"Le virus Hadopi"

[Zaa]

Bonjour !

J'ai rencontré ce soir un problème plutôt effrayant. Je me balladais sur internet lorsque mon ordinateur s'est bloqué, l'écran est devenu blanc, puis une page est apparue. Je vous ai saisi la version la plus proche de la mienne sur "blog.crimenumerique.fr" :



Sur mon ordinateur s'affichaient, en plus de mon IP et de ma ville de résidence, mon prénom et l'image de ma webcam. J'ai un peu arpenté le forum, et vu que vous connaissez ce virus. J'aimerais simplement m'assurer de l'avoir correctement éliminé.

Après avoir tenté ctrl+alt+supr, alt+tab et alt+f4 sans succès, j'ai simplement appuyé sur le bouton de démarrage de mon ordinateur. Le virus s'est fermé, mais steam a empêché l'ordinateur de s'éteindre. Cela ne m'a pas aidé, puisque mon premier réflexe a été de redémarrer l'ordinateur, mais ça peut servir à quelqu'un d'autre.

Plusieurs tentatives de démarrage, "normal" puis "sans échec avec prise en charge réseau" on été infructueuses.

Enfin, j'ai cliqué sur le bouton "réparer", et ai demandé un retour en arrière du système de 24H. Temps d'attente à l'issue duquel un message d'erreur m'informe que la restauration des paramètres n'a pu s'effectuer, et que rien n'a été changé. Redémarrage (automatique) de l'ordinateur.

Ouverture de ma session. Un message m'informe que la restauration des paramètres s'est correctement effectuée. Pas de message Hadopi.

Et me voilà sur votre forum, en train d'écrire.

Ai-je tout bien fait ? Tout conseil est le bienvenu.

Merci pour votre temps et votre attention.

[angelique]

• Téléchargez OTL sur votre Bureau.
  
  ou:
  
  OTL com
  
  OTL scr
  
  
  ou:
  
  OTL com
  
  OTL scr
• Faites un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous vista|seven). Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
• Quand la fenêtre apparaît, sous Rapport en haut, cochez Rapport minimal, ainsi que all users
• Sous Registre: standard cochez Tous.
• Cochez les cases à coté de Recherche Lop et Recherche Purity.
• Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous "Personalisation":
  

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  %SYSTEMDRIVE%\*.exe
  /md5start
  services.exe
  explorer.exe
  userinit.exe
  winlogon.exe
  wininit.exe
  atapi.sys
  afd.sys
  ipsec.sys
  netbt.sys
  tcpip.sys
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\System32\config\*.sav
  CREATERESTOREPOINT

• Cliquez sur le bouton Analyse. Ne modifiez aucun paramètre sans qu'on vous ait dit de le faire. L'analyse ne va pas durer longtemps.
  • Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. OTL.Txt et Extras.Txt. Ces fichiers sont sauvegardés au même endroit que OTL.
  • Veuillez copier (Edition->Sélectionner tout, Edition->Copier) le contenu de ces fichiers, l'un après l'autre, et envoyez-les dans votre prochaine réponse.
  • Si ton rapport est trop long, utilise le site http://pjjoint.malekal.com/ ou http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse
    
    
    
    tuto : https://www.malekal.com/tutorial_OTL.php

[Zaa]

Eeet voilà !

OTL

Extras

[Malekal_morte]

Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "about:home"
FF - prefs.js..extensions.enabledAddons: [email protected]:1.5.0
FF - prefs.js..extensions.enabledAddons: {972ce4c6-7e08-4474-a285-3208198ce6fd}:14.0.1
FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb174/?lo ... 26&search="
O2 - BHO: (Incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD)
O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)

* redemarre le pc sous windows et poste le rapport ici

[Invité]

Voili voilou.

