Fichier ouvert exécutable au démarrage -> BioCredProv.exe

Résolu
PiTi-FoU Messages postés 15 Date d'inscription   Statut Membre Dernière intervention   -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,

Desolé pour le derangement mais je viens d'installer windows 7 edition integral sur mon ordinateur et après avoir telechargé tous les pilotes j'ai aussi download les programmes utiles genre skype et j'en passe ...
Seulement voilà, en telechargeant un programme Microsoft , j'ai l'impression d'avoir chopé un virus car un chaque demarrage, j'ai une fenêtre qui s'ouvre me demandant d'executer un programme .. Je me suis renseigné déjà un peu et dans un autre cas , le mec lui çà apparaissait dans ces processus et il disait ne plus pouvoir telecharger ! J'avoue avoir cliqué une fois dessus par mégarde mais çà a l'air de pas avoir fait la même chose que lui puisque çà n'apparait pas dans les processus

Donc, ma question ... Comment supprimer ce fichier BioCredProv.exe qui veut s'executer au demarrage ? ( en passant ils me disent qu'il est situé dans C://user/Mon Dosser../AppData/Local/Temp .. mais j'en sais pas plus ...

Merci pour votre aide !

24 réponses

  • 1
  • 2
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    On va faire un diagnostic de ton PC:

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    - Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
    - Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur le tournevis à droite et coche toutes les cases
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
    - Clique sur Parcourir et cherche le répertoire C:\ZHP
    - Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
    - Ensuite Clique sur "Envoyer le fichier".
    - Copie le lien obtenu dans ta réponse.

    Smart
    1
  2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu es bien infecté, en particulier par plusieurs logiciels publicitaires... Pour éviter ce genre de problème :
    - Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
    - Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.

    On va tout d'abord supprimer l'alerte BioCredProv.exe

    A l'attention de ceux qui parcourent le sujet:
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    - Ferme toutes tes applications en cours
    - Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
    - Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    - Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
    - Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    O4 - HKCU\..\Run: [Authorization Framework] . (.Microsoft Corporation - Authorization Framework.) -- C:\Users\TuchangerasaprèsxD\AppData\Roaming\Microsoft\Windows\Templates\authz.exe
    O4 - HKCU\..\policies\Explorer\Run: [Policies] C:\Windows\system32\install\server.exe (.not file.)
    O39 - APT:Automatic Planified Task - C:\Windows\Tasks\AutoKMS.job
    O53 - SMSR:HKLM\...\startupreg\Authorization Framework [Key] . (.Microsoft Corporation - Authorization Framework.) -- C:\Users\TuchangerasaprèsxD\AppData\Roaming\Microsoft\Windows\Templates\authz.exe
    O61 - LFC:Last File Created 30/12/1899 - 11:42:40 R-H-- C:\Users\TuchangerasaprèsxD\AppData\Local\Temp\BioCredProv.exe [1533440]
    [MD5.D6996FCD0EC06DAD3EAAB42FC918C7BB] [SPRF][07/02/2013] (.ArcSoft - Pas de description.) -- C:\Users\TuchangerasaprèsxD\AppData\Local\Temp\BioCredProv.exe [1533440]
    EmptyTemp
    EmptyFlash


    ----------------------------------------------------------
    - Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour le lancer le nettoyage
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Et redémarre le PC

    Smart
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. PiTi-FoU Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Merci pour tes conseils et oui c'est bien sur le site 01.net que j'ai téléchargé les logiciels ( et non je n'ai rien telechargé dans les pages publicitaires ^^ )

    Voici le copié/collé du rapport et maintenant je redemarre et te dirais la reponse après !

