Virus Hadopi Résolu

Question

Bonjour, mon pc est bloque page hadopi qui demande 100 euros ,je suis sur xp pro , help 



Configuration: Windows XP / Internet Explorer 8.0

g3n-h@ckm@n · Accepted Answer

salut le pc demarre en mode sans echec avec prise en charge reseau ? ou en invité de commandes ?

Archi34 · Answer

Salut  g3n-h@ckm@n,oui il démarre  en mode sans echec avec prise en charge réseau.

g3n-h@ckm@n · Answer

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Archi34 · Answer

Bon tout c est bien passe voici le rapport 


https://pjjoint.malekal.com/files.php?id=20130318_z6w9v8e10l7

g3n-h@ckm@n · Answer

tu ne l'as pas lancé de la session infectée....

Archi34 · Answer

Desole , mais impossible d acceder en mode sans echec avec reseau a la session infecte

g3n-h@ckm@n · Answer

t'aurais pu me le dire quand je t'ai posé la question lol ^^ 

supprime ce dossier : 

C:\Documents and Settings\All Users\Application Data\F4D55F32000181235AC5853CD151FC4E 

regarde si le pc redemarre ensuite sur la session infectée , et si oui repasse pre_scan de cette session infectée
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤

Archi34 · Answer

non toujours pas desole .

g3n-h@ckm@n · Answer

ok de la session pas infectée

 fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Archi34 · Answer

Bon  j ai telecharger mbam a l endroit indique , quand je l ai imstaller un message est apparu base des donnees perime de depuis 69 jours j ai fais la mise a jour est un message d erreur est apparu impossible de faire la mise a jour , j ai passe quand meme mbam et ilm a trouve 3 trucs , voici le rapport .
 
https://pjjoint.malekal.com/files.php?id=20130319_y13z12d7n5v7



merci.

g3n-h@ckm@n · Answer

tu dois pouvoir redemarrer de la session infectée maintenant et faire ce que je t'ai demandé au debut

Archi34 · Answer

j ai pu ouvrir la session normalement apres le scan , pas en mode sans echec , seul mon fond d ecran a disparu , voici le scan


https://pjjoint.malekal.com/files.php?id=20130319_p7x12y5d12g13

g3n-h@ckm@n · Answer

relance pre_scan , clique sur diag , heberge le rapport pre_diag et donne le lien

Archi34 · Answer

Ok voila le rapport

https://pjjoint.malekal.com/files.php?id=20130319_p10z148i14y5

g3n-h@ckm@n · Answer

desinstalle bitlord
desinstalle tout java

=====

 Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

 C:\Windows\system32\DRIVERS\update.sys 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

=============

selectionne ce texte , puis CTRL + C :

Kill::

search::
MEMIO.SYS 

Key::
[HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Alcmtr]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[QuickTime Task] 
[HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKCR\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}]   
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}]   
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKCR\Applications\BitLord.exe]
[HKU\S-1-5-21-1547161642-651377827-839522115-1003\Software\BitLord]     
[HKU\S-1-5-21-1547161642-651377827-839522115-1003\Software\YahooPartnerToolbar]     
[HKLM\Software\ASKINSTALLER]     
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\standardprofile\authorizedapplications\list]|[C:\Program Files\BitLord\BitLord.exe]
[HKLM\Software\Microsoft\windows\CurrentVersion\Uninstall\BitLord] 
[HKCR\Installer\Products\4EA42A62D9304AC4784BF238120601FF]

File|Fold::
C:\Program Files\jre-6u10-windows-i586-p-s.exe 
C:\Program Files\BitLord     
       
Clean::

MBR::

Reboot::       

 Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Archi34 · Answer

Salut  
https://www.virustotal.com/gui/file/32a686595710336a6bfd54c03f552ae39439611662f84ef5d24193ae5665c6f3 


Prescan a plante desole

attends je recommence car j avais pas bien lu desole

g3n-h@ckm@n · Answer

tu peux preciser ?

Archi34 · Answer

j avais pas desinstalle les 2 programmes desole , j ai refait


https://www.virustotal.com/gui/file/32a686595710336a6bfd54c03f552ae39439611662f84ef5d24193ae5665c6f3



et prescan a plante

g3n-h@ckm@n · Answer

tu peux preciser ?

Archi34 · Answer

j ai mis prescan en marche j ai selectione script la page c ouverte j ai efface car il y avait dessus https://www.virustotal.com/gui/file/32a686595710336a6bfd54c03f552ae39439611662f84ef5d24193ae5665c6f3


j ai mis ton texte en gras 


je l ai referme le scan a bloque avec ecrit ne repond pas

g3n-h@ckm@n · Answer

reessaie en mode sans echec

Archi34 · Answer

Voila en effet quand j ai cliaue sur script la page etait vierge j ai donc colle puis referme et ca a fonctionne voila le rapport 



https://pjjoint.malekal.com/files.php?id=20130320_r6i5q12s13e6


merci

g3n-h@ckm@n · Answer

ok encore des soucis ?

