X

Supprimer le virus Hadopi

Des escrocs tentent d’arnaquer des internautes en faisant apparaître sur leur écran un message comportant le logo d’Hadopi et en empêchant toute action sur l’ordinateur à moins de régler une amende de 200 euros. Le message leur fait volontairement peur en indiquant que leur ordinateur a été repéré pour avoir diffusé du spam, des contenus pédopornographique ou pour avoir piraté des fichiers protégés par le droit d’auteur (ce dernier cas pouvant concerner effectivement beaucoup d’internautes).

Cette pratique est appelée « ransonware » (logiciel de rançon).

Il consiste via des bannières publicitaires (notamment celles présentes sur les sites de pornographiques et de streaming) à injecter le code sur des ordinateurs dont les programmes ne sont pas à jour. La victime se retrouve alors avec le message en question et ne peux plus effectuer aucune action.

Le code est invasif au point de ne pas permettre de reprendre la main après redémarrage de l’ordinateur. Cette pratique est bien sur illégale et les victimes ne doivent rien payer.

Comment supprimer le virus hadopi ?

Il existe plusieurs variantes du virus Hadopi : Urausy, Reventon et Nymaim

La variante Urausy – Particularités :
– Elle se caractérise par la présence de l’image avec les menottes.
– Le démarrage en mode sans échec n’est normalement  plus possible.

La variante Reventon – Particularités :
– L’image des menottes est remplacé par une Webcam
– Le démarrage en mode sans échec est possible.

La variante Nymaim – Particularités :
– Pas de logo Hadopi

Restauration du système au démarrage (Windows 7 et Windows 8)

  • Avant le démarrage de Windows et après le changement du premier écran (BIOS), tapoter sur la touche F8
  •  Dans le menu qui est apparu choisissez  Réparer votre ordinateur » 
  • Cliquez sur Suivant au moment du choix de la langue 
  • Entrez votre nom d’utilisateur et votre mot de passe pour ouvrir une session.
  •  Cliquez sur Réparation du démarrage.

Mode sans échec (variante Reveton et Nymaim)

  • Redémarrez l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuyez sur la touche entrée du clavier. 
  •  Téléchargez sur le bureau le logiciel RogueKiller et lancez-le : http://www.sur-la-toile.com/RogueKiller/ 
  • Attendez que le Prescan se termine et lancez un scan avec le bouton Scan situé en haut à droite
  • RogueKiller va trouver des éléments msconfig / CTFMON, il vous suffira de cliquer sur Suppression pour supprimer les éléments trouvés.

Mode sans échec en ligne de commande (variante Urausy uniquement)

  • Redémarrez l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuyez sur la touche entrée du clavier. 
  • Connectez vous sur la session Windows infectée par le virus Hadopi 
  • Dans démarrer, cliquez sur Exécuter puis tapez regedit pour lancer l’Editeur du Registre
  • Allez dans HKEY_CURRENT_USER > Software > Microsoft > Windows NT et cliquez sur Winlogon 
  • Double-cliquez sur la clef shell à droite et vérifiez si vous avez à l’intérieur « explorer.exe,chemin/skype.dat », si c’est le cas effacez tout pour n’avoir que « explorer.exe »
  • Fermer l’éditeur du registre
  • Dans démarrer, cliquez sur Exécuter puis tapez « cmd »
  • Tapez la commande « shutdown /r -t 1 » cela aura pour effet de redémarrer votre ordinateur

 

  • Redémarrez l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuyez sur la touche entrée du clavier. 
  • Connectez vous sur la session Windows infectée par le virus Hadopi 
  • Dans démarrer, cliquez sur Exécuter puis tapez « cmd »
  • Saisissez la commande « cd %APPDATA% » puis tapez sur entrée, cela doit vous déplacer dans le dossier C:/Users/sessioninfectee/Roaming/ (Vista / Seven / 8 ) ou C:/Documents and Settings/SessionInfecte/Application Data (Windows XP)
  • Tapez la commande « dir », vous devez voir dans la liste le fichier skype.dat ou AltShell.dat
  • Tapez alors la commande « del AltShell.dat » ou « del skype.dat » selon le nom du fichier présent et appuyez sur la touche entrée afin de supprimer le fichier
  • Tapez enfin la commande « shutdown /r » afin de redémarrez votre PC

Si vous ne parvenez pas à vous désinfecter avec l’astuce, créez une question dans notre rubrique Questions / Réponses.

Si vous êtes parvenus à vous désinfecter, vous devez impérativement mettre à jour vos logiciels installés car votre ordinateur est vulnérable.

Les informations de cette page sont tirées du guide de Malekal : malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/ 

Voir la solution complète