    Rapport de ZHPFix 1.3.14 par Nicolas Coolman, Update du 05/02/2013
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-08-02-2013-21-35-58.txt
    Run by TuchangerasaprèsxD at 08/02/2013 21:35:58
    Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)

    ========== Clé(s) du Registre ==========
    SUPPRIME Key*: StartupReg: Authorization Framework

    ========== Valeur(s) du Registre ==========
    SUPPRIME RunValue: Authorization Framework
    SUPPRIME RunValue: Policies

    ========== Dossier(s) ==========
    SUPPRIME Temporaires Windows:
    SUPPRIME Flash Cookies:

    ========== Fichier(s) ==========
    SUPPRIME c:\users\tuchangerasaprèsxd\appdata\roaming\microsoft\windows\templates\authz.exe
    ABSENT File: c:\windows\system32\install\server.exe
    SUPPRIME c:\windows\tasks\autokms.job
    SUPPRIME Reboot c:\users\tuchangerasaprèsxd\appdata\roaming\microsoft\windows\templates\authz.exe
    SUPPRIME c:\users\tuchangerasaprèsxd\appdata\local\temp\biocredprov.exe
    ABSENT Folder/File: c:\users\tuchangerasaprèsxd\appdata\local\temp\biocredprov.exe
    SUPPRIME Temporaires Windows:
    SUPPRIME Flash Cookies:

    ========== Récapitulatif ==========
    1 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    2 : Dossier(s)
    8 : Fichier(s)
    0
  5. PiTi-FoU Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Me revoilà !

    Au demarrage plus de demande d'execution !

    D'abord un grand merci à toi :) et ensuite questions -> je laisse tes logiciels conseillés installés ? tout est fini ? je met résolu ?

    Merci encore !!
    0
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Est-ce que tu as toujours l'alerte ?

    Maintenant tu vas faire ceci:

    - Télécharge sur ton bureau AdwCleaner de Xplode
    - Lance le
    - Choisis "Recherche" et poste le rapport
    - Le rapport se trouve ici ==> C:\AdwCleaner[R1].txt

    Smart
    0
  7. PiTi-FoU Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Rapport un peu long .. desolé ..

    # AdwCleaner v2.111 - Rapport créé le 08/02/2013 à 21:45:45
    # Mis à jour le 05/02/2013 par Xplode
    # Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
    # Nom d'utilisateur : TuchangerasaprèsxD - RAPHI
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\TuchangerasaprèsxD\Downloads\adwcleaner.exe
    # Option [Recherche]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Présent : C:\Program Files (x86)\Yontoo
    Dossier Présent : C:\ProgramData\Babylon
    Dossier Présent : C:\ProgramData\Tarma Installer
    Dossier Présent : C:\Users\TUCHAN~1\AppData\Local\Temp\Software
    Dossier Présent : C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc
    Dossier Présent : C:\Users\TuchangerasaprèsxD\AppData\Roaming\Babylon

    ***** [Registre] *****

    Clé Présente : HKCU\Software\DataMngr
    Clé Présente : HKCU\Software\InstallCore
    Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
    Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
    Clé Présente : HKCU\Software\58558ddfb538ee13
    Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
    Clé Présente : HKLM\Software\Babylon
    Clé Présente : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
    Clé Présente : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
    Clé Présente : HKLM\SOFTWARE\Classes\Prod.cap
    Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
    Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Api
    Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
    Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
    Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
    Clé Présente : HKLM\Software\DataMngr
    Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
    Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
    Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
    Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
    Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
    Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{99066096-8989-4612-841F-621A01D54AD7}
    Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
    Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
    Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
    Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
    Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
    Clé Présente : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\niapdbllcanepiiimjjndipklodoedlc
    Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
    Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
    Clé Présente : HKLM\SOFTWARE\Tarma Installer
    Clé Présente : HKU\S-1-5-21-2025321638-1426741399-2541617635-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
    Donnée Présente : HKLM\..\Windows [AppInit_DLLs] = c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16457

    [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.delta-search.com/?affID=119370&tt=060213_9105_0&babsrc=HP_ss&mntrId=3cc6142b000000000000e4d53d83ad78

