Infection Hadopi / Ukash / Reventon
Résolu
nono456
Messages postés
25
Statut
Membre
-
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
J'ai moi aussi chopé cette saloperie hier (27 juin 2013) sur mon ordi de travail, pourtant à jour (Windows XP pro SP3, Firefox, Java, AVG, tout ça à jour). D'après les divers forums que j'ai consultés, il semblerait s'agir de la variante Reventon du virus Hadopi / Ukash (la variante avec le logo Hadopi et la webcam)
J'ai suivi les instructions pour redémarrer depuis le CD Live Malekal et lancer RogueKiller (v8.6.1).
Il trouve Rans.Gendarme dans le registre mais n'arrive pas à le supprimer: lorsque je fais "suppression", il termine avec le statut [0x57] parametre incorrect pour la ligne Rans.Gendarme. Si je relance un scan il le trouve toujours et lorsque je redémarre l'ordinateur, le virus est toujours là et bloque l'ordi avec sa page incontournable.
Je ne trouve pas l'entrée de registre indiquée par RogueKiller lorsque je la cherche en suivant l'arborescence indiquée par Rogue Killer avec remote regedit. Je ne trouve d'ailleurs pas le chemin d'arborescence complet tel qu'indiqué par RogueKiller.
Quelqu'un pourrait-il m'indiquer d'autres opérations à tenter pour dénicher et supprimer cette sale bête?
Merci d'avance.
J'ai moi aussi chopé cette saloperie hier (27 juin 2013) sur mon ordi de travail, pourtant à jour (Windows XP pro SP3, Firefox, Java, AVG, tout ça à jour). D'après les divers forums que j'ai consultés, il semblerait s'agir de la variante Reventon du virus Hadopi / Ukash (la variante avec le logo Hadopi et la webcam)
J'ai suivi les instructions pour redémarrer depuis le CD Live Malekal et lancer RogueKiller (v8.6.1).
Il trouve Rans.Gendarme dans le registre mais n'arrive pas à le supprimer: lorsque je fais "suppression", il termine avec le statut [0x57] parametre incorrect pour la ligne Rans.Gendarme. Si je relance un scan il le trouve toujours et lorsque je redémarre l'ordinateur, le virus est toujours là et bloque l'ordi avec sa page incontournable.
Je ne trouve pas l'entrée de registre indiquée par RogueKiller lorsque je la cherche en suivant l'arborescence indiquée par Rogue Killer avec remote regedit. Je ne trouve d'ailleurs pas le chemin d'arborescence complet tel qu'indiqué par RogueKiller.
Quelqu'un pourrait-il m'indiquer d'autres opérations à tenter pour dénicher et supprimer cette sale bête?
Merci d'avance.
A voir également:
- Infection Hadopi / Ukash / Reventon
- Peerblock hadopi - Télécharger - Pare-feu
- Wawacity hadopi - Accueil - Outils
- Hadopi torrent ✓ - Forum Réseaux sociaux
- Hadopi? ✓ - Forum Téléchargement
- Infection - Forum Virus
6 réponses
salut l'entrée doit être
HKEY_USERS\TA-SESSION_ON_C(ou D ou E\Sortware\Microsoft\WINDOWS NT\CurrentVersion\Winlogon
et à droite supprimer la valeur shell
HKEY_USERS\TA-SESSION_ON_C(ou D ou E\Sortware\Microsoft\WINDOWS NT\CurrentVersion\Winlogon
et à droite supprimer la valeur shell
salut
sur cette page, malékal stipule que l'on peut démarrer en mode sans échec
https://www.malekal.com/virus-hadopi-gendarmerie-office-central-lutte/
je te joins 1 topic où malékal a supprimé reveton (la cle dans regedit etc...)
https://forums.commentcamarche.net/forum/affich-28021370-virus-hadopi-reventon
bonne continuation
@+
sur cette page, malékal stipule que l'on peut démarrer en mode sans échec
https://www.malekal.com/virus-hadopi-gendarmerie-office-central-lutte/
je te joins 1 topic où malékal a supprimé reveton (la cle dans regedit etc...)
https://forums.commentcamarche.net/forum/affich-28021370-virus-hadopi-reventon
bonne continuation
@+
Salut pourquoi vous ne faites pas un diagnostic avec OTLPE ..... ??
PS : pas de g3n, pas de juju, et pas de malekal non plus dès la semaine prochaine :)
.::. Contributeur Sécurité .::.
/!\ Absent du 29 juin au 22 juillet 2013 INCLUS /!\
PS : pas de g3n, pas de juju, et pas de malekal non plus dès la semaine prochaine :)
.::. Contributeur Sécurité .::.
/!\ Absent du 29 juin au 22 juillet 2013 INCLUS /!\
Tu peux virer tous les fichiers qui sont dans C:\Documents and Settings\All Users\Application Data\
Juste les fichiers pas les dossiers.
Juste les fichiers pas les dossiers.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut Malekal.
Voila, j'ai viré (mis de côté dans une clé USB au cas où ça intéresserait quelqu'un...) ces quelques fichiers très suspects.
Je n'ai pas encore tenté le redémarrage sous Win XP.
J'ai relancé RogueKiller mais maintenant, il se plante sur le scan MBR alors qu'il passait bien avant... Un bug de RogueKiller ou un truc suspect?
J'ai également trouvé quelques fichiers suspects dans Windows/Prefetch/ créés le 27 à 17h32. Est-ce que je dois aussi les virer ou bien sont-ils seulement des traces de ce qui s'est passé et maintenant inoffensifs?
Voila, j'ai viré (mis de côté dans une clé USB au cas où ça intéresserait quelqu'un...) ces quelques fichiers très suspects.
Je n'ai pas encore tenté le redémarrage sous Win XP.
J'ai relancé RogueKiller mais maintenant, il se plante sur le scan MBR alors qu'il passait bien avant... Un bug de RogueKiller ou un truc suspect?
J'ai également trouvé quelques fichiers suspects dans Windows/Prefetch/ créés le 27 à 17h32. Est-ce que je dois aussi les virer ou bien sont-ils seulement des traces de ce qui s'est passé et maintenant inoffensifs?
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
Sécurise ton PC !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Fais des scans réguliers avec, il est efficace.
Sécurise ton PC !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Merci.
perso, j'ai juste donné 2 liens de malékal pour redémarrer le pc
je suis pas a l'aise avec ce genre d'infections, et je préfère que tu suives Nono jusqu'au final
merci pour ton intervention
bonne journée
@+
mon ^profil est bloqué
J'ai tenté le mode sans échec: il est également infecté (page bloquante).
Je viens de lancer un scan avec OTLPE. Je peux envoyer le rapport si ça peut aider...