Fichier ouvert exécutable au démarrage -> BioCredProv.exe [Résolu/Fermé]

Signaler
Messages postés
15
Date d'inscription
vendredi 8 février 2013
Statut
Membre
Dernière intervention
9 février 2013
-
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
-
Bonjour,


Desolé pour le derangement mais je viens d'installer windows 7 edition integral sur mon ordinateur et après avoir telechargé tous les pilotes j'ai aussi download les programmes utiles genre skype et j'en passe ...
Seulement voilà, en telechargeant un programme Microsoft , j'ai l'impression d'avoir chopé un virus car un chaque demarrage, j'ai une fenêtre qui s'ouvre me demandant d'executer un programme .. Je me suis renseigné déjà un peu et dans un autre cas , le mec lui çà apparaissait dans ces processus et il disait ne plus pouvoir telecharger ! J'avoue avoir cliqué une fois dessus par mégarde mais çà a l'air de pas avoir fait la même chose que lui puisque çà n'apparait pas dans les processus

Donc, ma question ... Comment supprimer ce fichier BioCredProv.exe qui veut s'executer au demarrage ? ( en passant ils me disent qu'il est situé dans C://user/Mon Dosser../AppData/Local/Temp .. mais j'en sais pas plus ...

Merci pour votre aide !

24 réponses

Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 241
Bonjour,

On va faire un diagnostic de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur le tournevis à droite et coche toutes les cases
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche le répertoire C:\ZHP
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier".
- Copie le lien obtenu dans ta réponse.

Smart
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 76687 internautes nous ont dit merci ce mois-ci

Messages postés
15
Date d'inscription
vendredi 8 février 2013
Statut
Membre
Dernière intervention
9 février 2013

D'abord Merci pour ta reponse et pour ton explication detaillé ^^

et maintenant voilà ton lien : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130208_z14g14g12w8s12

Merci
Messages postés
15
Date d'inscription
vendredi 8 février 2013
Statut
Membre
Dernière intervention
9 février 2013

Le lien c'était peut être celui là non ?

https://pjjoint.malekal.com/files.php?read=ZHPDiag_20130208_z14g14g12w8s12

Desolé !
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 241
Tu es bien infecté, en particulier par plusieurs logiciels publicitaires... Pour éviter ce genre de problème :
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.

On va tout d'abord supprimer l'alerte BioCredProv.exe

A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\



- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
O4 - HKCU\..\Run: [Authorization Framework] . (.Microsoft Corporation - Authorization Framework.) -- C:\Users\TuchangerasaprèsxD\AppData\Roaming\Microsoft\Windows\Templates\authz.exe
O4 - HKCU\..\policies\Explorer\Run: [Policies] C:\Windows\system32\install\server.exe (.not file.)
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\AutoKMS.job
O53 - SMSR:HKLM\...\startupreg\Authorization Framework [Key] . (.Microsoft Corporation - Authorization Framework.) -- C:\Users\TuchangerasaprèsxD\AppData\Roaming\Microsoft\Windows\Templates\authz.exe
O61 - LFC:Last File Created 30/12/1899 - 11:42:40 R-H-- C:\Users\TuchangerasaprèsxD\AppData\Local\Temp\BioCredProv.exe [1533440]
[MD5.D6996FCD0EC06DAD3EAAB42FC918C7BB] [SPRF][07/02/2013] (.ArcSoft - Pas de description.) -- C:\Users\TuchangerasaprèsxD\AppData\Local\Temp\BioCredProv.exe [1533440]
EmptyTemp
EmptyFlash



----------------------------------------------------------
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Et redémarre le PC

Smart
Messages postés
15
Date d'inscription
vendredi 8 février 2013
Statut
Membre
Dernière intervention
9 février 2013

Merci pour tes conseils et oui c'est bien sur le site 01.net que j'ai téléchargé les logiciels ( et non je n'ai rien telechargé dans les pages publicitaires ^^ )

Voici le copié/collé du rapport et maintenant je redemarre et te dirais la reponse après !

Rapport de ZHPFix 1.3.14 par Nicolas Coolman, Update du 05/02/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-08-02-2013-21-35-58.txt
Run by TuchangerasaprèsxD at 08/02/2013 21:35:58
Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)



========== Clé(s) du Registre ==========
SUPPRIME Key*: StartupReg: Authorization Framework

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: Authorization Framework
SUPPRIME RunValue: Policies

========== Dossier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME c:\users\tuchangerasaprèsxd\appdata\roaming\microsoft\windows\templates\authz.exe
ABSENT File: c:\windows\system32\install\server.exe
SUPPRIME c:\windows\tasks\autokms.job
SUPPRIME Reboot c:\users\tuchangerasaprèsxd\appdata\roaming\microsoft\windows\templates\authz.exe
SUPPRIME c:\users\tuchangerasaprèsxd\appdata\local\temp\biocredprov.exe
ABSENT Folder/File: c:\users\tuchangerasaprèsxd\appdata\local\temp\biocredprov.exe
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Valeur(s) du Registre
2 : Dossier(s)
8 : Fichier(s)
Messages postés
15
Date d'inscription
vendredi 8 février 2013
Statut
Membre
Dernière intervention
9 février 2013

Me revoilà !