Archi34 · Answer

ca a l air defonctionner merci de ta patience si y a un souci je reviens , j attends ta reponse pour marquer en resolu bye

Archi34 · Answer

En fait il rame a fond il plante quand je veux telecharger des programme style mozilla , a et au fait comment je fais pour java ?

g3n-h@ckm@n · Answer

fais le menage tout est dedans :

https://gen-hackman.kanak.fr/

Archi34 · Answer

Par contre je suis oblige de le faire en mode sans echec car IE plante il m est impossible ne serait ce que de me connecter a ce site , par contre en mode sans echec ca va a 2000.

g3n-h@ckm@n · Answer

attends alors fais ca avant

&#9654 Télécharge : Gmer clique sur "Download EXE" et enregistre-le sur ton bureau

Desactive toutes tes protections : https://forum.pcastuces.com/default.asp

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.

Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

ensuite :

fais bien attention que toutes les cases à droites soient cochées , puis clique sur scan 

j'attends donc deux rapports hébergés

Archi34 · Answer

je suis entrain de passer GMER , c normal que C:\ soit pas coché que ce soit Quick scan ?

g3n-h@ckm@n · Answer

au premier scan oui

Archi34 · Answer

Voila , il a rien trouve 



 https://pjjoint.malekal.com/files.php?id=20130321_w5m6y6g7h13

g3n-h@ckm@n · Answer

recommence j'attendais deux rapports si tu lis bien

Archi34 · Answer

Pour le 2eme scan je coche quoi , C:\ ou quick scan ?

g3n-h@ckm@n · Answer

c:\

Archi34 · Answer

Bon à la fin du scan il a redemarre sur la session normale ( j aurais du faire f8 ) et le bureau a disparu pages noires entierement .  
je recommence ? je le ferme ?

bon le bureau vient d apparaitre le 2eme rapport se trouve ou stp ,

g3n-h@ckm@n · Answer

fais le menage

 https://gen-hackman.kanak.fr/

Archi34 · Answer

Voila le rapport delfix  

https://pjjoint.malekal.com/files.php?id=20130321_m15g14x14w8d6 

je continu
Alors je suis desole tu dois me maudir lol
quand je veux Télécharger Slowin' Killer j ai un message d erreur 404

g3n-h@ckm@n · Answer

passe à la suite

Archi34 · Answer

Total space cleaned: 688.87 MB
  voila je continu

Archi34 · Answer

Bonsoir , j ai pratiquement terminé , j'ai pas pu faire security-helpzone je le re essaye ?

il faut que je retelecharge java et adobe flash et rader je le fais où ?

g3n-h@ckm@n · Answer

oui :)

Archi34 · Answer

Salut desole je bossais , bon impossible de faire help zone meme en mode sans echec , et la session normale rame impossible de surfer

g3n-h@ckm@n · Answer

ok pas grave fais la suite :)

Archi34 · Answer

J ai tout fais sauf helpzone

g3n-h@ckm@n · Answer

ok tout est bon ?

Archi34 · Answer

Non la session rame à fond

g3n-h@ckm@n · Answer

precise ?

Archi34 · Answer

je peux pas surfer en session normale , ca ampute les pages de moitié et quand j ouvre IE ca met 1 h a s ouvrir puis ca plante complet .

g3n-h@ckm@n · Answer

c'est le "ca plante complet" que j'aimerais qui soit precisé"

merci

Archi34 · Answer

Pour me mettre sur la session normale il me faut 1 h , ensuite pour ouvrir IE 1h de plus et quand il s'ouvre quand je clique sur la page elle devient toute blanche en me disant que ça ne repond pas , et je suis obligé déteindre mon pc .

Ps : merci de ton aide .

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

Desactive tes protections : https://forum.pcastuces.com/default.asp

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix : 

Utilise Defogger pour désactiver temporairement les logiciels d'emulation :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le : clique sur "Disable" et fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

&#9654 !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

&#9654 n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

Archi34 · Answer

Salut voici le rapport combofix ;



https://pjjoint.malekal.com/files.php?id=20130327_w12d11g8y9s12

g3n-h@ckm@n · Answer

tu n'as pas pu installer la console de recupereration ?

Archi34 · Answer

Bonsoir il m'a pas demandé de l installer .

g3n-h@ckm@n · Answer

re

tu etais bien devant le pc pendant le scan ?

Archi34 · Answer

Effectivement je l ai quitté des yeux puis y a eu un message en anglais , me parlant de AVG 2011 j ai ouvert apres le scan dans les programmes et il y est pas .   

Je refais combofix en le gardant à vue ? 

peut etre je devrai telecharger un utilitaire pour desinstaller AVG proprement , non ?

g3n-h@ckm@n · Answer

voilà la page correspondante

https://www.avg.com/fr-fr/avg-remover

Archi34 · Answer

Re , j ai telecharger l utilitaire le 32bits et le 64bits car je ne sais pas les bits de ce pc , en passant le 64 un message apparait  





https://pjjoint.malekal.com/files.php?id=20130328_u7o6n11p15l5 

Je repasse combofix ?

g3n-h@ckm@n · Answer

bah c'est la 32 alors lol ^^

Archi34 · Answer

Je repasse combofix ?

g3n-h@ckm@n · Answer

ben ouais car là il avait bossé en fonctionnalités reduites....

