PC bloqué par virus Hadopi

[strongjojo]

Bonjour,

 

Une amie me demande de l'aide car son pc est bloqué (athlon 2500+, windows xp) apparement par le virus hadopi (voir image que j'ai trouvé sur google avec le lien ci-dessous)

 

Mon lien

 

J'ai cherché sur plusieurs forums, j'ai gravé plusieurs live cd mais pas moyen de m'en sortir pour le moment.

 

J'ai commencé par télécharger le live cd de kaspersky, je l'ai gravé sur un cd rw, mais j'ai du me planter quelque part car il ne se lance pas automatiquement comme indiqué dans l'explication (voir lien)

 

Mon lien

 

à la place du lancement j'ai un message d'erreur en anglais qui semble dire que la lecture ou l'écriture n'est pas possible sur le disque fd0

et puis je me retrouve avec un invite de commande j:\boot\grub\ mais là aucune commande ne semble etre reconnue j'ai essayé "cd i386-pc" car j'avais vu le dossier au moment de la gravure mais ça marche pas.

 

je me demande si mon erreur c'est de ne pas avoir monté l'image cd dans un lecteur virtuel pour la graver à partir de là mais bon je pense que néro8 sait le faire tout seul ..

 

je tente une nouvelle gravure de l'image cd

 

merci pour votre aide

Modifié le 20 avril 2013 par strongjojo

[pear]

Bonsoir,

 

Il s'agit d'abord de tenter une Restauration à une date antérieure.

Cela n'a d'intétérêt que si la restauration est restée fonctionnelle et qu'il y a donc des points de restauration.

Si ce n'est pas le cas, passez au point 3)

Deux méthodes possibles:

 

1)Démarrer en mode sans échec

Choisir-> Dernière bonne configuration connue :

Cette option démarre Windows en utilisant une configuration précédente identifiée comme correcte.

 

2)tenter une restauration système à une date antérieure.

Démarrer->Tous les programmes->Accessoires->Outils Systeme->Restauration

si ça bloque:

Lancer la restauration en ligne de commande

 

Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.

Choisissez un point antérieur au problème.

 

 

3)

Démarrer en Mode sans échec avec prise en charge du réseau

Télécharger RogueKiller (by tigzy) sur le bureau

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre",

Décocher les éventuels faux positifs, en général les modifications que vous y avez faites.

Laisser coché, si vous le voyez , ce qui concerne InetAccelerator.exe, il s'agit d'un malware.

 

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Sauf avis contraire, ne touchez pas aux index SSDT

Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des indexes)

 

 

 

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[strongjojo]

Bonsoir,

 

Tout d'abord un très grand merci pour les explications, c'est très clair, vraiment super. je retourne chez mon amie demain, je vous posterais le résultat à mon retour.

 

Bonne soirée

[strongjojo]

Bonjour,

 

ben pas de chance, la restauration system ne marche pas et quand je demmarre en mode sans echec avec prise en charge reseau je n'ai pas acces a internet dans la session administrateur et dans la session de mon amie j'attive directement sur l'écran blanc du virus. (Quand j'essaie de creer une nouvelle connexion dans la sesson administrateur j'ai un message qui me dit qu'une connexion existe déjà mais quand j'ouvre les connexions réseau je n'en voit aucune)quand je lance google chrome il n'arrive pas a se connecter à internet et quand je clique sur internet explorer il ne s'ouvre pas.

[pear]

Pas de chance !

 

Il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

Vous devez voir le bureau REATOGO-X-PE

 

Option RK par Otlpe

 

A l'écran Reatogo

Utilisez Internet Explorer pour télécharger Rogue Killer

A défaut de connexion, utiliser pour cela la machine qui fonctionne

Télécharger RogueKiller (by tigzy) sur clé usb

Enregistrez le sous fix.txt dans la clé Usb.

 

Double-cliquer sur l'icône OTLPE sur le Bureau.

 

A la demande Do you wish to load the remote registry cliquezYes

et de même Do you wish to load remote user profile(s) for scanning cliquez Yes

Vérifiez que Automatically Load All Remaining Users est bien coché et validez

 

- Dans la fenêtre de l'outil OTLPE, cliquez sur Run Fix ;

 

L'outil ne trouvant pas de "Fix" à exécuter, il ouvrira une invite avec le message suivant :

No Fix has been Provided! Do you want to load it from a file?

Cliquez Yes

 

Depuis la fenêtre de navigation, recherchez le fichier fix.txt sur la clé USB et sélectionnez-le ;

Le contenu devrait maintenant en apparaître dans la fenêtre de l'outil ;

Cliquez à nouveau sur Run Fix

Patientez maintenant jusqu'à la création du rapport (C:\OTL.txt)

 

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre",

Décocher les éventuels faux positifs, en général les modifications que vous y avez faites.

Laisser coché, si vous le voyez , ce qui concerne InetAccelerator.exe, il s'agit d'un malware.

 

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Note. Le boutton Suppression ne sera pas accessible tant que le scan n'aura pas été fait

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Sauf avis contraire, ne touchez pas aux index SSDT

Seulement si on vous le demande(sinon énormes risques)

Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des indexes)

 

 

Collez le rapport sur la clé USB afin de le poster.

Faites un "Shutdown" de l'environnement OTLPE (via le bouton "Start" au bas à gauche) et redémarrez normallement la machine infectée après avoir retiré le CD OTLPE.

[strongjojo]

Bonsoir,

 

gravure reussie, suite des aventures demain.

 

encore merci pour votre aide précieuse.

[strongjojo]

Bonjour,

 

toujours pas de chance, le cd se lance au démarrage mais après de longues minutes j'ai eu le message d'erreur suivant:

 

File hidusb.sys caused an unexpected error (32768) at line 5964 in d:\xpsprtm\base\boot\setup\setup.c.

 

press any key to continue

 

j'ai aussi essayer de booter sur ma clé usb mais la le pc se bloque tout de suite...

[pear]

Si le cd ne se lance pas, c'est qu'il n'est pas correctement gravé.

[strongjojo]

si le cd se lance, il commence le chargement de REATOGO-X-PE mais au bout d'un moment j'ai le message d'erreur: File hidusb.sys caused an unexpected error (32768) at line 5964 in d:\xpsprtm\base\boot\setup\setup.c.

[pear]

Utilisez ce live cd pour lancer Rogue Killer:

 

Malekal Live cd