Au demarrage plus de demande d'execution !

D'abord un grand merci à toi :) et ensuite questions -> je laisse tes logiciels conseillés installés ? tout est fini ? je met résolu ?

Merci encore !!
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 241
Est-ce que tu as toujours l'alerte ?

Maintenant tu vas faire ceci:

- Télécharge sur ton bureau AdwCleaner de Xplode
- Lance le
- Choisis "Recherche" et poste le rapport
- Le rapport se trouve ici ==> C:\AdwCleaner[R1].txt

Smart
Messages postés
15
Date d'inscription
vendredi 8 février 2013
Statut
Membre
Dernière intervention
9 février 2013

Rapport un peu long .. desolé ..

# AdwCleaner v2.111 - Rapport créé le 08/02/2013 à 21:45:45
# Mis à jour le 05/02/2013 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : TuchangerasaprèsxD - RAPHI
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\TuchangerasaprèsxD\Downloads\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Program Files (x86)\Yontoo
Dossier Présent : C:\ProgramData\Babylon
Dossier Présent : C:\ProgramData\Tarma Installer
Dossier Présent : C:\Users\TUCHAN~1\AppData\Local\Temp\Software
Dossier Présent : C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc
Dossier Présent : C:\Users\TuchangerasaprèsxD\AppData\Roaming\Babylon

***** [Registre] *****

Clé Présente : HKCU\Software\DataMngr
Clé Présente : HKCU\Software\InstallCore
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Présente : HKCU\Software\58558ddfb538ee13
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Présente : HKLM\Software\Babylon
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Clé Présente : HKLM\SOFTWARE\Classes\Prod.cap
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Clé Présente : HKLM\Software\DataMngr
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{99066096-8989-4612-841F-621A01D54AD7}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\niapdbllcanepiiimjjndipklodoedlc
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Clé Présente : HKLM\SOFTWARE\Tarma Installer
Clé Présente : HKU\S-1-5-21-2025321638-1426741399-2541617635-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Donnée Présente : HKLM\..\Windows [AppInit_DLLs] = c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16457

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.delta-search.com/?affID=119370&tt=060213_9105_0&babsrc=HP_ss&mntrId=3cc6142b000000000000e4d53d83ad78

-\\ Google Chrome v24.0.1312.57

Fichier : C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Preferences

Présente [l.12] : urls_to_restore_on_startup = [ "hxxp://www.google.com", "hxxp://search.babylon.com/?affID=108988&tt=3012_7&babsrc=HP_ss&mntrId=58c9f24000000000000070f395665db2", "hxxp://www.delta-search.com/?affID=119370&tt=060213_9105_0&babsrc=HP_ss&mntrId=3cc6142b000000000000e4d53d83ad78" ]
Présente [l.2376] : urls_to_restore_on_startup = [ "hxxp://www.google.com", "hxxp://search.babylon.com/?affID=108988&tt=3012_7&babsrc=HP_ss&mntrId=58c9f24000000000000070f395665db2", "hxxp://www.delta-search.com/?affID=119370&tt=060213_9105_0&babsrc=HP_ss&mntrId=3cc6142b000000000000e4d53d83ad78" ]

*************************

AdwCleaner[R1].txt - [4777 octets] - [08/02/2013 21:45:45]

########## EOF - C:\AdwCleaner[R1].txt - [4837 octets] ##########
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 241
C'est loin d'être terminé. On va essayé de te rendre un PC propre :-)

- relance AdwCleaner
- Clique sur[Suppression]. Sauvegarde tout travail en cours puis accepte la fermeture des programmes en cours d'exécution.
- Patiente le temps du nettoyage.
- Une fois le scan fini, il te sera proposé de redémarrer.
- Au redémarrage du PC, un rapport s'ouvrira. Poste le contenu dans ta prochaine réponse.
- Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Ensuite tu fais ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

cela fait deux rapports à poster

Smart
Messages postés
15
Date d'inscription
vendredi 8 février 2013
Statut
Membre
Dernière intervention
9 février 2013

