Problème bzipabx.exe (liens pjjoint dans le message)

Résolu
s20coeur Messages postés 5 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour à tous, j'ai le même problème avec pzipabx, voici les liens :

Dans l'ordre : Shortcut - Addition - FRST

https://pjjoint.malekal.com/files.php?id=20170805_r8m7v11f1210
https://pjjoint.malekal.com/files.php?id=FRST_20170805_u5g5z57h13
https://pjjoint.malekal.com/files.php?id=20170805_z5e14y5r11k7

Merci par avance de votre aide :)

2 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Tu as installé un Trojan RAT après avoir exécuté un crack piégé...

    Désinstalle :
    LiveUpdate 3.2
    McAfee Security Scan Plus


    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    CloseProcesses:
    Task: {7B722A7E-75D7-49E9-907C-D96B9A85121F} - System32\Tasks\bvktco => C:\Users\20coeur\bvktco\bzipabx.exe [2016-10-09] (AutoIt Team)
    2017-08-05 09:40 - 2017-08-05 09:40 - 000000000 __SHD C:\Users\20coeur\Desktop\ This folder protects against ransomware. Modifying it will reduce protection
    2017-08-05 09:29 - 2017-08-05 09:29 - 000000000 ____H C:\ProgramData\cm-lock
    2017-08-04 17:52 - 2017-08-04 17:52 - 000003590 _____ C:\Windows\System32\Tasks\bvktco
    2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 __SHD C:\Users\20coeur\bvktco
    2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 ____D C:\Users\20coeur\AppData\Roaming\C56753B3-B35E-4DAC-BD84-12E19AC3665C
    2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 ____D C:\Program Files (x86)\Windows Loader
    Hosts:
    EmptyTemp:
    RemoveProxy:
    Reboot:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    1
    1. s20coeur Messages postés 5 Statut Membre
       
      Voici le résultat :)

      Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 31-07-2017
      Exécuté par 20coeur (05-08-2017 11:22:16) Run:1
      Exécuté depuis G:\T�l�chargements
      Profils chargés: 20coeur (Profils disponibles: 20coeur)
      Mode d'amorçage: Normal
      ==============================================

      fixlist contenu:

      CreateRestorePoint:
      CloseProcesses:
      Task: {7B722A7E-75D7-49E9-907C-D96B9A85121F} - System32\Tasks\bvktco => C:\Users\20coeur\bvktco\bzipabx.exe [2016-10-09] (AutoIt Team)
      2017-08-05 09:40 - 2017-08-05 09:40 - 000000000 __SHD C:\Users\20coeur\Desktop\ This folder protects against ransomware. Modifying it will reduce protection
      2017-08-05 09:29 - 2017-08-05 09:29 - 000000000 ____H C:\ProgramData\cm-lock
      2017-08-04 17:52 - 2017-08-04 17:52 - 000003590 _____ C:\Windows\System32\Tasks\bvktco
      2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 __SHD C:\Users\20coeur\bvktco
      2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 ____D C:\Users\20coeur\AppData\Roaming\C56753B3-B35E-4DAC-BD84-12E19AC3665C
      2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 ____D C:\Program Files (x86)\Windows Loader
      Hosts:
      EmptyTemp:
      RemoveProxy:
      Reboot:


      Le Point de restauration a été créé avec succès.
      Processus fermé avec succès.
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7B722A7E-75D7-49E9-907C-D96B9A85121F} => clé supprimé(es) avec succès
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7B722A7E-75D7-49E9-907C-D96B9A85121F} => clé supprimé(es) avec succès
      C:\Windows\System32\Tasks\bvktco => déplacé(es) avec succès
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\bvktco => clé supprimé(es) avec succès
      C:\Users\20coeur\Desktop\ This folder protects against ransomware. Modifying it will reduce protection => déplacé(es) avec succès
      "C:\ProgramData\cm-lock" => non trouvé(e).
      "C:\Windows\System32\Tasks\bvktco" => non trouvé(e).
      C:\Users\20coeur\bvktco => déplacé(es) avec succès
      C:\Users\20coeur\AppData\Roaming\C56753B3-B35E-4DAC-BD84-12E19AC3665C => déplacé(es) avec succès
      C:\Program Files (x86)\Windows Loader => déplacé(es) avec succès
      Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

      ========= RemoveProxy: =========

      HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
      HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
      HKU\S-1-5-21-1942634075-1306633489-566251467-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
      HKU\S-1-5-21-1942634075-1306633489-566251467-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


      ========= Fin de RemoveProxy: =========


      =========== EmptyTemp: ==========

      BITS transfer queue => 8388608 B
      DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17442736 B
      Java, Flash, Steam htmlcache => 290617191 B
      Windows/system/drivers => 22871170 B
      Edge => 0 B
      Chrome => 699900546 B
      Firefox => 489011029 B
      Opera => 0 B

      Temp, IE cache, history, cookies, recent:
      Users => 0 B
      Default => 66228 B
      Public => 0 B
      ProgramData => 0 B
      systemprofile => 44848638 B
      systemprofile32 => 27883060 B
      LocalService => 42241 B
      NetworkService => 0 B
      20coeur => 244600401 B
      UpdatusUser => 0 B
      UpdatusUser => 0 B

      RecycleBin => 0 B
      EmptyTemp: => 1.7 GB données temporaires supprimées.

      ================================

      Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 05-08-2017 11:23:49)

      "C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer
      Impossible de restaurer Hosts.

      Fin de Fixlog 11:23:49

      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Voila

    change tous tes mots de passe, ils ont dû être volés,

    Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
    Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.

    1
    1. s20coeur Messages postés 5 Statut Membre
       
      Un grand merci pour votre aide :o)
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > s20coeur Messages postés 5 Statut Membre
         
        de rien, bon WE :)
        0