Signaler

Problème bzipabx.exe (liens pjjoint dans le message) [Résolu]

Posez votre question s20coeur 5Messages postés samedi 5 août 2017Date d'inscription 5 août 2017 Dernière intervention - Dernière réponse le 5 août 2017 à 11:36 par Malekal_morte-
Bonjour à tous, j'ai le même problème avec pzipabx, voici les liens :

Dans l'ordre : Shortcut - Addition - FRST

https://pjjoint.malekal.com/files.php?id=20170805_r8m7v11f1210
https://pjjoint.malekal.com/files.php?id=FRST_20170805_u5g5z57h13
https://pjjoint.malekal.com/files.php?id=20170805_z5e14y5r11k7

Merci par avance de votre aide :)
Utile
+1
plus moins
Salut,

Tu as installé un Trojan RAT après avoir exécuté un crack piégé...

Désinstalle :
LiveUpdate 3.2
McAfee Security Scan Plus





Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
Task: {7B722A7E-75D7-49E9-907C-D96B9A85121F} - System32\Tasks\bvktco => C:\Users\20coeur\bvktco\bzipabx.exe [2016-10-09] (AutoIt Team)
2017-08-05 09:40 - 2017-08-05 09:40 - 000000000 __SHD C:\Users\20coeur\Desktop\ This folder protects against ransomware. Modifying it will reduce protection
2017-08-05 09:29 - 2017-08-05 09:29 - 000000000 ____H C:\ProgramData\cm-lock
2017-08-04 17:52 - 2017-08-04 17:52 - 000003590 _____ C:\Windows\System32\Tasks\bvktco
2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 __SHD C:\Users\20coeur\bvktco
2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 ____D C:\Users\20coeur\AppData\Roaming\C56753B3-B35E-4DAC-BD84-12E19AC3665C
2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 ____D C:\Program Files (x86)\Windows Loader
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Cette réponse vous a-t-elle aidé ?  
s20coeur 5Messages postés samedi 5 août 2017Date d'inscription 5 août 2017 Dernière intervention - 5 août 2017 à 11:28
Voici le résultat :)

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 31-07-2017
Exécuté par 20coeur (05-08-2017 11:22:16) Run:1
Exécuté depuis G:\T�l�chargements
Profils chargés: 20coeur (Profils disponibles: 20coeur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Task: {7B722A7E-75D7-49E9-907C-D96B9A85121F} - System32\Tasks\bvktco => C:\Users\20coeur\bvktco\bzipabx.exe [2016-10-09] (AutoIt Team)
2017-08-05 09:40 - 2017-08-05 09:40 - 000000000 __SHD C:\Users\20coeur\Desktop\ This folder protects against ransomware. Modifying it will reduce protection
2017-08-05 09:29 - 2017-08-05 09:29 - 000000000 ____H C:\ProgramData\cm-lock
2017-08-04 17:52 - 2017-08-04 17:52 - 000003590 _____ C:\Windows\System32\Tasks\bvktco
2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 __SHD C:\Users\20coeur\bvktco
2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 ____D C:\Users\20coeur\AppData\Roaming\C56753B3-B35E-4DAC-BD84-12E19AC3665C
2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 ____D C:\Program Files (x86)\Windows Loader
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7B722A7E-75D7-49E9-907C-D96B9A85121F} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7B722A7E-75D7-49E9-907C-D96B9A85121F} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\bvktco => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\bvktco => clé supprimé(es) avec succès
C:\Users\20coeur\Desktop\ This folder protects against ransomware. Modifying it will reduce protection => déplacé(es) avec succès
"C:\ProgramData\cm-lock" => non trouvé(e).
"C:\Windows\System32\Tasks\bvktco" => non trouvé(e).
C:\Users\20coeur\bvktco => déplacé(es) avec succès
C:\Users\20coeur\AppData\Roaming\C56753B3-B35E-4DAC-BD84-12E19AC3665C => déplacé(es) avec succès
C:\Program Files (x86)\Windows Loader => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1942634075-1306633489-566251467-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1942634075-1306633489-566251467-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17442736 B
Java, Flash, Steam htmlcache => 290617191 B
Windows/system/drivers => 22871170 B
Edge => 0 B
Chrome => 699900546 B
Firefox => 489011029 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 44848638 B
systemprofile32 => 27883060 B
LocalService => 42241 B
NetworkService => 0 B
20coeur => 244600401 B
UpdatusUser => 0 B
UpdatusUser => 0 B

RecycleBin => 0 B
EmptyTemp: => 1.7 GB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 05-08-2017 11:23:49)

"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer
Impossible de restaurer Hosts.

Fin de Fixlog 11:23:49

Répondre
Donnez votre avis
Utile
+1
plus moins
Voila

change tous tes mots de passe, ils ont dû être volés,

Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.

Cette réponse vous a-t-elle aidé ?  
s20coeur 5Messages postés samedi 5 août 2017Date d'inscription 5 août 2017 Dernière intervention - 5 août 2017 à 11:31
Un grand merci pour votre aide :o)
Répondre
Malekal_morte- 139307Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 15 octobre 2017 Dernière intervention - 5 août 2017 à 11:36
de rien, bon WE :)
Répondre
Donnez votre avis

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !