Victime du virus hadopi Résolu/Fermé

Question

Bonjour, 

Je vous écris avec mon deuxième ordinateur pour vous exposer mon problème: tout à l'heure je suis sortie de ma chambre, et quand je suis revenue, mon ordinateur affichait une page Hadopi me demandant de payer 100€ d'amende. Je sais que c'est un virus, mais là je panique, pour mon ordinateur oui, mais aussi parce que mon disque dur externe est branché à mon ordinateur infecté... j'ai bien peur qu'il soit infecté également, et surtout j'ai peur de perdre toutes mes données!
Le PC infecté est un Samsung, Windows 7, avec internet exploreur. 
Que dois-je faire? Un ami m'a dit de fermer le clapet du pc et de ne surtout pas brancher mon disque dur externe à une autre machine, ce qui me paraît certain mais pour le reste j'ai vraiment besoin d'aide !

Merci d'avance!

Configuration: Windows 7 / Internet Explorer 10.0

Utilisateur anonyme · Answer

Bonsoir 

Tu procèdes comme  pour accéder au mode sans échec mais tu choisis: 

Invite de commande en mode sans échec : 

Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne). 

regedit 

le registre s'ouvre  

déplie avec les petits "+"  

HKEY_CURRENT_USER  
\Software  
\Microsoft  
\Windows NT  
\CurrentVersion  
\Winlogon  

clique gauche sur winlogon  

tableau de droite , supprime la valeur shell  

ferme le registre, tape shutdown -r  

le pc va redémarrer normalement mais la désinfection n'est pas finie car nous avons juste supprimé le démarrage de l'infection, le fichier néfaste responsable est toujours sur ton ordinateur.  
Donc dès que tu es de nouveau en mode normal, reviens ici mettre un mot et on continue. 


@+  
  
           --------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

Céline70 · Answer

Bonsoir,

J'ai fais comme vous m'avez indiqué, tout s'est déroulé comme prévu.
Que dois-je faire maintenant ? Là je suis sur la page de démarrage, j'attends vos instructions pour rentrer mon mot de passe de session.

(du coup j'ai enlever mon disque dur externe quand mon pc était hors tension)

En tout cas merci!

Utilisateur anonyme · Answer

Re

Ouvre ta session;cela devrait fonctionner

Céline70 · Answer

Ma session s'ouvre correctement, à priori.
Je lance un scan ? (j'ai Panda antivirus)

Utilisateur anonyme · Answer

Re

Télécharge Malwaresbytes anti malware ici  
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's.   Sous Vista ;Seven ou Windows 8   (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

@+

Céline70 · Answer

Re,

Alors le scan a été très long.
Il m'a demandé de redémarrer, et c'est ce que j'ai fais. Mais là j'ai ouvert ma session et... écran noir. La souris bouge, mais il n'y a rien. Je redémarre en sans échec ?

Utilisateur anonyme · Answer

Re

Tu arrêtes ton PC.

Tu patientes un peu 

Tu démarres à nouveau ton PC


Tiens moi au courant;merci

@+

Céline70 · Answer

Re,

Alors cette fois-ci c'est un peu le contraire, j'ouvre ma session et l'écran 'Bienvenue' tourne à l'infini... 

Je commence à être fatiguée, est-ce grave si on continue demain ?

Merci en tout cas.

Utilisateur anonyme · Answer

Re 

Tu ouvres le gestionnaire de tâches >>fichier >>nouvelle tâche >> explorer.exe 
Et bien sur OK

@+  
           --------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

Céline70 · Answer

Re,

Pour faire ça je redémarre en mode sans échec ? Puisque je n'arrive pas à accéder au bureau.

Encore merci et à demain car je ne me sens pas de continuer ce soir.
@+

Céline70 · Answer

Bonjour,

Je n'arrive à faire cela qu'en mode échec, de ce fait je ne peux pas poster le rapport (enfin je ne vais pas tout recopier avec ce pc là...) 

En gros il y a eu: 
valeur du registre détectée: 1 (mis en quarantaine et supprimé avec succès)
fichier détectées: 4 -> tous mis en quarantaine et supprimés avec succès.

Utilisateur anonyme · Answer

Bonjour

Tu passes par le mode sans echec avec prise en charge réseau

Tu me postes le rapport de Malwaresbytes et ensuite :



Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, 

Double-clique sur l'icône pour lancer le programme.  Sous Vista ; Seven ou Windows 8 clic droit «  exécuter en tant que administrateur » 

 
Clique sur  la loupe avec le signe +   pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien: 
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload 
 https://www.cjoint.com/


Regarde sur le bureau
 
Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

Céline70 · Answer

Voici le rapport, je vais faire la suite alors.