Voilà pour le premier rapport :
# AdwCleaner v2.111 - Rapport créé le 08/02/2013 à 21:55:20
# Mis à jour le 05/02/2013 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : TuchangerasaprèsxD - RAPHI
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\TuchangerasaprèsxD\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Yontoo
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\Users\TUCHAN~1\AppData\Local\Temp\Software
Dossier Supprimé : C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc
Dossier Supprimé : C:\Users\TuchangerasaprèsxD\AppData\Roaming\Babylon

***** [Registre] *****

Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\58558ddfb538ee13
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{99066096-8989-4612-841F-621A01D54AD7}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\niapdbllcanepiiimjjndipklodoedlc
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
Donnée Supprimée : HKLM\..\Windows [AppInit_DLLs] = c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16457

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.delta-search.com/?affID=119370&tt=060213_9105_0&babsrc=HP_ss&mntrId=3cc6142b000000000000e4d53d83ad78 --> hxxp://www.google.com

-\\ Google Chrome v24.0.1312.57

Fichier : C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.12] : urls_to_restore_on_startup = [ "hxxp://www.google.com", "hxxp://search.babylon.com/?affID=[...]
Supprimée [l.2382] : urls_to_restore_on_startup = [ "hxxp://www.google.com", "hxxp://search.babylon.com/?affID=108[...]

*************************

AdwCleaner[R1].txt - [4894 octets] - [08/02/2013 21:45:45]
AdwCleaner[S1].txt - [4401 octets] - [08/02/2013 21:55:20]

########## EOF - C:\AdwCleaner[S1].txt - [4461 octets] ##########

Le deuxieme je sais plus où le trouver vu que j'ai redemarré ... y avait 10 erreurs detectés ou infections je ne sais plus non plus le nom de la procedure x)

Merci
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 241
Pour obtenir le rapport de MBAM (Malwarebytes):
- Lance MBAM
- Va dans l'onglet rapport/logs et poste le dernier rapport par rapport à la date et l'heure

Smart
Messages postés
15
Date d'inscription
vendredi 8 février 2013
Statut
Membre
Dernière intervention
9 février 2013

Voili Voilou :

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.08.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
TuchangerasaprèsxD :: RAPHI [administrateur]

Protection: Activé

08/02/2013 22:05:23
mbam-log-2013-02-08 (22-05-23).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 333797
Temps écoulé: 30 minute(s), 57 seconde(s)

Processus mémoire détecté(s): 1
C:\Users\TuchangerasaprèsxD\AppData\Roaming\Microsoft\Windows\Templates\authz.exe (Trojan.FakeMS) -> 3820 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{VX24I44T-IXGA-2P5A-2L1U-01M8855044L2} (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{VX24I44T-IXGA-2P5A-2L1U-01M8855044L2} (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Authorization Framework (Trojan.FakeMS) -> Données: C:\Users\TuchangerasaprèsxD\AppData\Roaming\Microsoft\Windows\Templates\authz.exe -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Policies (Backdoor.Agent) -> Données: C:\Windows\system32\install\server.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
C:\Users\TuchangerasaprèsxD\AppData\Roaming\Microsoft\Windows\Templates\authz.exe (Trojan.FakeMS) -> Suppression au redémarrage.
C:\Windows\System32\install\server.exe (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\ZHP\Quarantine\authz.exe.VIR (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\ZHP\Quarantine\biocredprov.exe.VIR (Spyware.Password) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\SysWOW64\install\server.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.

(fin)
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 241
Est-ce que le PC avait bien redémarré après le passage de ZHPFix ?
Et de même après le passage de MBAM ? Si c'est non fais le

Ensuite refais un scan ZHPDiag et poste le rapport via pjjoint.

Smart
Messages postés
15
Date d'inscription
vendredi 8 février 2013
Statut
Membre
Dernière intervention
9 février 2013

Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 241
Tu n'as pas répondu à mes questions ?

Je regarde le rapport.

Tu ne résides pas en métropole ? la Réunion peut-être ?

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Messages postés
15
Date d'inscription
vendredi 8 février 2013
Statut
Membre
Dernière intervention
9 février 2013

Ah Désolé j'ai cru y avoir repondu ... Effectivement j'habite à la Reunion ^^ perspicace xD

Et oui oui j'ai du redemarré au moins 3fois jcrois pour chaque truc que j'ai entamé ^^
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 241
"Effectivement j'habite à la Réunion ^^ perspicace xD "
En effet, il suffit de lire l'heure à laquelle le scan ZHPdiag a été fait :-)