    -\\ Google Chrome v24.0.1312.57

    Fichier : C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Preferences

    Présente [l.12] : urls_to_restore_on_startup = [ "hxxp://www.google.com", "hxxp://search.babylon.com/?affID=108988&tt=3012_7&babsrc=HP_ss&mntrId=58c9f24000000000000070f395665db2", "hxxp://www.delta-search.com/?affID=119370&tt=060213_9105_0&babsrc=HP_ss&mntrId=3cc6142b000000000000e4d53d83ad78" ]
    Présente [l.2376] : urls_to_restore_on_startup = [ "hxxp://www.google.com", "hxxp://search.babylon.com/?affID=108988&tt=3012_7&babsrc=HP_ss&mntrId=58c9f24000000000000070f395665db2", "hxxp://www.delta-search.com/?affID=119370&tt=060213_9105_0&babsrc=HP_ss&mntrId=3cc6142b000000000000e4d53d83ad78" ]

    *************************

    AdwCleaner[R1].txt - [4777 octets] - [08/02/2013 21:45:45]

    ########## EOF - C:\AdwCleaner[R1].txt - [4837 octets] ##########
    0
  8. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    C'est loin d'être terminé. On va essayé de te rendre un PC propre :-)

    - relance AdwCleaner
    - Clique sur[Suppression]. Sauvegarde tout travail en cours puis accepte la fermeture des programmes en cours d'exécution.
    - Patiente le temps du nettoyage.
    - Une fois le scan fini, il te sera proposé de redémarrer.
    - Au redémarrage du PC, un rapport s'ouvrira. Poste le contenu dans ta prochaine réponse.
    - Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    Ensuite tu fais ceci:

    * Télécharge et installe Malwarebytes
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
    * Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
    * A la fin de l'analyse, clique sur "Afficher les résultats"
    * Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
    * Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

    cela fait deux rapports à poster

    Smart
    0
  9. PiTi-FoU Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Voilà pour le premier rapport :
    # AdwCleaner v2.111 - Rapport créé le 08/02/2013 à 21:55:20
    # Mis à jour le 05/02/2013 par Xplode
    # Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
    # Nom d'utilisateur : TuchangerasaprèsxD - RAPHI
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\TuchangerasaprèsxD\Downloads\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Program Files (x86)\Yontoo
    Dossier Supprimé : C:\ProgramData\Babylon
    Dossier Supprimé : C:\ProgramData\Tarma Installer
    Dossier Supprimé : C:\Users\TUCHAN~1\AppData\Local\Temp\Software
    Dossier Supprimé : C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc
    Dossier Supprimé : C:\Users\TuchangerasaprèsxD\AppData\Roaming\Babylon

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\DataMngr
    Clé Supprimée : HKCU\Software\InstallCore
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
    Clé Supprimée : HKCU\Software\58558ddfb538ee13
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
    Clé Supprimée : HKLM\Software\Babylon
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
    Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api
    Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
    Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
    Clé Supprimée : HKLM\Software\DataMngr
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{99066096-8989-4612-841F-621A01D54AD7}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\niapdbllcanepiiimjjndipklodoedlc
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
    Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
    Donnée Supprimée : HKLM\..\Windows [AppInit_DLLs] = c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16457

    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.delta-search.com/?affID=119370&tt=060213_9105_0&babsrc=HP_ss&mntrId=3cc6142b000000000000e4d53d83ad78 --> hxxp://www.google.com

    -\\ Google Chrome v24.0.1312.57

    Fichier : C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Preferences

    Supprimée [l.12] : urls_to_restore_on_startup = [ "hxxp://www.google.com", "hxxp://search.babylon.com/?affID=[...]
    Supprimée [l.2382] : urls_to_restore_on_startup = [ "hxxp://www.google.com", "hxxp://search.babylon.com/?affID=108[...]

    *************************

    AdwCleaner[R1].txt - [4894 octets] - [08/02/2013 21:45:45]
    AdwCleaner[S1].txt - [4401 octets] - [08/02/2013 21:55:20]

    ########## EOF - C:\AdwCleaner[S1].txt - [4461 octets] ##########

    Le deuxieme je sais plus où le trouver vu que j'ai redemarré ... y avait 10 erreurs detectés ou infections je ne sais plus non plus le nom de la procedure x)

    Merci
    0
  10. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Pour obtenir le rapport de MBAM (Malwarebytes):
    - Lance MBAM
    - Va dans l'onglet rapport/logs et poste le dernier rapport par rapport à la date et l'heure