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.03.29.14

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Céline :: CÉLINE-PC [administrateur]

Protection: Activé

29/03/2013 22:41:15
mbam-log-2013-03-29 (22-41-15).txt

Type d'examen: Examen complet (C:\|D:\|E:\|Q:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 376289
Temps écoulé: 1 heure(s), 14 minute(s), 43 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|webdev98 (Trojan.Agent) -> Données: C:\Program Files (x86)\qtreg.vbs -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\Users\Céline\AppData\Local\Temp\~tmp2989525936077164780.exe (Malware.Packer.SGX5) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Céline\AppData\Local\Temp\~tmp6802427277029773648.exe (Malware.Packer.SGX5) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Céline\AppData\Roaming\skype.dat (Malware.Packer.SGX5) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\qtreg.vbs (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

(fin)

Céline70 · Answer

Re,

Voici le rapport ZHPDiag:

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130330_c15u12i5d11k13

Celine70 · Answer

Bonjour,

J'imagine que vous devez être en famille, mais je me permets de relancer le sujet (repartant à Lyon pour la semaine sans le pc infecté...). 

Que faire pour que mon pc fonctionne en mode normal ?
Et concernant mon disque dur externe, comment devons-nous procéder ?

Encore merci pour le temps consacré à mon problème! en espérant que tout redeviendra normal

Utilisateur anonyme · Answer

Bonsoir

Je présume que le mode normal ne fonctionne toujours pas...

Tente une restauration à une date antérieure à ton infection;ensuite tu mets à jour ton PC.

Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.

On traite déjà le PC


@+

Utilisateur anonyme · Answer

Bonsoir

Il va falloir apprendre à se servir d'un moteur de recherche ;-)

http://www.chantal11.com/2010/05/restauration-systeme-a-une-date-anterieure-windows-7-8-10/

@+

Celine70 · Answer

Bonsoir,

J'ai fais la restauration, mis à jour le PC et les logiciels.
Et maintenant ?

Désolée de vous avoir pris pour mon moteur de recherche x) je suis en quelque sorte désespérée. Mais ça fait plaisir de voir son ordi fonctionner! Encore merci.

Utilisateur anonyme · Answer

Bonsoir

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 
Tu télécharges bien
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, 

Double-clique sur l'icône pour lancer le programme.  Sous Vista ; Seven ou Windows 8 clic droit «  exécuter en tant que administrateur » 

 
Clique sur  la loupe avec le signe +   pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien: 
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload 
 https://www.cjoint.com/


Regarde sur le bureau
 
Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

Utilisateur anonyme · Answer

Bonjour

Peux tu me fournir ce fichier
Merci de ta contribution 

C:\Program Files (x86)\qtreg.vbs

Pour transmettre le rapport clique sur ce lien : 

 
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload 
 https://www.cjoint.com/


Clique sur Parcourir et cherche le fichier : Nom_complet_du_fichier (Fichier demandé )
Clique sur Ouvrir. 

Clique sur "Envoyer le fichier". 

Un lien de cette forme : 

http://pjjoint.malekal.com/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.


@+

Utilisateur anonyme · Answer

Bonjour

A vendredi donc

@+

Utilisateur anonyme · Answer

Bonsoir

Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
-------------------------------------------------------------------------------------------------


