Reconnaître un Windows non activé, cracké ou modifié ?

Question sur Windows, Prb Logiciels, Plantage.

Modérateur : Mods Windows

Avatar de l’utilisateur
SkyTech
Geek à longue barbe
Geek à longue barbe
Messages : 35608
Inscription : 03 août 2008 14:52
Localisation : Picardie (80)

Reconnaître un Windows non activé, cracké ou modifié ?

Message par SkyTech » 26 avr. 2009 14:11

Avant de lire, vous devez au préalable bien comprendre les différentes licences Windows et notamment les licences OEM et licences Retail.
Pour cela, reportez-vous à la page : Licences et activation de Windows

Nous vous conseillons aussi de lire la page suivante, plus à jour : WGA : vérifier authenticité licence Windows (si cracké).

I) Les Windows non activés :

Les Windows non activés sont en général installés avec un CD original Microsoft (mais pas toujours) mais ne sont pas activés, soit parce que le propriétaire n'a pas jugé utile de le faire, soit parce que leur clé d'activation a servi à activer un autre Windows et n'est donc plus valable pour celui-là.
Ces Windows ne peuvent pas recevoir de mises à jour de sécurité et sont souvent vulnérables. Vous ne pouvez que rarement installer des logiciels Microsoft dessus.
Si le propriétaire du PC a essayé d'installer des mises à jour, ce Windows non activé devrait avoir une pop-up de Windows Genuine Advantage (WGA) qui est un logiciel mis en service par Microsoft pour reconnaître les Windows non activés et le signaler à leur propriétaire.

Une pop-up d'un Windows a activer après installation :

Image

Au bout de 30 jours si l'activation n'est pas réalisée, c'est l'arrêt des mises à jour, l'impossibilité d'installer des logiciels Microsoft avec le contrôle WGA (Windows Defender, Microsoft Security Essentials, Windows SteadyState) ...

Exemple de pop-up de WGA :

Image

Image

Une des rares mises à jour que Microsoft laisse s’installer sur les Windows non activés est Internet Explorer 7 ou 8.
Quelque fois vous pouvez avoir ce genre de Windows sans le savoir car vous avez acheté votre PC avec un Windows non activé. Par mesure d’économie certains vendeurs activent TOUS leurs Windows avec la même clé.

Si vous êtes dans ce cas vous pouvez le signaler à Microsoft :
http://www.microsoft.com/resources/howt ... fr&pg=what


Pour voir si votre Windows est activé (Xp uniquement) :

1)
  • Menu Démarrer,
  • Exécuter,
  • Copiez-collez :

    Code : Tout sélectionner

    oobe/msoobe /a
  • Tapez sur Entrée
Si votre Windows est activé vous devriez avoir cette fenêtre :

Image

/!\ Un Windows Activé ne signifie pas forcément légal car dans certains cas les Windows de la partie III peuvent afficher la fenêtre comme quoi ils sont activés car leurs concepteurs leurs ont laissé l'activation et l'ont activé par défaut.

Dans le cas contraire si votre Windows n'est pas activé vous aurez :

Image

II) Les Windows allégés\modifiés qui sont activés :

Vous pouvez aussi voir des Windows allégés (avec nLite ou vLite le plus souvent) qui sont souvent à la base des Windows XP et qui sont activés donc tout à fait légal, le problème de ces Windows est souvent qu’il manque des fonctionnalités importantes jugées inutiles par l’utilisateur (Restauration système, …, Partie III pour plus de détails), le seul avantage de ces Windows est qu’ils sont souvent moins lourds que les Windows classiques, mais si vous voulez avoir un Windows « Slim », pas besoin de désinstaller des fonctionnalités, les désactiver suffit amplement. Vous pouvez par exemple consulter le tutorial « Comment optimiser vous même votre ordinateur ? ».

Exemple de lignes montrant qu’un Windows a été allégé\modifié :
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')

III) Les Windows Crackés\Piratés\allégés\modifiés sans le système d’activation :


Je parle ici des Windows Crackés où l’on a retiré le système d’activation, des Windows Trust, LSD, Titanium, Ultimate, …
Généralement ce sont des versions de Windows XP bridées qui sont faites comme les Windows de la partie II) avec le logiciel nLite.
Ces Windows sont d’une part illégaux (pas d’activation), souvent infectés, en ajoutant à cela les Propriétés des Windows non activés et des Windows allégés/modifiés.
Si vous avez essayé d'installer des mises à jour sur ce genre de Windows, vous pouvez également avoir les pop-up de WGA comme sur les Windows non activés.

A lire : Le danger des cracks !

Avec un log HijackThis on arrive à repérer ce genre de Windows, exemple d’une ligne HijackThis montrant que WGA a été cracké et qui en plus montre que l’utilisateur se tape une infection intégrée :
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
Exemples de ligne montrant qu’un Windows a été modifié\Cracké :
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
Windows LSD :
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
Windows Sweet :
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
Si vous avez encore un doute sur l'originalité de votre OS, Microsoft a mis en place un test pour reconnaître un Windows Cracké : http://www.microsoft.com/resources/howt ... laylang=fr

Ce qui suit est également valable pour les Windows de la partie II) :

Les problèmes se posent lorsqu’une personne vient se faire dépanner sur un forum d’aide, en désinfection les tools utilisés peuvent être incompatibles, certaines fonctions utiles à la résolution de problèmes ne sont pas installées, problème pour la mise en réseau, …

Exemple ici de problèmes dûs à des Windows allégés :

visual-runtime-library-t18627.html#p150231
probleme-deconnexion-sur-portable-t18319.html#p146839

Pour les versions Crackées de Windows Vista (faîtes le plus souvent avec vLite) c’est beaucoup moins évident de les reconnaître, il peut y avoir ce genre de lignes mais cela ne veut pas forcément dire que l’OS est modifié mais dans certains cas si :
F2 - REG:system.ini: UserInit=userinit.exe
Les solutions pour tous ceux ayant ce genre de Windows (Parties I, II et III) peuvent être de/d’ :
  • Si vous avez un CD d’installation Microsoft Original et une licence, d’installer ce Windows (voir Tutorial d'installation de Windows XP),
  • Si vous n’avez pas de licence, achetez-en une chez Microsoft et de préférence demandez avec un CD d’installation original.
  • Passer à GNU\Linux qui propose des OS libres et gratuits, qui de plus ne sont pour l’instant que très peut touchés par les Malwares.
Divers :

Comment faire pour modifier la clé de produit de licence en volume sur un Windows XP ?
Comment supprimer Windows Genuine Advantage ?

Avatar de l’utilisateur
SkyTech
Geek à longue barbe
Geek à longue barbe
Messages : 35608
Inscription : 03 août 2008 14:52
Localisation : Picardie (80)

Re: Comment reconnaître un Windows non activé\Cracké\Modifié

Message par SkyTech » 09 juin 2010 17:55

Cette version de Windows Xp dans un log HijackThis peux aussi indiquer que le Windows est nLité :
Platform: Windows XP SP3, v.5755 (WinNT 5.01.2600)
Merci doc pc

Verrouillé

Revenir vers « Windows Général »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Bing [Bot] et 12 invités