    Smart
    0
  11. PiTi-FoU Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Voili Voilou :

    Malwarebytes Anti-Malware (Essai) 1.70.0.1100
    www.malwarebytes.org

    Version de la base de données: v2013.02.08.07

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    TuchangerasaprèsxD :: RAPHI [administrateur]

    Protection: Activé

    08/02/2013 22:05:23
    mbam-log-2013-02-08 (22-05-23).txt

    Type d'examen: Examen complet (C:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 333797
    Temps écoulé: 30 minute(s), 57 seconde(s)

    Processus mémoire détecté(s): 1
    C:\Users\TuchangerasaprèsxD\AppData\Roaming\Microsoft\Windows\Templates\authz.exe (Trojan.FakeMS) -> 3820 -> Suppression au redémarrage.

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 2
    HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{VX24I44T-IXGA-2P5A-2L1U-01M8855044L2} (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.
    HKCR\CLSID\{VX24I44T-IXGA-2P5A-2L1U-01M8855044L2} (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 2
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Authorization Framework (Trojan.FakeMS) -> Données: C:\Users\TuchangerasaprèsxD\AppData\Roaming\Microsoft\Windows\Templates\authz.exe -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Policies (Backdoor.Agent) -> Données: C:\Windows\system32\install\server.exe -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 5
    C:\Users\TuchangerasaprèsxD\AppData\Roaming\Microsoft\Windows\Templates\authz.exe (Trojan.FakeMS) -> Suppression au redémarrage.
    C:\Windows\System32\install\server.exe (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.
    C:\ZHP\Quarantine\authz.exe.VIR (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    C:\ZHP\Quarantine\biocredprov.exe.VIR (Spyware.Password) -> Mis en quarantaine et supprimé avec succès.
    C:\Windows\SysWOW64\install\server.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  12. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Est-ce que le PC avait bien redémarré après le passage de ZHPFix ?
    Et de même après le passage de MBAM ? Si c'est non fais le

    Ensuite refais un scan ZHPDiag et poste le rapport via pjjoint.

    Smart
    0
  13. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu n'as pas répondu à mes questions ?

    Je regarde le rapport.

    Tu ne résides pas en métropole ? la Réunion peut-être ?

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  14. PiTi-FoU Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Ah Désolé j'ai cru y avoir repondu ... Effectivement j'habite à la Reunion ^^ perspicace xD

    Et oui oui j'ai du redemarré au moins 3fois jcrois pour chaque truc que j'ai entamé ^^
    0
  15. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    "Effectivement j'habite à la Réunion ^^ perspicace xD "
    En effet, il suffit de lire l'heure à laquelle le scan ZHPdiag a été fait :-)

    Relance MBAM et vide la quarantaine

    Ensuite on va supprimer les restes

    - Ferme toutes tes applications en cours
    - Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
    - Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    - Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
    - Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    O61 - LFC:Last File Created 08/02/2013 - 22:01:34 ---A- C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Extensions\pgjflcoiggljdahilbdhjodelfpgaebm\1.21.33_0\crossriderManifest.json [369]
    O61 - LFC:Last File Created 08/02/2013 - 22:01:36 ---A- C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.2_0\static\img\lollipop.png [1789]
    O61 - LFC:Last File Created 08/02/2013 - 22:01:36 ---A- C:\Users\TuchangerasaprèsxD\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.2_0\views\blekko.tpl [426]
    [MD5.00000000000000000000000000000000] [APT] [{170BEE9D-B28A-452F-A416-56C7BDB0D44E}] (...) -- C:\Users\TuchangerasaprèsxD\AppData\Local\Temp\Temp1_eRecovery_Acer_3.0.3014_Vistax64Vistax86_A.zip\eRecovery_Acer_v3.0.3014_Vista(SP1)\Acer eRecovery Manageme
    [MD5.00000000000000000000000000000000] [APT] [{96E174DB-9B14-4307-B12E-C115BDA2C647}] (...) -- C:\Users\TuchangerasaprèsxD\Downloads\windows-media-player-11_windows_media_player_11.0_francais_20085.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{F9142C27-54CE-4327-B12F-AE8C5E671C7B}] (...) -- C:\Users\TuchangerasaprèsxD\Downloads\3G_Huawei_3.17.00.00_W7x64_A\3G_Huawei_3.17.00.00_W7x64\DriverSetup.exe (.not file.)
    EmptyTemp
    EmptyFlash
    FirewallRAZ


