Fichier ouvert exécutable au démarrage - BioCredProv.exeRésolu/Fermé

Question

Bonjour, 


Desolé pour le derangement mais je viens d'installer windows 7 edition integral sur mon ordinateur et après avoir telechargé tous les pilotes j'ai aussi download les programmes utiles genre skype et j'en passe ... 
Seulement voilà, en telechargeant un programme Microsoft , j'ai l'impression d'avoir chopé un virus car un chaque demarrage, j'ai une fenêtre qui s'ouvre me demandant d'executer un programme .. Je me suis renseigné déjà un peu et dans un autre cas , le mec lui çà apparaissait dans ces processus et il disait ne plus pouvoir telecharger ! J'avoue avoir cliqué une fois dessus par mégarde mais çà a l'air de pas avoir fait la même chose que lui puisque çà n'apparait pas dans les processus 

Donc, ma question ... Comment supprimer ce fichier BioCredProv.exe qui veut s'executer au demarrage ? ( en passant ils me disent qu'il est situé dans C://user/Mon Dosser../AppData/Local/Temp .. mais j'en sais pas plus ... 

Merci pour votre aide !

Smart91 · Answer

Bonjour,

On va faire un diagnostic de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement" 
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur le tournevis à droite et coche toutes les cases
-  Clique sur la loupe  pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
-  Clique sur Parcourir et cherche le répertoire C:\ZHP
-  Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
-  Ensuite Clique sur "Envoyer le fichier". 
-  Copie le lien obtenu  dans ta réponse. 

Smart

PiTi-FoU · Answer

D'abord Merci pour ta reponse et pour ton explication detaillé ^^ 

et maintenant voilà ton lien : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130208_z14g14g12w8s12 

Merci

PiTi-FoU · Answer

Le lien c'était peut être celui là non ? 

https://pjjoint.malekal.com/files.php?read=ZHPDiag_20130208_z14g14g12w8s12

Desolé !

Smart91 · Answer

Tu es bien infecté, en particulier par plusieurs logiciels publicitaires... Pour éviter ce genre de problème :
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.

On va tout d'abord supprimer l'alerte BioCredProv.exe

A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
O4 - HKCU\..\Run: [Authorization Framework] . (.Microsoft Corporation - Authorization Framework.) -- C:\Users\TuchangerasaprèsxD\AppData\Roaming\Microsoft\Windows\Templates\authz.exe
O4 - HKCU\..\policies\Explorer\Run: [Policies] C:\Windows\system32\install\server.exe (.not file.)
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\AutoKMS.job
O53 - SMSR:HKLM\...\startupreg\Authorization Framework  [Key] . (.Microsoft Corporation - Authorization Framework.) -- C:\Users\TuchangerasaprèsxD\AppData\Roaming\Microsoft\Windows\Templates\authz.exe
O61 - LFC:Last File Created 30/12/1899 - 11:42:40 R-H-- C:\Users\TuchangerasaprèsxD\AppData\Local\Temp\BioCredProv.exe   [1533440]
[MD5.D6996FCD0EC06DAD3EAAB42FC918C7BB] [SPRF][07/02/2013] (.ArcSoft - Pas de description.) -- C:\Users\TuchangerasaprèsxD\AppData\Local\Temp\BioCredProv.exe   [1533440]
EmptyTemp
EmptyFlash


---------------------------------------------------------- 
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et redémarre le PC

Smart

PiTi-FoU · Answer

Merci pour tes conseils et oui c'est bien sur le site 01.net que j'ai téléchargé les logiciels ( et non je n'ai rien telechargé dans les pages publicitaires ^^ ) 

Voici le copié/collé du rapport  et maintenant je redemarre et te dirais la reponse après ! 

Rapport de ZHPFix 1.3.14 par Nicolas Coolman, Update du 05/02/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-08-02-2013-21-35-58.txt
Run by TuchangerasaprèsxD at 08/02/2013 21:35:58
Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)



========== Clé(s) du Registre ==========
SUPPRIME Key*:  StartupReg: Authorization Framework

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: Authorization Framework
SUPPRIME RunValue: Policies

========== Dossier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME c:\users	uchangerasaprèsxd\appdataoaming\microsoft\windows	emplates\authz.exe
ABSENT File: c:\windows\system32\install\server.exe
SUPPRIME c:\windows	asks\autokms.job
SUPPRIME Reboot c:\users	uchangerasaprèsxd\appdataoaming\microsoft\windows	emplates\authz.exe
SUPPRIME c:\users	uchangerasaprèsxd\appdata\local	emp\biocredprov.exe
ABSENT Folder/File: c:\users	uchangerasaprèsxd\appdata\local	emp\biocredprov.exe
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Valeur(s) du Registre
2 : Dossier(s)
8 : Fichier(s)

PiTi-FoU · Answer

Me revoilà ! 

