Problème bzipabx.exe (liens pjjoint dans le message)

Résolu/Fermé
s20coeur Messages postés 5 Date d'inscription samedi 5 août 2017 Statut Membre Dernière intervention 5 août 2017 - 5 août 2017 à 10:48
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 5 août 2017 à 11:36
Bonjour à tous, j'ai le même problème avec pzipabx, voici les liens :

Dans l'ordre : Shortcut - Addition - FRST

https://pjjoint.malekal.com/files.php?id=20170805_r8m7v11f1210
https://pjjoint.malekal.com/files.php?id=FRST_20170805_u5g5z57h13
https://pjjoint.malekal.com/files.php?id=20170805_z5e14y5r11k7

Merci par avance de votre aide :)

2 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
5 août 2017 à 11:07
Salut,

Tu as installé un Trojan RAT après avoir exécuté un crack piégé...

Désinstalle :
LiveUpdate 3.2
McAfee Security Scan Plus





Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
Task: {7B722A7E-75D7-49E9-907C-D96B9A85121F} - System32\Tasks\bvktco => C:\Users\20coeur\bvktco\bzipabx.exe [2016-10-09] (AutoIt Team)
2017-08-05 09:40 - 2017-08-05 09:40 - 000000000 __SHD C:\Users\20coeur\Desktop\ This folder protects against ransomware. Modifying it will reduce protection
2017-08-05 09:29 - 2017-08-05 09:29 - 000000000 ____H C:\ProgramData\cm-lock
2017-08-04 17:52 - 2017-08-04 17:52 - 000003590 _____ C:\Windows\System32\Tasks\bvktco
2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 __SHD C:\Users\20coeur\bvktco
2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 ____D C:\Users\20coeur\AppData\Roaming\C56753B3-B35E-4DAC-BD84-12E19AC3665C
2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 ____D C:\Program Files (x86)\Windows Loader
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

1
s20coeur Messages postés 5 Date d'inscription samedi 5 août 2017 Statut Membre Dernière intervention 5 août 2017
5 août 2017 à 11:28
Voici le résultat :)

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 31-07-2017
Exécuté par 20coeur (05-08-2017 11:22:16) Run:1
Exécuté depuis G:\T�l�chargements
Profils chargés: 20coeur (Profils disponibles: 20coeur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Task: {7B722A7E-75D7-49E9-907C-D96B9A85121F} - System32\Tasks\bvktco => C:\Users\20coeur\bvktco\bzipabx.exe [2016-10-09] (AutoIt Team)
2017-08-05 09:40 - 2017-08-05 09:40 - 000000000 __SHD C:\Users\20coeur\Desktop\ This folder protects against ransomware. Modifying it will reduce protection
2017-08-05 09:29 - 2017-08-05 09:29 - 000000000 ____H C:\ProgramData\cm-lock
2017-08-04 17:52 - 2017-08-04 17:52 - 000003590 _____ C:\Windows\System32\Tasks\bvktco
2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 __SHD C:\Users\20coeur\bvktco
2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 ____D C:\Users\20coeur\AppData\Roaming\C56753B3-B35E-4DAC-BD84-12E19AC3665C
2017-08-04 17:52 - 2017-08-04 17:52 - 000000000 ____D C:\Program Files (x86)\Windows Loader
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7B722A7E-75D7-49E9-907C-D96B9A85121F} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7B722A7E-75D7-49E9-907C-D96B9A85121F} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\bvktco => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\bvktco => clé supprimé(es) avec succès
C:\Users\20coeur\Desktop\ This folder protects against ransomware. Modifying it will reduce protection => déplacé(es) avec succès
"C:\ProgramData\cm-lock" => non trouvé(e).
"C:\Windows\System32\Tasks\bvktco" => non trouvé(e).
C:\Users\20coeur\bvktco => déplacé(es) avec succès
C:\Users\20coeur\AppData\Roaming\C56753B3-B35E-4DAC-BD84-12E19AC3665C => déplacé(es) avec succès
C:\Program Files (x86)\Windows Loader => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1942634075-1306633489-566251467-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1942634075-1306633489-566251467-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17442736 B
Java, Flash, Steam htmlcache => 290617191 B
Windows/system/drivers => 22871170 B
Edge => 0 B
Chrome => 699900546 B
Firefox => 489011029 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 44848638 B
systemprofile32 => 27883060 B
LocalService => 42241 B
NetworkService => 0 B
20coeur => 244600401 B
UpdatusUser => 0 B
UpdatusUser => 0 B

RecycleBin => 0 B
EmptyTemp: => 1.7 GB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 05-08-2017 11:23:49)

"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer
Impossible de restaurer Hosts.

Fin de Fixlog 11:23:49

0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
5 août 2017 à 11:29
Voila

change tous tes mots de passe, ils ont dû être volés,

Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.

1
s20coeur Messages postés 5 Date d'inscription samedi 5 août 2017 Statut Membre Dernière intervention 5 août 2017
5 août 2017 à 11:31
Un grand merci pour votre aide :o)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > s20coeur Messages postés 5 Date d'inscription samedi 5 août 2017 Statut Membre Dernière intervention 5 août 2017
5 août 2017 à 11:36
de rien, bon WE :)
0