Virus Hadopi

[MarieB]

Bonjour à la communauté,

 

Je suis atteinte par le virus hadopi sur un windows XP.

Je n'arrive pas à accéder au mode sans échec. Je n'ai pas accès à mon bureau !

J'ai réussi à utiliser OTLPE qui m'a permis de lancer Roguekiller.

J'ai fait scanner puis supprimer mais le virus est toujours là et le mode sans échec toujours absent.

Je ne sais plus comment m'y prendre j'ai atteint mes limites en informatique

Please help

Modifié le 12 mai 2013 par MarieB

[pear]

Bonjour,

 

Qu'est-ce qui vous indique la présence du malware ?

 

Les rapports RK auraient pu être utiles.

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

Si vous le pouvez tentez une restauration à une date antérieure .

 

tenter une restauration système à une date antérieure.

Démarrer->Tous les programmes->Accessoires->Outils Systeme->Restauration

si ça bloque:

Lancer la restauration en ligne de commande

 

Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.

Choisissez un point antérieur au problème.

Modifié le 12 mai 2013 par pear

[MarieB]

Merci de votre aide. J'ai précisé dans mon post que je n'arrive pas à accéder au mode sans échec. Votre solution semble devoir passer par ce mode, non ?

 

Comment obtenir un rapport RK, je vous le donnerai

Modifié le 12 mai 2013 par MarieB

[pear]

Votre message ne précisait pas si le défaut de mode sans échec persistait après RK.

 

Lancez Mbam si possible.

 

Comment poster les rapports

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

 

ou là:(pour Zhpdiag p.ex)

 

Cliquez sur ce bouton en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

Relancez Otlpe que l'on va utiliser pour chercher un point de restauration.

 

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

Vous devez voir bureau REATOGO-X-PE

 

Double-click sur l'icone OTLPE

A "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

si vous avez un message :

RunScanner Error - Target is not windows 2000 or later

, il faut descendre jusqu'au dossier c:\windows dans l'arborescence de local disk (c:)

 

 

Vérifier que Automatically Load All Remaining Users est coché et valider par OK

 

» OTLPE se lançe alors

 

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

 

 

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.exe

%USERPROFILE%\AppData\Local\*.*

%USERPROFILE%\AppData\Roaming\*.*

%systemroot%\system32\*.ini

%systemroot%\Tasks\*.*

%systemroot%\system32\Tasks\*.*

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

userinit.exe

explorer.exe

ntoskrnl.exe

services.exe

wininit.exe

afd.sys

ipsec.sys

netbt.sys

tcpip.sys

/md5stop

CREATERESTOREPOINT

Clic sur Analyse (Run Scan)

le scan terminé , le fichier se trouve là C:\OTL.txt

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

ou Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

[MarieB]

En voulant relancer OTLPE j'obtiens le message suivant :

 

Registry Access Error, ret = 1009;

The configuration registry database is corrupt

[pear]

Vous êtes assurée de la qualité de votre cd, car ,sous Otlpe, vous n'êtes pas sur "votre" Xp, mais sur une édition spéciale .

 

D'autre part, vous n'avez pas répondu à mes questions:

 

Qu'est-ce qui vous indique la présence du malware ?

 

Les rapports RK auraient pu être utiles.

 

Inutile de poursuivre, vous avez les réponses ici:

https://forum.malekal.com/virus-hadopi-t43279.html#p341039

Modifié le 12 mai 2013 par pear

[MarieB]

je grave mon 3eme CD actuellement pour m'en assurer.

j'ai ouvert 2 posts hier ne sachant pas à qui m'adresser.

j'espère n'avoir froissé personne

je n'ai pas vu la réponse à mon probleme sur le lien que vous m'avez donné : la réponse serait sous mes yeux ?

[pear]

Il ne s'agit aucunement de susceptibilité mais de prudence.

Des procédures différentes peuvent se percuter.

La preuve en est ici donnée:

 

Vous m'annoncez que Otlpe vous fait problème mais vous omettez de me dire que c'est après une une procédure d'Angélique.

Je ne peux pas vous aider dans ces conditions puisque je ne dispose d'aucun scan Otlpe.

Poursuivez la-bas.

[MarieB]

Ok j'ai compris. Cette histoire et ses répercussions sont juste un cauchemard. Merci de votre aide. Je vous souhaire un bon dimanche

[Dylav]

Ici, on ferme, c'est plus prudent...