Au demarrage plus de demande d'execution ! 

D'abord un grand merci à toi  :) et ensuite questions ->  je laisse tes logiciels conseillés installés ? tout est fini ? je met résolu ? 

Merci encore !!

Smart91 · Answer

Est-ce que tu as toujours l'alerte ?

Maintenant tu vas faire ceci:

- Télécharge sur ton bureau  AdwCleaner de Xplode
- Lance le
- Choisis "Recherche" et poste le rapport
- Le rapport se trouve ici ==> C:\AdwCleaner[R1].txt
 
Smart

PiTi-FoU · Answer

Rapport un peu long .. desolé ..

# AdwCleaner v2.111 - Rapport créé le 08/02/2013 à 21:45:45
# Mis à jour le 05/02/2013 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : TuchangerasaprèsxD - RAPHI
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\TuchangerasaprèsxD\Downloads\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Program Files (x86)\Yontoo
Dossier Présent : C:\ProgramData\Babylon
Dossier Présent : C:\ProgramData\Tarma Installer
Dossier Présent : C:\Users\TUCHAN~1\AppData\Local\Temp\Software
Dossier Présent : C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Extensions
iapdbllcanepiiimjjndipklodoedlc
Dossier Présent : C:\Users\TuchangerasaprèsxD\AppData\Roaming\Babylon

***** [Registre] *****

Clé Présente : HKCU\Software\DataMngr
Clé Présente : HKCU\Software\InstallCore
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Présente : HKCU\Software\58558ddfb538ee13
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Présente : HKLM\Software\Babylon
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Clé Présente : HKLM\SOFTWARE\Classes\Prod.cap
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Clé Présente : HKLM\Software\DataMngr
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{99066096-8989-4612-841F-621A01D54AD7}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
iapdbllcanepiiimjjndipklodoedlc
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Clé Présente : HKLM\SOFTWARE\Tarma Installer
Clé Présente : HKU\S-1-5-21-2025321638-1426741399-2541617635-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Donnée Présente : HKLM\..\Windows [AppInit_DLLs] = c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16457

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.delta-search.com/?affID=119370&tt=060213_9105_0&babsrc=HP_ss&mntrId=3cc6142b000000000000e4d53d83ad78

-\ Google Chrome v24.0.1312.57

Fichier : C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Preferences

Présente [l.12] : urls_to_restore_on_startup = [ "hxxp://www.google.com", "hxxp://search.babylon.com/?affID=108988&tt=3012_7&babsrc=HP_ss&mntrId=58c9f24000000000000070f395665db2", "hxxp://www.delta-search.com/?affID=119370&tt=060213_9105_0&babsrc=HP_ss&mntrId=3cc6142b000000000000e4d53d83ad78" ]
Présente [l.2376] : urls_to_restore_on_startup = [ "hxxp://www.google.com", "hxxp://search.babylon.com/?affID=108988&tt=3012_7&babsrc=HP_ss&mntrId=58c9f24000000000000070f395665db2", "hxxp://www.delta-search.com/?affID=119370&tt=060213_9105_0&babsrc=HP_ss&mntrId=3cc6142b000000000000e4d53d83ad78" ]

*************************

AdwCleaner[R1].txt - [4777 octets] - [08/02/2013 21:45:45]

########## EOF - C:\AdwCleaner[R1].txt - [4837 octets] ##########

Smart91 · Answer

C'est loin d'être terminé. On va essayé de te rendre un PC propre :-) 

- relance AdwCleaner
- Clique sur[Suppression]. Sauvegarde tout travail en cours puis accepte la fermeture des programmes en cours d'exécution.
- Patiente le temps du nettoyage.
- Une fois le scan fini, il te sera proposé de redémarrer.
- Au redémarrage du PC, un rapport s'ouvrira. Poste le contenu dans ta prochaine réponse.
- Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Ensuite tu fais ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

cela fait deux rapports à poster

Smart

PiTi-FoU · Answer

Voilà pour le premier rapport : 
 # AdwCleaner v2.111 - Rapport créé le 08/02/2013 à 21:55:20
# Mis à jour le 05/02/2013 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : TuchangerasaprèsxD - RAPHI
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\TuchangerasaprèsxD\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Yontoo
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\Users\TUCHAN~1\AppData\Local\Temp\Software
Dossier Supprimé : C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Extensions
iapdbllcanepiiimjjndipklodoedlc
Dossier Supprimé : C:\Users\TuchangerasaprèsxD\AppData\Roaming\Babylon

***** [Registre] *****

Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\58558ddfb538ee13
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{99066096-8989-4612-841F-621A01D54AD7}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
iapdbllcanepiiimjjndipklodoedlc
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
Donnée Supprimée : HKLM\..\Windows [AppInit_DLLs] = c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16457

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.delta-search.com/?affID=119370&tt=060213_9105_0&babsrc=HP_ss&mntrId=3cc6142b000000000000e4d53d83ad78 --> hxxp://www.google.com

-\ Google Chrome v24.0.1312.57

Fichier : C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.12] : urls_to_restore_on_startup = [ "hxxp://www.google.com", "hxxp://search.babylon.com/?affID=[...]
Supprimée [l.2382] : urls_to_restore_on_startup = [ "hxxp://www.google.com", "hxxp://search.babylon.com/?affID=108[...]