Archi34 · Answer

Voila chef  le scan a duré pas loin de 1h


 https://pjjoint.malekal.com/files.php?id=20130328_o14d11d14d13x8

g3n-h@ckm@n · Answer

tu as deux XP d'installés ?

Archi34 · Answer

oui j ai l impression quand je demarre il me demande de choisir mais le 2 eme marche pas

g3n-h@ckm@n · Answer

fais ce menage et dis-moi quoi

 https://gen-hackman.kanak.fr/

Archi34 · Answer

Salut voila delfix
 https://pjjoint.malekal.com/files.php?id=20130329_m9x12r8u13r11

Archi34 · Answer

Ha oui j oublie ton lien helpone est mort j ai essaye avec mon autre pc.

g3n-h@ckm@n · Answer

pas grave fais la suite

Archi34 · Answer

Salut ton lien ne fonctionne plus 

https://gen-hackman.kanak.fr/

Archi34 · Answer

Salut , j'ai effectué le nettoyage tout à l'air de fonctionner , je marque le sujet résolu , je tiens à vous remercier , surtout g3n-h@ckm@n qui a beaucoup de patience , merci , à bientôt quoi que non lol , Bye-Bye .

papy 640 · Answer

moi aussi je suis bloque avec cette merde de hadopi je me demande pourquoi on peut pas se de débarraser  de cela 
si quelqu'un sait comment faire

tuco17 · Answer

Salut les amis

La version de malwarebytes en version Free fonctionne très bien
voici ce qu'elle m'a detectée: 

Processus mémoire détecté(s): 5
C:\ProgramData\rundll32.exe (Trojan.Agent.Gen) -> 920 -> Aucune action effectuée.
C:\ProgramData\rundll32.exe (Trojan.Agent.Gen) -> 3284 -> Aucune action effectuée.
C:\ProgramData\rundll32.exe (Trojan.Agent.Gen) -> 1800 -> Aucune action effectuée.
C:\ProgramData\rundll32.exe (Trojan.Agent.Gen) -> 2632 -> Aucune action effectuée.
C:\ProgramData\rundll32.exe (Trojan.Agent.Gen) -> 1456 -> Aucune action effectuée.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ctfmon.exe (Trojan.Agent.Gen) -> Données: C:\PROGRA~2\rundll32.exe C:\PROGRA~2\do29lo.dat,FG00 -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\ProgramData\do29lo.dat (Trojan.FakeMS) -> Aucune action effectuée.
C:\Users\michel cavé\7741144.dll (Trojan.FakeMS) -> Aucune action effectuée.
C:\ProgramData\rundll32.exe (Trojan.Agent.Gen) -> Aucune action effectuée.

(fin)

Flapouille · Answer

Si le virus hadopi fait que l'écran reste bloqué, figé ou écran blanc :

Au démarrage faire F8 
une fois dans  Restauration système sélectionner "Invite de commande en mode sans échec", une fenêtre de commande s'ouvre  :en validant à chaque fois par la touche Entrée taper successivement :
cd c:\ 
cd windows 
cd system32 
cd restore 
rstrui.exe 

Une nouvelle fenêtre s'ouvre il suffit alors de réinitialiser a la date voulue ( choisir une date avant que l'infection ai eu lieu )   

Après la réinitialisation l'ordinateur redémarre alors normalement il ne reste plus qu'à scanner l'ordinateur avec des anti-virus ou anti-malwares

juju666 · Answer

Bonjour à tous,

A l'attention de tous ceux qui auraient des difficultés à suivre les procédures et qui souhaiteraient avoir une aide personnalisée :

/!\ Créez votre propre topic en cliquant sur cette image /!\

 

Tous les rapports posté sur ce post seront supprimés pour des raisons de lisibilité.

Seuls les remerciements sont acceptés et bienvenus.

Merci de votre compréhension.

juju666 · Answer

Bonjour à tous,

A l'attention de tous ceux qui auraient des difficultés à suivre les procédures et qui souhaiteraient avoir une aide personnalisée :

/!\ Créez votre propre topic en cliquant sur cette image /!\

 

Tous les rapports posté sur ce post seront supprimés pour des raisons de lisibilité.

Seuls les remerciements sont acceptés et bienvenus.

Merci de votre compréhension.

makaladu76 · Answer

moi aussi je l'ai eu je suis sous Windows 7 j'ai appuyer sur le bouton fermer directement et après c'est revenue sur le bureau et comme j'avais des programme ouvert se dit fermer forcer ou annuler.
Vous appuyer le plus possible sur annuler et normalement c'est bon vous pouvez éteindre votre pc et le redémarrer normalement.
Quand vous aller redémarrer l'ordinateur faite un scan complaît moi je suis avec avast sa n'a pas prit beaucoup de temps.
Voila si vous avez des question pauser les moi.

Xkiki44 · Answer

Salut chui en gros bad la x_x c'est pas vraiment hadopi ou ses un virus qui se fai passé pour hadopi ??? :x

Virus Hadopi

77 réponses

Discussions similaires

Newsletters