Relance MBAM et vide la quarantaine

Ensuite on va supprimer les restes

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
O61 - LFC:Last File Created 08/02/2013 - 22:01:34 ---A- C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Extensions\pgjflcoiggljdahilbdhjodelfpgaebm\1.21.33_0\crossriderManifest.json [369]
O61 - LFC:Last File Created 08/02/2013 - 22:01:36 ---A- C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.2_0\static\img\lollipop.png [1789]
O61 - LFC:Last File Created 08/02/2013 - 22:01:36 ---A- C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.2_0\views\blekko.tpl [426]
[MD5.00000000000000000000000000000000] [APT] [{170BEE9D-B28A-452F-A416-56C7BDB0D44E}] (...) -- C:\Users\TuchangerasaprèsxD\AppData\Local\Temp\Temp1_eRecovery_Acer_3.0.3014_Vistax64Vistax86_A.zip\eRecovery_Acer_v3.0.3014_Vista(SP1)\Acer eRecovery Manageme
[MD5.00000000000000000000000000000000] [APT] [{96E174DB-9B14-4307-B12E-C115BDA2C647}] (...) -- C:\Users\TuchangerasaprèsxD\Downloads\windows-media-player-11_windows_media_player_11.0_francais_20085.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{F9142C27-54CE-4327-B12F-AE8C5E671C7B}] (...) -- C:\Users\TuchangerasaprèsxD\Downloads\3G_Huawei_3.17.00.00_W7x64_A\3G_Huawei_3.17.00.00_W7x64\DriverSetup.exe (.not file.)
EmptyTemp
EmptyFlash
FirewallRAZ



----------------------------------------------------------
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Et redémarre le PC

Smart
Messages postés
15
Date d'inscription
vendredi 8 février 2013
Statut
Membre
Dernière intervention
9 février 2013

Rapport :)

Rapport de ZHPFix 1.3.14 par Nicolas Coolman, Update du 05/02/2013
Fichier d'export Registre :
Run by TuchangerasaprèsxD at 09/02/2013 00:39:30
Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)



========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :

========== Dossier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME c:\users\tuchangerasaprèsxd\appdata\local\google\chrome\user data\default\extensions\pgjflcoiggljdahilbdhjodelfpgaebm\1.21.33_0\crossridermanifest.json
SUPPRIME c:\users\tuchangerasaprèsxd\appdata\local\google\chrome\user data\default\extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.2_0\static\img\lollipop.png
SUPPRIME c:\users\tuchangerasaprèsxd\appdata\local\google\chrome\user data\default\extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.2_0\views\blekko.tpl
ABSENT Folder/File: c:\users\tuchangerasaprèsxd\appdata\local\temp\temp1_erecovery_acer_3.0.3014_vistax64vistax86_a.zip\erecovery_acer_v3.0.3014_vista(sp1)\acer erecovery manageme
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Tache planifiée ==========
SUPPRIME Task: {170BEE9D-B28A-452F-A416-56C7BDB0D44E}
SUPPRIME Task: {96E174DB-9B14-4307-B12E-C115BDA2C647}
SUPPRIME Task: {F9142C27-54CE-4327-B12F-AE8C5E671C7B}


========== Récapitulatif ==========
2 : Valeur(s) du Registre
2 : Dossier(s)
6 : Fichier(s)
3 : Tache planifiée


End of clean in 00mn 12s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 08/02/2013 21:35:58 [1314]
C:\ZHP\ZHPFix[R2].txt - 09/02/2013 00:39:30 [1657]
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 241
Refais un scan ZHPDiag et poste le rapport via pjjoint.
Ensuite on va passer à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart
Messages postés
15
Date d'inscription
vendredi 8 février 2013
Statut
Membre
Dernière intervention
9 février 2013

Bonjour ! x)

he bien he bien mon ordinateur était si infecté que çà ? :/

voilà ton lien : https://pjjoint.malekal.com/files.php?read=ZHPDiag_20130209_k15b7m13s13r9

Merci
Messages postés
42938
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
3 décembre 2020
3 552
Si si il existe une alternative à Office qui s'appelle Libre Office
Messages postés
15
Date d'inscription
vendredi 8 février 2013
Statut
Membre
Dernière intervention
9 février 2013

faut ecouter et lire hein .. mais bon ..
Messages postés
13212
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 septembre 2020
923
sauf que les cr*cks infectent ton pc avec des backdoors mais bon....ce n'est pas celui d'office qui t'a infecté de ca....
Messages postés
15
Date d'inscription
vendredi 8 février 2013
Statut
Membre
Dernière intervention
9 février 2013

regarde les rapports .. mon ordi est presque neuf j'ai presque rien telechargé donc je sais pas ce qui a pu se passer
Messages postés
13212
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 septembre 2020
923
ca :

Clé(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{VX24I44T-IXGA-2P5A-2L1U-01M8855044L2} (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{VX24I44T-IXGA-2P5A-2L1U-01M8855044L2} (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\install\server.exe (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.

ca vient d'un cr*ck pourri

je vous laisse bonne journée

tant que tu cr*ckeras les progs ton pc sera infecté