Sujet Précédent Sujet Suivant

Infection Hadopi / Ukash / Reventon

Résolu/Fermé
nono456 Messages postés 25 Date d'inscription vendredi 28 juin 2013 Statut Membre Dernière intervention 1 juillet 2013 - Modifié par nono456 le 28/06/2013 à 08:14
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 1 juil. 2013 à 10:30
Bonjour,

J'ai moi aussi chopé cette saloperie hier (27 juin 2013) sur mon ordi de travail, pourtant à jour (Windows XP pro SP3, Firefox, Java, AVG, tout ça à jour). D'après les divers forums que j'ai consultés, il semblerait s'agir de la variante Reventon du virus Hadopi / Ukash (la variante avec le logo Hadopi et la webcam)
J'ai suivi les instructions pour redémarrer depuis le CD Live Malekal et lancer RogueKiller (v8.6.1).
Il trouve Rans.Gendarme dans le registre mais n'arrive pas à le supprimer: lorsque je fais "suppression", il termine avec le statut [0x57] parametre incorrect pour la ligne Rans.Gendarme. Si je relance un scan il le trouve toujours et lorsque je redémarre l'ordinateur, le virus est toujours là et bloque l'ordi avec sa page incontournable.
Je ne trouve pas l'entrée de registre indiquée par RogueKiller lorsque je la cherche en suivant l'arborescence indiquée par Rogue Killer avec remote regedit. Je ne trouve d'ailleurs pas le chemin d'arborescence complet tel qu'indiqué par RogueKiller.
Quelqu'un pourrait-il m'indiquer d'autres opérations à tenter pour dénicher et supprimer cette sale bête?
Merci d'avance.
A voir également:

6 réponses

Réponse 1 / 6
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
28 juin 2013 à 08:10
salut l'entrée doit être

HKEY_USERS\TA-SESSION_ON_C(ou D ou E\Sortware\Microsoft\WINDOWS NT\CurrentVersion\Winlogon

et à droite supprimer la valeur shell
0
nono456 Messages postés 25 Date d'inscription vendredi 28 juin 2013 Statut Membre Dernière intervention 1 juillet 2013
28 juin 2013 à 08:20
J'ai effectivement trouvé ce chemin complet mais rien qui porte le nom "shell" ici...
Merci.
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
Modifié par g3n-h@ckm@n le 28/06/2013 à 08:26
clique gaughe sur winlogon et regarde à droite et si toujours pas , suis les indications de Billmaxime
0
billmaxime Messages postés 49948 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 5 mai 2024 5 948
28 juin 2013 à 08:29
salut Gen

perso, j'ai juste donné 2 liens de malékal pour redémarrer le pc

je suis pas a l'aise avec ce genre d'infections, et je préfère que tu suives Nono jusqu'au final

merci pour ton intervention

bonne journée

@+
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
28 juin 2013 à 08:35
je ne peux pas je me suis mis à pied 30 jours par CCM , dès que je me deconnecterai avec le navigateur, ,un fois que j'aurai perdu ce cookie je n'aurai plus accès à mon profil donc je pourrai plus suivre
mon ^profil est bloqué
0
nono456 Messages postés 25 Date d'inscription vendredi 28 juin 2013 Statut Membre Dernière intervention 1 juillet 2013
28 juin 2013 à 08:37
Il y a bien quelques clés dans ce registre mais pas de "shell".
J'ai tenté le mode sans échec: il est également infecté (page bloquante).
Je viens de lancer un scan avec OTLPE. Je peux envoyer le rapport si ça peut aider...
0
Réponse 2 / 6
billmaxime Messages postés 49948 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 5 mai 2024 5 948
28 juin 2013 à 08:11
salut

sur cette page, malékal stipule que l'on peut démarrer en mode sans échec

https://www.malekal.com/virus-hadopi-gendarmerie-office-central-lutte/

je te joins 1 topic où malékal a supprimé reveton (la cle dans regedit etc...)

https://forums.commentcamarche.net/forum/affich-28021370-virus-hadopi-reventon

bonne continuation

@+
0
Réponse 3 / 6
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 795
Modifié par juju666 le 28/06/2013 à 09:26
Salut pourquoi vous ne faites pas un diagnostic avec OTLPE ..... ??

PS : pas de g3n, pas de juju, et pas de malekal non plus dès la semaine prochaine :)

.::. Contributeur Sécurité .::.
/!\ Absent du 29 juin au 22 juillet 2013 INCLUS /!\
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 631
28 juin 2013 à 10:10
heu jserai là en journée!
Je suis pas en vacances MOI!
0
billmaxime Messages postés 49948 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 5 mai 2024 5 948
28 juin 2013 à 10:13
salut Malékal

tu veux bien t'occuper de ce topic?

merci

@+
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 631
28 juin 2013 à 10:14
ok ça roule :)
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 795
28 juin 2013 à 10:14
ah oui scuze moi Mak o/
0
billmaxime Messages postés 49948 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 5 mai 2024 5 948
28 juin 2013 à 10:18
re

merci pour votre soutien a tous les 2

bonne journée

@+

@ nono, malékal va s'occuper de ton soucis

@+
0
Réponse 4 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 631
28 juin 2013 à 23:08
Tu peux virer tous les fichiers qui sont dans C:\Documents and Settings\All Users\Application Data\
Juste les fichiers pas les dossiers.


0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
nono456 Messages postés 25 Date d'inscription vendredi 28 juin 2013 Statut Membre Dernière intervention 1 juillet 2013
Modifié par nono456 le 1/07/2013 à 08:57
Salut Malekal.
Voila, j'ai viré (mis de côté dans une clé USB au cas où ça intéresserait quelqu'un...) ces quelques fichiers très suspects.
Je n'ai pas encore tenté le redémarrage sous Win XP.
J'ai relancé RogueKiller mais maintenant, il se plante sur le scan MBR alors qu'il passait bien avant... Un bug de RogueKiller ou un truc suspect?
J'ai également trouvé quelques fichiers suspects dans Windows/Prefetch/ créés le 27 à 17h32. Est-ce que je dois aussi les virer ou bien sont-ils seulement des traces de ce qui s'est passé et maintenant inoffensifs?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 631
1 juil. 2013 à 09:23
Redémarre sur ton Windows.
0
nono456 Messages postés 25 Date d'inscription vendredi 28 juin 2013 Statut Membre Dernière intervention 1 juillet 2013
1 juil. 2013 à 10:06
Voila, ça semble résolu. J'ai redémarré et plus de page bloquante!
Merci à tous pour votre aide et un merci particulier à Malekal pour son live CD, une vraie bouée de sauvetage...
0
Réponse 6 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 631
1 juil. 2013 à 10:30
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

0

Discussions similaires

µTorrent et Hadopi...
Utilisateur anonyme -
Nonl -

36 réponses
streaming et hadopi : les risques
louidji59270 -
regcal -

22 réponses
HADOPI - comment ils savent qui télécharge ?
R@oul -
titi -

21 réponses
uTorrent, Hadopi, streaming?
Louvandco -
Utilisateur anonyme -

25 réponses
Hadopi surveille les jeux video ?
TheThe972 -
Greatso -

8 réponses