Hadopi et plus d'écran
Résolu/Fermé
mh333
Messages postés
74
Date d'inscription
samedi 3 mars 2007
Statut
Membre
Dernière intervention
29 novembre 2015
-
26 juin 2013 à 19:59
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 30 juin 2013 à 11:49
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 30 juin 2013 à 11:49
A voir également:
- Hadopi et plus d'écran
- Double ecran - Guide
- Capture d'écran samsung - Guide
- Ecran noir pc - Guide
- Ecran d'accueil iphone - Guide
- Retourner ecran windows - Guide
8 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 631
26 juin 2013 à 20:44
26 juin 2013 à 20:44
Salut,
Le remplacement d'explorer.exe c'était pour la première variante du virus gendarmerie (y avait pas le logo Hadopi) à l'époque.
C'était y a un an et demi..
T'as dû tomber sur un vieux sujet.
Par contre effectivement, mettre un explorer.exe XP sur un Windows 7, c'est pas top.
Ca donne quoi ça :
Lance une restauration du système à partir du menu "réparer mon ordinateur".
Voir second paragraphe : https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847
Le remplacement d'explorer.exe c'était pour la première variante du virus gendarmerie (y avait pas le logo Hadopi) à l'époque.
C'était y a un an et demi..
T'as dû tomber sur un vieux sujet.
Par contre effectivement, mettre un explorer.exe XP sur un Windows 7, c'est pas top.
Ca donne quoi ça :
Lance une restauration du système à partir du menu "réparer mon ordinateur".
Voir second paragraphe : https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847
mh333
Messages postés
74
Date d'inscription
samedi 3 mars 2007
Statut
Membre
Dernière intervention
29 novembre 2015
13
28 juin 2013 à 01:13
28 juin 2013 à 01:13
salut Malekal
la mise à jour de Adobe c'est mon ami qui m'a dit l'avoir fait au moment du virussage.
bon ce n'est pas explorer.exe de mon Toutou ou de mon Xp mais depuis un win7 32 bits d'un autre disque dur.
j'utilise Toutou ou Xp quand win7 ne permet pas une modification
mais l'idée de démarrer win7 en "invite de commande sans echec" est bonne.
Merci de me l'avoir indiqué.
Sur ce win7 attaqué par Hadopi le propriétaire n'a fait aucune sauvegarde et donc pas de restauration possible. Après le rstrui.exe sans effet, j'en ai profité pour taper explorer.exe, et alors la barre de menu apparait en bas dans win7 sans echec.
je ferme la fenêtre de cmd et j'ai accès à l'explorateur et à enfin à regedit. J'ai suspendu provisoirement tout ce qui est démarrage (.xex au lieu de .exe), puis regardé s'il y avait des trucs douteux comme programfiles/zap/tbcore3 etc...
mais toujours l'écran bleu ciel avec seulement la souris au redémarrage de win7
Ensuite avec mon Toutou j'ai réaffecté le explorer.exe d'origine au lieu de celui que j'avais volé dans un autre win7 et alors :
la page du virus de Hadopi est revenue ! avec l'amande de 100€
Si explorer est en cause, il n'est pas tout seul a nous virusser.
J'ai mis les 2 rapports de FRST (en mode sans echec) sur le site : http://dechezmax.com/addition.txt et http://dechezmax.com/frst.txt
la mise à jour de Adobe c'est mon ami qui m'a dit l'avoir fait au moment du virussage.
bon ce n'est pas explorer.exe de mon Toutou ou de mon Xp mais depuis un win7 32 bits d'un autre disque dur.
j'utilise Toutou ou Xp quand win7 ne permet pas une modification
mais l'idée de démarrer win7 en "invite de commande sans echec" est bonne.
Merci de me l'avoir indiqué.
Sur ce win7 attaqué par Hadopi le propriétaire n'a fait aucune sauvegarde et donc pas de restauration possible. Après le rstrui.exe sans effet, j'en ai profité pour taper explorer.exe, et alors la barre de menu apparait en bas dans win7 sans echec.
je ferme la fenêtre de cmd et j'ai accès à l'explorateur et à enfin à regedit. J'ai suspendu provisoirement tout ce qui est démarrage (.xex au lieu de .exe), puis regardé s'il y avait des trucs douteux comme programfiles/zap/tbcore3 etc...
mais toujours l'écran bleu ciel avec seulement la souris au redémarrage de win7
Ensuite avec mon Toutou j'ai réaffecté le explorer.exe d'origine au lieu de celui que j'avais volé dans un autre win7 et alors :
la page du virus de Hadopi est revenue ! avec l'amande de 100€
Si explorer est en cause, il n'est pas tout seul a nous virusser.
J'ai mis les 2 rapports de FRST (en mode sans echec) sur le site : http://dechezmax.com/addition.txt et http://dechezmax.com/frst.txt
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 631
28 juin 2013 à 08:49
28 juin 2013 à 08:49
Y a ZeroAcess comme malware aussi.
