REMPLACÉ ()

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Inline] SSDT[199] : NtRequestPort @ 0x805E6AFF - HOOKED (Unknown @ 0xB9FBECA0)
[Inline] SSDT[200] : NtRequestWaitReplyPort @ 0x8057D153 - HOOKED (Unknown @ 0xB9FBED40)
[Inline] SSDT[260] : NtTraceEvent @ 0x80549B20 - HOOKED (Unknown @ 0xB9FBEC00)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3200822A +++++
--- User ---
[MBR] 9d1a1b59e0ffe71ef2567d14e0cdec59
[BSP] 6c96a713c4ef00d22ca2115bb0ccfdb8 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 190771 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :
RKreport[0]_S_07132013_204023.txt;RKreport[0]_S_07132013_205555.txt

voilà!

[2011N2]

Re,

Bien.
Donc, est-ce que l'infection est toujours visible ?

Si ce n'est pas le cas, la désinfection n'est pas terminée pour autant : il y a des restes.

Gabriel.

[Chris05]

Non, la page qui me bloquer l’accès à mon ordinateur n'est plus visible, si c'est de cela que vous me parler!

[2011N2]

Re,

Oui d'accord, c'est bien ça. (Et tu peux me tutoyer )

Peux-tu me faire un nouveau rapport ZHPdiag, en cochant "Tous" dans le tournevis, puis en cliquant sur la loupe à droite de ce dernier ?

Merci,

Gabriel.

[Chris05]

Rapport ZDHdiag:

http://cjoint.com/?3Gnwinh2kLs

[2011N2]

Re,

• Copie les lignes qui sont à l'intérieur de ce lien (Ctrl + A puis Ctrl + C) : https://dl.dropboxusercontent.com/u/328 ... hris05.txt
• Ouvre ZHPfix, icone seringue (Vista/7/8 : "Exécuter en tant qu'administrateur").
• Colle les lignes helpers si elles ne sont déjà présentes. Pour ce, clique sur la balise document (Coller le presse papier), à droite de l'appareil photo.
• Clique sur Go.
• Clique sur Oui pour confirmer le nettoyage des données.
• Copie le rapport, et colle-le dans la prochaine réponse sur le forum.

P.S. Si le bureau disparaît, fais Ctrl + Alt + Suppr afin d'ouvrir le gestionnaire des tâches puis dans Applications, clique sur Nouvelle tâche puis tape explorer.exe. Le bureau devrait normalent réapparaître.

/!\ Attention, ta corbeille va être vidée. Vérifie qu'il n'y ait aucun fichier supprimé par mégarde à l'intérieur. /!\

Aide en vidéo ici : http://www.youtube.com/watch?v=8gBWXPow ... e=youtu.be


Si tu as des questions, n'hésite pas à me les poser.

@+

Gabriel.

[Chris05]

Rebonsoir,

Rapport de ZHPFix 2013.6.12.3 par Nicolas Coolman, Update du 12/06/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-13-07-2013-23-25-35.txt
Run by Christine at 13/07/2013 23:25:35
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: SearchScopes :{88A9804E-ADF8-4C2E-A6F3-BFBEE7236A63}
SUPPRIME Key: HKLM\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
ERREUR Key: Service Legacy: LEGACY_VTOOLBARUPDATER15.3.0

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: nwiz
SUPPRIME RunValue: CTFMON.EXE
ABSENT RunValue: CTFMON.EXE

========== Préférences navigateur ==========
ABSENT Folder Chrome jpmbfleldcgkldadpdinhjjopdfpjfjp
ABSENT Folder Chrome dhkplhfnhceodhffomolpfigojocbpcb

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichier(s) ==========
SUPPRIME File: c:\documents and settings\christine\local settings\application data\google\chrome\user data\default\preferences
SUPPRIME File: C:\Documents and Settings\Christine\Application Data\cache.dat
SUPPRIME File***: c:\documents and settings\christine\application data\cache.dat
ABSENT File: c:\windows\prefetch\setup.exe-20c4ddf8.pf
ABSENT File: c:\windows\prefetch\setup.exe-26c4fa80.pf
ABSENT File: c:\windows\prefetch\28.0.1500.71_27.0.1453.116_ch-2e50bfa4.pf
ABSENT File: c:\windows\prefetch\setup.exe-2a0e742a.pf
ABSENT File: c:\windows\prefetch\windows-kb890830-v5.2.exe-1d045d0d.pf
ABSENT File: c:\windows\prefetch\start.exe-1939da06.pf
SUPPRIME File: c:\windows\prefetch\nostale.exe-38a95c41.pf
ABSENT File: c:\windows\prefetch\sandboxierpcss.exe-103febf2.pf
ABSENT File: c:\windows\prefetch\sandboxiedcomlaunch.exe-21aef5de.pf
SUPPRIME File: c:\windows\prefetch\nostalex.dat-2841e8c6.pf
ABSENT File: c:\windows\prefetch\video_hd.exe-0b1aa393.pf
ABSENT File: c:\windows\prefetch\mirc.exe-0661ec22.pf
ABSENT File: c:\windows\prefetch\cache.dat-2d761e85.pf
ABSENT File: c:\windows\prefetch\ctaudsvc.exe-112d8e00.pf
ABSENT File: c:\windows\prefetch\logon.scr-151efaea.pf
ABSENT File: c:\windows\prefetch\loggingserver.exe-0683e702.pf
ABSENT File: c:\windows\prefetch\sbiesvc.exe-3799e942.pf
ABSENT File: c:\windows\prefetch\toolbarupdater.exe-0fd3f06d.pf
ABSENT File: c:\windows\prefetch\update.exe-3644f9a6.pf
ABSENT File: c:\windows\prefetch\update.exe-33f16128.pf
ABSENT File: c:\windows\prefetch\soffice.bin-01e25e9c.pf
ABSENT File: c:\windows\prefetch\tumicr~1.exe-366024a8.pf
SUPPRIME File: c:\windows\prefetch\scripthelper.exe-0c45b165.pf
ABSENT File: c:\windows\prefetch\checkupdate.exe-2cea7976.pf
ABSENT File: c:\windows\prefetch\cthelper.exe-11b416d5.pf
SUPPRIME File: c:\windows\prefetch\ntosboot-b00dfaad.pf
ABSENT File: c:\windows\prefetch\sbiectrl.exe-08a5dcd7.pf
SUPPRIME File: c:\documents and settings\christine\local settings\temp\crx_75daf8cb7768\crl-set
SUPPRIME File: c:\documents and settings\christine\local settings\temp\crx_75daf8cb7768\manifest.json
SUPPRIME File: c:\documents and settings\christine\local settings\temp\cam.bmp
SUPPRIME File: c:\documents and settings\christine\local settings\temp\toolbar_log.txt
ABSENT Folder/File: c:\documents and settings\christine\local settings\application data\software
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
3 : Clé(s) du Registre
3 : Valeur(s) du Registre
1 : Dossier(s)
37 : Fichier(s)
2 : Préférences navigateur
1 : Restauration Système