========== OTL ==========
Prefs.js: "MyStart Search" removed from browser.search.defaultenginename
Prefs.js: "Google" removed from browser.search.selectedEngine
Prefs.js: "about:home" removed from browser.startup.homepage
Prefs.js: [email protected]:1.5.0 removed from extensions.enabledAddons
Prefs.js: {972ce4c6-7e08-4474-a285-3208198ce6fd}:14.0.1 removed from extensions.enabledAddons
Prefs.js: "http://mystart.incredibar.com/mb174/?lo ... 26&search=" removed from keyword.URL
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}\ deleted successfully.
C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d2ce3e00-f94a-4740-988e-03dc2f38c34f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d2ce3e00-f94a-4740-988e-03dc2f38c34f}\ deleted successfully.
C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 03162013_113729

[Malekal_morte]

Ca doit être bon.
Si tu as une idée sur quel site tu as choppé ça, je suis preneur.

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/malwarebyte-ant ... les-virus/
Fais des scans réguliers avec, il est efficace.



Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

Maintiens tes logiciels à jour c'est important, utilise ce programme : http://forum.malekal.com/logiciels-pour ... 15960.html
Absolument à faire.

~~

Désactive Java de tes plugins, ce dernier pose des problèmes de sécurité :

• Google Chrome (paragraphe Plugin) : https://www.malekal.com/2013/01/14/secu ... le-chrome/
• Internet Explorer (paragraphe plugin Jav) : https://www.malekal.com/2010/11/12/secu ... xplorer-2/
• Firefox : https://www.malekal.com/securiser-le-na ... firefox-2/

~~

Filtrer les PUPs/Adwares (programmes parasites) les plus fréquents avec HOSTS Anti-PUPs/Adwares : https://www.malekal.com/2012/01/10/host ... upsadware/



~~

Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html

[Zaa]

Merci beaucoup, je vais m'en occuper.

Je crois que je vois à quel moment j'ai chopé ça, mais malheureusement, je ne saurais pas dire sur quel site.

A la recherche d'une vidéo, et ne la trouvant pas sur youtube, je suis passé par la recherche google, et j'ai ouvert un site inconnu. C'est à ce moment que le virus s'est déclenché, et je n'ai pas pu lire l'adresse du site... :/

C'est, je crois, la seule fois où j'ai ouvert un site inconnu dans les dernières semaines.

[Malekal_morte]

OK mets bien tout à jour, pour ne pas que ton PC soit vulnérable!

[tartare]

Bonjour,

je crois avoir copntracté ce virus,

j'ai téléchargé OTL, puis fais l'analyse comme dit et voici maintenant les 2 fichiers rapports:

Extras.Txt

Extras.Txt

[angelique]

ouai :

SRV - (Winmgmt) -- C:\ProgramData\3w7e.dat (Корпорация Майкрософт)
SafeBootMin: WinMgmt - C:\ProgramData\3w7e.dat (Корпорация Майкрософт)
O4 - HKU\S-1-5-21-3881890866-2678578658-1848790405-1000..\Run: [ctfmon32.exe] c:\ProgramData\3w7e.dat (Корпорация Майкрософт)
O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regmonstd.lnk = C:\Windows\System32\rundll32.exe (Microsoft Corporation)
[2013/10/14 16:19:41 | 000,000,862 | ---- | M] () -- C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regmonstd.lnk
[2013/06/19 22:51:44 | 000,141,312 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\bitow.dat
[2013/06/19 22:51:43 | 000,141,312 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\lfbv.dat
[2013/06/19 15:28:51 | 000,229,376 | ---- | C] (Корпорация Майкрософт) -- C:\ProgramData\3w7e.dat
[2013/06/19 15:28:50 | 000,229,376 | ---- | C] (Корпорация Майкрософт) -- C:\ProgramData\00ob.dat
[2013/06/19 15:28:50 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\rundll32.exe
[2013/10/14 16:58:27 | 095,023,320 | ---- | M] () -- C:\ProgramData\e7w3.pad


Télécharge, transfere RogueKiller 32 Bits_system > http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe -- ou 64 Bits_System > http://www.sur-la-toile.com/RogueKiller ... lerX64.exe sur ton Bureau et renomme le dans la fenêtre de téléchargement par winlogon





» execute le option suppression apres scan .... le rapport est sauvé sur ton bureau << poste le

[tartare]

Voici le rapport de RogueKiller mais je ne sais pas si j'ai bien fait la manipulation

Merci de votre aide.