Prends cet explorer.exe : https://www.malekal.com/fichiers_systeme/file/explorer_Seven_SP1_32bits_40d777b7a95e00593eb1568c68514493.exe
Tu le copies dans C:\Windows à la place de celui existant.
~~
Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$921c73aedc8a7c7d2adbb48a9db53aca\n. ATTENTION! ====> ZeroAccess
HKCU\...\Winlogon: [Shell] explorer.exe,C:\Users\yves\AppData\Roaming\skype.dat <==== ATTENTION
HKCR\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-1726695703-4225557193-595424323-1000\$921c73aedc8a7c7d2adbb48a9db53aca\n. ATTENTION! ====> ZeroAccess
Startup: C:\ProgramData\Start Menu\Programs\Startup\zz ()
Toolbar: HKCU -No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
Toolbar: HKCU -No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU -No Name - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No File
Toolbar: HKCU -No Name - {A29B2641-9931-448A-8DE7-B2D63BDC1812} - No File
2013-06-26 10:21 - 2013-06-26 10:23 - 00000000 ____D C:\sys
2013-06-25 18:30 - 2013-06-25 18:31 - 00000000 ____D C:\ProgramData\zzz
C:\$Recycle.Bin\S-1-5-18\$921c73aedc8a7c7d2adbb48a9db53aca
C:\$Recycle.Bin\S-1-5-18\$921c73aedc8a7c7d2adbb48a9db53aca
C:\$Recycle.Bin\S-1-5-21-1726695703-4225557193-595424323-1000\$921c73aedc8a7c7d2adbb48a9db53aca
C:\$Recycle.Bin\S-1-5-18\$921c73aedc8a7c7d2adbb48a9db53aca
C:\Users\yves\AppData\Roaming\skype.dat
C:\Users\yves\AppData\Roaming\skype.ini
C:\Users\yves\Application Data\skype.dat
C:\Users\yves\Application Data\skype.ini
Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton fixlist.txt
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre sur Windows, voir ceq ue cela donne.
Prends cet explorer.exe : https://www.malekal.com/fichiers_systeme/file/explorer_Seven_SP1_32bits_40d777b7a95e00593eb1568c68514493.exe
Tu le copies dans C:\Windows à la place de celui existant.
~~
Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$921c73aedc8a7c7d2adbb48a9db53aca\n. ATTENTION! ====> ZeroAccess
HKCU\...\Winlogon: [Shell] explorer.exe,C:\Users\yves\AppData\Roaming\skype.dat <==== ATTENTION
HKCR\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-1726695703-4225557193-595424323-1000\$921c73aedc8a7c7d2adbb48a9db53aca\n. ATTENTION! ====> ZeroAccess
Startup: C:\ProgramData\Start Menu\Programs\Startup\zz ()
Toolbar: HKCU -No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
Toolbar: HKCU -No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU -No Name - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No File
Toolbar: HKCU -No Name - {A29B2641-9931-448A-8DE7-B2D63BDC1812} - No File
2013-06-26 10:21 - 2013-06-26 10:23 - 00000000 ____D C:\sys
2013-06-25 18:30 - 2013-06-25 18:31 - 00000000 ____D C:\ProgramData\zzz
C:\$Recycle.Bin\S-1-5-18\$921c73aedc8a7c7d2adbb48a9db53aca
C:\$Recycle.Bin\S-1-5-18\$921c73aedc8a7c7d2adbb48a9db53aca
C:\$Recycle.Bin\S-1-5-21-1726695703-4225557193-595424323-1000\$921c73aedc8a7c7d2adbb48a9db53aca
C:\$Recycle.Bin\S-1-5-18\$921c73aedc8a7c7d2adbb48a9db53aca
C:\Users\yves\AppData\Roaming\skype.dat
C:\Users\yves\AppData\Roaming\skype.ini
C:\Users\yves\Application Data\skype.dat
C:\Users\yves\Application Data\skype.ini
Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton fixlist.txt
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre sur Windows, voir ceq ue cela donne.
mh333
Messages postés
74
Date d'inscription
samedi 3 mars 2007
Statut
Membre
Dernière intervention
29 novembre 2015
13
28 juin 2013 à 17:07
28 juin 2013 à 17:07
salut malekal
merci pour le "explorer.exe" que j'ai téléchargé et replacé dans Windows.
Apparemment Hadopi viendrait aussi de "skype.ini" et "skype.dat" planqués au démarrage et qui n'ont probablement rien à voir avec le vrai Skype qui lui était installé précédemment sur l'ordinateur. Mon avast a désigné "skype.dat" dans Roaming comme vérussé et l'a supprimé.
Malheureusement il n'y avait pas d'antivirus sur cette machine et pour le moment chaque fois que je télécharge avast depuis commentcamarche (tu connais ?) j'ai le message :"Ce programme contenait un virus et a été supprimé", très drôle !
merci pour le "explorer.exe" que j'ai téléchargé et replacé dans Windows.