End of clean in 00mn 10s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 13/07/2013 23:25:35 [3721]

[2011N2]

Re,

Ok.

Après ce qui suit, il nous restera plus qu'à finaliser.

• Télécharge MalwareBytes' Anti-Malware à cette adresse.
• Enregistre-le sur ton bureau.
• Double-clic sur le fichier téléchargé pour lancer le processus d'installation (Si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte)
• Une fois le logiciel installé et lancé, va dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour.
  Fais le plusieurs fois jusqu'à ce qu'il te dise que tu possèdes la dernière version de base de données.
  
  Une fois la mise à jour terminée :
• Rends-toi dans l'onglet "Recherche" .
• Sélectionne Exécuter un Examen complet.
• Sélectionne Tous les disques si proposé.
• Clique sur Rechercher.
• Le scan démarre patiente, plusieurs heures de scan sont probables.
• À la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement, clique sur "Afficher les résultats" pour afficher tous les objets trouvés.
• Clique sur Ok pour poursuivre.
• Si des éléments ont été détectés, cliques sur Afficher les résultats.
• Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, ce qui va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
• Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
• Redémarre le pc s'il ne le fait pas lui même.
• Une fois redémarré double-clique sur Malwarebytes' AntiMalware.
• Rends toi dans l'onglet Rapport/logs.
• Tu cliques dessus pour l'afficher, colle son contenu dans ta prochaine réponse.

Aide en vidéo : http://www.youtube.com/watch?v=QYRwV6Z6 ... e=youtu.be

@+

Gabriel.

[Chris05]

Au bout d'une quarantaine de minutes, le scan s'est interrompu et l'ordinateur s'est arrêté.

il s'est redémarré automatiquement et m'indique sur une page que windows n'a pas démarré correctement. Un nouveau logiciel ou matériel peut être responsable de ce problème (sachant que je n'ai téléchargé que les logiciels que vous avez cités depuis le virus que j'ai eu sur mon ordinateur), que soit l'ordinateur de répond plus etc..

il me demande donc de choisir soit entre:
- le mode sans échec
- mode sans échec avec prise de réseau,
- invite de commande sous mode sans échec.
- Dernière bonne configuration connue
- Démarrer windows normalement

Peut importe lequel que je choisis parmi ces propositions, l'ordinateur se redémarre automatiquement et me fait revenir sur cette page..

Merci de votre aide.

[2011N2]

Salut,

Étrange.

Rien n'est branché en USB ?
Ça redémarre même lorsque tu tentes d'ouvrir l'invite de commande ?

Gabriel.

[Chris05]

bonsoir,

Rien n'est branché en USB et ça redémarre même en essayant d'ouvrir sous l'invite de commande.

[2011N2]

Re,

Arf.
Tu as un CD de Windows ?

Gabriel.

[Chris05]

Non, malheureusement.

[2011N2]

Re,

D'accord. Je vais te faire utiliser le live CD de Kaspersky pour tenter de récupérer Windows (je t'avouerai que je ne sais pas trop pourquoi il a planté d'un seul coup ). Pour ce, suis ce tutoriel : http://forum.malekal.com/kaspersky-live ... 35913.html

Si tu as des questions, dis le moi.

Gabriel.

[2011N2]

Où en-est votre problème ?

Deux solutions,

• Votre problème est résolu, dans ce cas pensez à nous en faire part.
• Votre problème est toujours d'actualité, merci de nous renseigner sur ce qui ne va pas, et donner des nouvelles régulièrement.
  
  
  À bientôt sur FEI !

[2011N2]

Bonjour,

Nous n'avons plus de nouvelle de l'auteur de ce sujet depuis plus de 10 jours. Nous considérons donc ce problème comme résolu ou abandonné par son auteur. La prochaine fois, merci de nous tenir au courant de l'évolution de votre problème, ou à faire un UP régulièrement !

Ce sujet est verrouillé, si vous souhaitez le reprendre, merci de contacter par message privé un membre de l'équipe de modération du forum.

À bientôt sur FEI !