RKreport[0]_D_10142013_190712.txt

[angelique]

relançe OTL , Copies et colles le contenue de cette citation ci dessous (en commençant bien à :OTL , les : inclus devant OTL jusqu'à [emptytemp] inclus) dans la partie inférieure d'OTL sous "Personalisation"
et cette fois ci clic CORRECTION

:OTL
O4 - HKU\S-1-5-21-3881890866-2678578658-1848790405-1000..\Run: [ctfmon32.exe] c:\ProgramData\3w7e.dat (Корпорация Майкрософт)
O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regmonstd.lnk = C:\Windows\System32\rundll32.exe (Microsoft Corporation)
[2013/10/14 16:19:41 | 000,000,862 | ---- | M] () -- C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regmonstd.lnk
[2013/06/19 22:51:44 | 000,141,312 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\bitow.dat
[2013/06/19 22:51:43 | 000,141,312 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\lfbv.dat
[2013/06/19 15:28:51 | 000,229,376 | ---- | C] (Корпорация Майкрософт) -- C:\ProgramData\3w7e.dat
[2013/06/19 15:28:50 | 000,229,376 | ---- | C] (Корпорация Майкрософт) -- C:\ProgramData\00ob.dat
[2013/06/19 15:28:50 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\rundll32.exe
[2013/10/14 16:58:27 | 095,023,320 | ---- | M] () -- C:\ProgramData\e7w3.pad
:commands
[emptytemp]

» Un rapport texte apparrait au redemarrage du pc et ça devrait etre mieux non ??


>> desinstalle McAfee Security Scan

[tartare]

MERCI !!!

voilà je me suis exécuté en suivant scrupuleusement vos consignes, je ne vois plus rien d'anormal... Jusqu'à quand ???

Encore merci pour l'aide apportée au novice que je suis.

[angelique]

. supprime c:\_OTL



Il faut lire ces instructions sinon ça reviendra !!!!


==> Prendre le temps de lire :: http://forum.malekal.com/les-exploits-s ... t3563.html


Lire sécuriser FireFox:: https://www.malekal.com/securiser-le-na ... firefox-2/

Il est nécessaire de surfer avec un navigateur non propriétaire, pour encore une fois des questions de fiabilité, de sécurité et pour que celui ci ne transmette pas directement un ensemble de données que vous utilisez/visualisez (comme c’est le cas de Chrome avec Google). Il est fortement recommandé d’utiliser Firefox, pour ces raisons et pour son aspect modulable, fonctionnant avec des modules comme Ad-block ( comme son nom l’indique, bloquer les publicités ), NoScript pour gérer JavaScript, flash et\ou Iframe pourries sur sites compromis potentiellement générateur de ce genre d'infection !!


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Donc FireFox + Adblock + Noscript

• Firefox: http://www.mozilla.org/fr/firefox/new/

• Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/

Mettre "actif" d'un clic les modules ci dessous qui apparraissent apres installation de ADBlock



List FR + EasyList << à mettre à jour regulièrement ainsi que les autres





NOTE POUR Adblock :
Certains sites abusent des publicités, dont leurs pages peuvent en être inondées (cela ralentit la navigation etc). Mais notez que les publicités sont parfois le seul revenus des sites WEB.
Filtrer toutes les publicités peuvent, par exemple, pénaliser ces sites, c’est notamment le cas de malekal.com
Si vous pensez que certains sites le méritent, vous pouvez les ajouter en liste blanche.



• Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/