Apparemment Hadopi viendrait aussi de "skype.ini" et "skype.dat" planqués au démarrage et qui n'ont probablement rien à voir avec le vrai Skype qui lui était installé précédemment sur l'ordinateur. Mon avast a désigné "skype.dat" dans Roaming comme vérussé et l'a supprimé.
Malheureusement il n'y avait pas d'antivirus sur cette machine et pour le moment chaque fois que je télécharge avast depuis commentcamarche (tu connais ?) j'ai le message :"Ce programme contenait un virus et a été supprimé", très drôle !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 631
28 juin 2013 à 17:30
28 juin 2013 à 17:30
Faire la correction FRST.
mh333
Messages postés
74
Date d'inscription
samedi 3 mars 2007
Statut
Membre
Dernière intervention
29 novembre 2015
13
28 juin 2013 à 19:45
28 juin 2013 à 19:45
oui, bien sûr, c'est après avoir refait un FRST en cliquant "Fix" avec ton fixlist.txt sur le bureau que je soupçonne ce skype.dat.
Maintenant j'ai remis avast que j'ai téléchargé ailleurs et j'ai réaffiché les icônes (click-droit - affichage - afficher les éléments du bureau).
Il traine des petites bricoles, mais enfin Windows marche !
Merci
Maintenant j'ai remis avast que j'ai téléchargé ailleurs et j'ai réaffiché les icônes (click-droit - affichage - afficher les éléments du bureau).
Il traine des petites bricoles, mais enfin Windows marche !
Merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 631
28 juin 2013 à 23:10
28 juin 2013 à 23:10
donne le rapport de correction FRST.
mh333
Messages postés
74
Date d'inscription
samedi 3 mars 2007
Statut
Membre
Dernière intervention
29 novembre 2015
13
29 juin 2013 à 11:13
29 juin 2013 à 11:13
ok, il est à http://dechezmax.com/fixlog.txt
salut
salut
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 631
29 juin 2013 à 13:32
29 juin 2013 à 13:32
C:\Users\yves\AppData\Roaming\skype.dat => File/Directory not found.
C:\Users\yves\AppData\Roaming\skype.ini => File/Directory not found.
C:\Users\yves\Application Data\skype.dat => File/Directory not found.
C:\Users\yves\Application Data\skype.ini => File/Directory not found.
Il semble avoir été supprimé.
Au pire, tu peux faire une suppression manuelle de skype.dat depuis le CD Live ?
Mon Ordinateur => Disque C => Users => Yves => Appdata et tu vires les skype.
C:\Users\yves\AppData\Roaming\skype.ini => File/Directory not found.
C:\Users\yves\Application Data\skype.dat => File/Directory not found.
C:\Users\yves\Application Data\skype.ini => File/Directory not found.
Il semble avoir été supprimé.
Au pire, tu peux faire une suppression manuelle de skype.dat depuis le CD Live ?
Mon Ordinateur => Disque C => Users => Yves => Appdata et tu vires les skype.
mh333
Messages postés
74
Date d'inscription
samedi 3 mars 2007
Statut
Membre
Dernière intervention
29 novembre 2015
13
29 juin 2013 à 15:29
29 juin 2013 à 15:29
absolument, après avoir passé Avast depuis mon ordi et qu'il m'a prevenu que ces skype sont vérollés, je les avais virés, mais cela grâce à toi : en "invite de commande sans echec", en tapant explorer dans cmd que je referme, j'ai pu explorer les AppData etc... de l'ordi de Yves, c'est pourquoi on ne les retrouve plus.
Merci
Merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 631
29 juin 2013 à 19:49
29 juin 2013 à 19:49
donc plus de virus gendarmerie ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 631
30 juin 2013 à 11:49
30 juin 2013 à 11:49
ok :)
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
Sécurise ton PC !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
Sécurise ton PC !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
cocodu67...
Messages postés
3155
Date d'inscription
jeudi 28 janvier 2010
Statut
Membre
Dernière intervention
1 mai 2024
145
26 juin 2013 à 20:03
26 juin 2013 à 20:03
Lu'
windows 7 pro, suite probablement à une (mauvaise) mise à jour de Adolf (heu...Adobe)
le virus Adopi est apparu.
Bah ... à moins d'avoir télécharger ton Adobe sur un site porno, ça ne vient pas de lui.
Souvent le virus gendarmerie s'attrape sur Leboncoin ou Facebook, il suffit de fusionner le fichier du virus avec celui d'une image, de la publier quelque part et chaque personne qui va double cliquer sur cette image aura le virus.
T'as essayé le live cd de malekal ?
windows 7 pro, suite probablement à une (mauvaise) mise à jour de Adolf (heu...Adobe)
le virus Adopi est apparu.
Bah ... à moins d'avoir télécharger ton Adobe sur un site porno, ça ne vient pas de lui.
Souvent le virus gendarmerie s'attrape sur Leboncoin ou Facebook, il suffit de fusionner le fichier du virus avec celui d'une image, de la publier quelque part et chaque personne qui va double cliquer sur cette image aura le virus.
T'as essayé le live cd de malekal ?