    ----------------------------------------------------------
    - Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour le lancer le nettoyage
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Et redémarre le PC

    Smart
    0
  16. PiTi-FoU Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Rapport :)

    Rapport de ZHPFix 1.3.14 par Nicolas Coolman, Update du 05/02/2013
    Fichier d'export Registre :
    Run by TuchangerasaprèsxD at 09/02/2013 00:39:30
    Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)

    ========== Valeur(s) du Registre ==========
    ABSENT Valeur Standard Profile: FirewallRaz :
    ABSENT Valeur Domain Profile: FirewallRaz :

    ========== Dossier(s) ==========
    SUPPRIME Temporaires Windows:
    SUPPRIME Flash Cookies:

    ========== Fichier(s) ==========
    SUPPRIME c:\users\tuchangerasaprèsxd\appdata\local\google\chrome\user data\default\extensions\pgjflcoiggljdahilbdhjodelfpgaebm\1.21.33_0\crossridermanifest.json
    SUPPRIME c:\users\tuchangerasaprèsxd\appdata\local\google\chrome\user data\default\extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.2_0\static\img\lollipop.png
    SUPPRIME c:\users\tuchangerasaprèsxd\appdata\local\google\chrome\user data\default\extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.2_0\views\blekko.tpl
    ABSENT Folder/File: c:\users\tuchangerasaprèsxd\appdata\local\temp\temp1_erecovery_acer_3.0.3014_vistax64vistax86_a.zip\erecovery_acer_v3.0.3014_vista(sp1)\acer erecovery manageme
    SUPPRIME Temporaires Windows:
    SUPPRIME Flash Cookies:

    ========== Tache planifiée ==========
    SUPPRIME Task: {170BEE9D-B28A-452F-A416-56C7BDB0D44E}
    SUPPRIME Task: {96E174DB-9B14-4307-B12E-C115BDA2C647}
    SUPPRIME Task: {F9142C27-54CE-4327-B12F-AE8C5E671C7B}

    ========== Récapitulatif ==========
    2 : Valeur(s) du Registre
    2 : Dossier(s)
    6 : Fichier(s)
    3 : Tache planifiée

    End of clean in 00mn 12s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 08/02/2013 21:35:58 [1314]
    C:\ZHP\ZHPFix[R2].txt - 09/02/2013 00:39:30 [1657]
    0
  17. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Refais un scan ZHPDiag et poste le rapport via pjjoint.
    Ensuite on va passer à la phase finale. Il nous reste à faire:
    - les mises à jour prioritaires
    - l'optimisation du PC
    - la désinstallation des outils de désinfection
    - les conseils de prévention quand on surfe sur Internet

    Smart
    0
  18. PiTi-FoU Messages postés 15 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour ! x)

    he bien he bien mon ordinateur était si infecté que çà ? :/

    voilà ton lien : https://pjjoint.malekal.com/files.php?read=ZHPDiag_20130209_k15b7m13s13r9

    Merci
    0
    1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      salut une petite remarque au passage

      il serait bien d'arrêter de cr*cker les programmes ca eviterait ce genre de désagrément ( microsoft office , et j'en passe.....)
      0
    2. ¡El Desaparecido! Messages postés 1519 Date d'inscription   Statut Membre Dernière intervention   195
       
      C'est la crise la responsable , na !
      0
    3. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      bah avec open office y'a pas de crise ^^
      0
    4. ¡El Desaparecido! Messages postés 1519 Date d'inscription   Statut Membre Dernière intervention   195
       
      lol , passe sur sos quand t'as le temps -> MP
      0
    5. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      vu et répondou
      0
  • 1
  • 2