*************************

AdwCleaner[R1].txt - [4894 octets] - [08/02/2013 21:45:45]
AdwCleaner[S1].txt - [4401 octets] - [08/02/2013 21:55:20]

########## EOF - C:\AdwCleaner[S1].txt - [4461 octets] ##########

Le deuxieme je sais plus où le trouver vu que j'ai redemarré ... y avait 10 erreurs detectés ou infections je ne sais plus non plus le nom de la procedure x) 

Merci

Smart91 · Answer

Pour obtenir le rapport de MBAM (Malwarebytes):
- Lance MBAM
- Va dans l'onglet rapport/logs et poste le dernier rapport par rapport à la date et l'heure
 
Smart

PiTi-FoU · Answer

Voili Voilou :

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.08.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
TuchangerasaprèsxD :: RAPHI [administrateur]

Protection: Activé

08/02/2013 22:05:23
mbam-log-2013-02-08 (22-05-23).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 333797
Temps écoulé: 30 minute(s), 57 seconde(s)

Processus mémoire détecté(s): 1
C:\Users\TuchangerasaprèsxD\AppData\Roaming\Microsoft\Windows\Templates\authz.exe (Trojan.FakeMS) -> 3820 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{VX24I44T-IXGA-2P5A-2L1U-01M8855044L2} (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{VX24I44T-IXGA-2P5A-2L1U-01M8855044L2} (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Authorization Framework (Trojan.FakeMS) -> Données: C:\Users\TuchangerasaprèsxD\AppData\Roaming\Microsoft\Windows\Templates\authz.exe -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Policies (Backdoor.Agent) -> Données: C:\Windows\system32\install\server.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
C:\Users\TuchangerasaprèsxD\AppData\Roaming\Microsoft\Windows\Templates\authz.exe (Trojan.FakeMS) -> Suppression au redémarrage.
C:\Windows\System32\install\server.exe (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\ZHP\Quarantine\authz.exe.VIR (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\ZHP\Quarantine\biocredprov.exe.VIR (Spyware.Password) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\SysWOW64\install\server.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.

(fin)

Smart91 · Answer

Est-ce que le PC avait bien redémarré après le passage de ZHPFix ?
Et de même après le passage de MBAM ? Si c'est non fais le

Ensuite refais un scan ZHPDiag et poste le rapport via pjjoint.

Smart

PiTi-FoU · Answer

Derniere Etape .. : 

https://pjjoint.malekal.com/files.php?read=ZHPDiag_20130208_p11n14l5t5j15 

Voilà :)

Smart91 · Answer

Tu n'as pas répondu à mes questions ?  

Je regarde le rapport. 

Tu ne résides pas en métropole ? la Réunion peut-être ?  

Smart   
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

PiTi-FoU · Answer

Ah Désolé j'ai cru y avoir repondu ... Effectivement j'habite à la Reunion ^^ perspicace xD 

Et oui oui j'ai du redemarré au moins 3fois jcrois pour chaque truc que j'ai entamé ^^

Smart91 · Answer

"Effectivement j'habite à la Réunion ^^ perspicace xD " 
En effet, il suffit de lire l'heure à laquelle le scan ZHPdiag a été fait :-)

Relance MBAM et vide la quarantaine

Ensuite on va supprimer les restes

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
O61 - LFC:Last File Created 08/02/2013 - 22:01:34 ---A- C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Extensions\pgjflcoiggljdahilbdhjodelfpgaebm\1.21.33_0\crossriderManifest.json   [369]
O61 - LFC:Last File Created 08/02/2013 - 22:01:36 ---A- C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.2_0\static\img\lollipop.png   [1789]
O61 - LFC:Last File Created 08/02/2013 - 22:01:36 ---A- C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.2_0\views\blekko.tpl   [426]
[MD5.00000000000000000000000000000000] [APT] [{170BEE9D-B28A-452F-A416-56C7BDB0D44E}] (...) -- C:\Users\TuchangerasaprèsxD\AppData\Local\Temp\Temp1_eRecovery_Acer_3.0.3014_Vistax64Vistax86_A.zip\eRecovery_Acer_v3.0.3014_Vista(SP1)\Acer eRecovery Manageme
[MD5.00000000000000000000000000000000] [APT] [{96E174DB-9B14-4307-B12E-C115BDA2C647}] (...) -- C:\Users\TuchangerasaprèsxD\Downloads\windows-media-player-11_windows_media_player_11.0_francais_20085.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{F9142C27-54CE-4327-B12F-AE8C5E671C7B}] (...) -- C:\Users\TuchangerasaprèsxD\Downloads\3G_Huawei_3.17.00.00_W7x64_A\3G_Huawei_3.17.00.00_W7x64\DriverSetup.exe (.not file.)
EmptyTemp
EmptyFlash
FirewallRAZ