O4 - HKCU\..\Run: [webdev98] . (...) -- C:\Program Files (x86)\qtreg.vbs    
O4 - HKUS\S-1-5-21-1125036280-3562319748-3601731155-1000\..\Run: [webdev98] . (...) -- C:\Program Files (x86)\qtreg.vbs    
O42 - Logiciel: QuickShare - (.Linkury Inc..) [HKLM][64Bits] -- {C881BB19-CEFC-4EF3-B012-CF7075CB7F65}    
[HKCU\Software\SmartbarBackup]
[HKCU\Software\SmartbarLog]
[HKCU\Software\Smartbar]
O43 - CFD: 19/01/2013 - 15:47:03 - [17,020] ----D C:\Users\Céline\AppData\Local\Smartbar
O87 - FAEL: "{9597DEDB-B842-4413-B06D-EA707437F53F}" | In - Private - P6 - TRUE | .(.SweetIM Technologies, Ltd. - SweetIM Installer.) -- C:\Users\Céline\Downloads\SweetImSetup.exe
O87 - FAEL: "{C3442624-40DE-4BAA-9D8A-10C158090817}" | In - Private - P17 - TRUE | .(.SweetIM Technologies, Ltd. - SweetIM Installer.) -- C:\Users\Céline\Downloads\SweetImSetup.exe
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}]    
[HKLM\Software\Classes\CLSID\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}]    
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}]    
[HKLM\Software\Classes\CLSID\{CCB08265-B35D-30B2-A6AF-6986CA957358}]    
[HKLM\Software\Classes\CLSID\{E041E037-FA4B-364A-B440-7A1051EA0301}]    
[HKLM\Software\Classes\CLSID\{56561B2A-FB5D-363A-9631-4C03D6054209}]    
[HKLM\Software\Classes\CLSID\{CD92622E-49B9-33B7-98D1-EC51049457D7}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ae07101b-46d4-4a98-af68-0333ea26e113}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ae07101b-46d4-4a98-af68-0333ea26e113}]    
[HKLM\Software\Classes\CLSID\{ae07101b-46d4-4a98-af68-0333ea26e113}]    
[HKLM\Software\Classes\CLSID\{A717364F-69F3-3A24-ADD5-3901A57F880E}]    
[HKCU\Software\SmartbarBackup]
[HKCU\Software\SmartbarLog]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\QuickShare_RASAPI32]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\QuickShare_RASMANCS]
C:\Users\Céline\AppData\Local\Smartbar
C:\Users\Céline\AppData\LocalLow\Smartbar
C:\Users\Céline\AppData\Local\Temp\Smartbar
C:\Users\Céline\AppData\Local\Temp\GoogleToolbarInstaller1.log    
C:\Users\Céline\AppData\Local\Temp\GoogleToolbarInstaller2.log    
O42 - Logiciel: Bing Bar - (.Microsoft Corporation.) [HKLM][64Bits] -- {1AE46C09-2AB8-4EE5-88FB-08CD0FF7F2DF} 
O42 - Logiciel: Bing Rewards Client Installer - (.Microsoft Corporation.) [HKLM][64Bits] -- {61EDBE71-5D3E-4AB7-AD95-E53FEAF68C17}     
[HKCU\Software\Softonic] 
[HKLM\Software\ASK]     
O45 - LFCP:[MD5.44AFF1A340D8BB8968D4749273ED7A46] - 05/04/2013 - 21:24:18 ---A- - C:\Windows\Prefetch\BINGAPP.EXE-C298C7DD.pf     
O45 - LFCP:[MD5.536DB27188D14AE082E03C4FC8A36575] - 05/04/2013 - 21:24:29 ---A- - C:\Windows\Prefetch\BINGBAR.EXE-788F2989.pf     
O45 - LFCP:[MD5.88E75B57F5C562B3A303FE9F4248A6CB] - 05/04/2013 - 21:45:01 ---A- - C:\Windows\Prefetch\BINGSURROGATE.EXE-C49CE1F4.pf     
O61 - LFC: 05/04/2013 - 21:23:25 ---A- C:\Users\Céline\AppData\Local\Google\Toolbar\broker_metrics.xml   [10747]    
O61 - LFC: 05/04/2013 - 21:24:25 ---A- C:\Users\Céline\AppData\Local\Google\Toolbar Cache\7.4.3607.2246\fr	ranslate_languages.json.content   [1505]     
O61 - LFC: 05/04/2013 - 21:24:28 ---A- C:\Users\Céline\AppData\Local\Google\Toolbar Cache\7.4.3607.2246\fr	ranslate_element.js.content   [2337]     
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS] 
[HKLM\Software\Classes\Installer\Features\90C64EA18BA25EE488BF80DCF07F2FFD]     
[HKLM\Software\Classes\Installer\Products\90C64EA18BA25EE488BF80DCF07F2FFD]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\90C64EA18BA25EE488BF80DCF07F2FFD]     
[HKLM\Software\Wow6432Node\Classes\Installer\Features\90C64EA18BA25EE488BF80DCF07F2FFD]     
[HKLM\Software\Wow6432Node\Classes\Installer\Products\90C64EA18BA25EE488BF80DCF07F2FFD]     
[HKCU\Software\Softonic] 
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1AE46C09-2AB8-4EE5-88FB-08CD0FF7F2DF}]    
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32] 
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]     
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]    
O90 - PUC: "90C64EA18BA25EE488BF80DCF07F2FFD" . (.Bing Bar.) -- C:\windows\Installer\{1AE46C09-2AB8-4EE5-88FB-08CD0FF7F2DF}\icon_installer_ico 


FirewallRAZ
Emptytemp
EmptyCLSID


--------------------------------------------------------------------------------------------
* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur) 

* Clique sur l'icone représentant le presse-papier ("coller le presse-papier") 
le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v) 
* Clique sur le bouton GO pour lancer le nettoyage 
* Copie/colle la totalité du rapport dans ta prochaine réponse.

-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 



@+

Utilisateur anonyme · Answer

Bonjour

Poste moi un nouveau rapport ZHPDiag après l'avoir mis à jour
Merci

@+

Utilisateur anonyme · Answer

Re

As tu des soucis particuliers concernant le fonctionnement de ce PC? 
 
@+

Celine70 · Answer

Bonjour,

Non pas vraiment. Il fonctionne bien, il est juste un peu lent à ouvrir les documents word starter mais c'est plutôt commun comme problème.

Utilisateur anonyme · Answer

Bonsoir

On finalise 

 Télécharge DelFix de Xplode

Lance le.
Tu as 5 choix :

 Réactiver l'UAC
 Supprimer les outils de désinfection (cocher par défaut)
Effectuer une sauvegarde du registre
 Purger la restauration de système
Réinitialisation des paramètres usine

Tu coches ceux qui sont en gras 
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt 



Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
 
 @+

Utilisateur anonyme · Answer

Re

je te propose donc de mettre ce sujet en résolu

@+

Celine70 · Answer

Re,

Pour le PC c'est bon, par contre pour mon disque dur externe qui était branché au moment de l'infection, comment je procède ?
Merci.

Utilisateur anonyme · Answer

Re

Tu peux toujours analyser ton disque dur externe avec Malwaresbytes une fois ce dernier branché

@+

Victime du virus hadopi

29 réponses

Discussions similaires