---------------------------------------------------------- 
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et redémarre le PC

Smart

PiTi-FoU · Answer

Rapport :) 

Rapport de ZHPFix 1.3.14 par Nicolas Coolman, Update du 05/02/2013
Fichier d'export Registre : 
Run by TuchangerasaprèsxD at 09/02/2013 00:39:30
Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)



========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 

========== Dossier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME c:\users	uchangerasaprèsxd\appdata\local\google\chrome\user data\default\extensions\pgjflcoiggljdahilbdhjodelfpgaebm\1.21.33_0\crossridermanifest.json
SUPPRIME c:\users	uchangerasaprèsxd\appdata\local\google\chrome\user data\default\extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.2_0\static\img\lollipop.png
SUPPRIME c:\users	uchangerasaprèsxd\appdata\local\google\chrome\user data\default\extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.2_0\views\blekko.tpl
ABSENT Folder/File: c:\users	uchangerasaprèsxd\appdata\local	emp	emp1_erecovery_acer_3.0.3014_vistax64vistax86_a.zip\erecovery_acer_v3.0.3014_vista(sp1)\acer erecovery manageme
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Tache planifiée ==========
SUPPRIME Task: {170BEE9D-B28A-452F-A416-56C7BDB0D44E}
SUPPRIME Task: {96E174DB-9B14-4307-B12E-C115BDA2C647}
SUPPRIME Task: {F9142C27-54CE-4327-B12F-AE8C5E671C7B}


========== Récapitulatif ==========
2 : Valeur(s) du Registre
2 : Dossier(s)
6 : Fichier(s)
3 : Tache planifiée


End of clean in 00mn 12s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 08/02/2013 21:35:58 [1314]
C:\ZHP\ZHPFix[R2].txt - 09/02/2013 00:39:30 [1657]

Smart91 · Answer

Refais un scan ZHPDiag et poste le rapport via pjjoint.
Ensuite on va passer à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet
 
Smart

PiTi-FoU · Answer

Bonjour ! x) 

he bien he bien mon ordinateur était si infecté que çà ? :/ 

voilà ton lien : https://pjjoint.malekal.com/files.php?read=ZHPDiag_20130209_k15b7m13s13r9 

Merci

Smart91 · Answer

Re salut Piti-Fou

G3n a raison. Je ne t'ai rien dit concernavt les craks car j'attendais la fin de la désinfection pour te donner les conseils de prévention et en particulier sur la dangerosité des cracks
Lis bien ce dossier ci-dessus:
Les dangers des cr@cks

Bon on continue:

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : http://www.filehippo.com/updatechecker/UpdateChecker.exe
et lis ceci: Pourquoi tenir ses programmes a jour 

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Vérifis que la case "Supprimer les outils de désinfection" soit cochée 
- Clique sur Exécuter 
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. 


2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Il est nécessaire de désactiver puis réactiver la restauration système de Windows 7 pour la purger

Quelques conseils de Prévention

- Réactive l'UAC si ce n'est pas déjà fait. ==> https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

Installe l'extension de sécurité adblock plus pour bloquer les publicités 
FirefFox ==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html
Chrome ==> https://www.commentcamarche.net/telecharger/web-internet/25023-adblock-plus/

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 
Pour Chrome: https://telecharger.tomsguide.fr/

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Installe également ce programme quiva bloquer tous les sites qui proposent  des adwares HOSTS Anti-PUPs/Adware
Voici un tuto pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Si tu souhaites désinstaller plus tard  HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau.
Tu  peux  aussi lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commande.

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html 

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up publicitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

PapiFed · Answer

Help Smart91 ! même problème chez moi !

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130421_u8r12o6c15p11

Smart91 · Answer

Salut PapiFed,

Ce sujet est résolu, je te conseille de créer une nouvelle discussion sur le forum Virus/sécurité. C'est le meilleur d'avoir des réponses à ton problème 

Smart

Smart91 · Answer

:-)

Fichier ouvert exécutable au démarrage -> BioCredProv.exe

24 réponses

Discussions similaires

Newsletters