Duplication de raccourcis de navigateurs sur le bureauRésolu/Fermé

Question

Bonjour, 
j'ai remarqué la duplication de raccourcis de mes navigateurs sur le bureau (Chrome, Internet Explorer et Mozilla) avec dans ces raccourcis comme page d'accueil la même adresse (Bahaty.com ) alors que dans les vrais raccourcis la page d'accueil reste toujours Yahoo.fr. 
De plus les raccourcis font référence aux bons fichiers. 
J'ai réalisé de multiples analyses avec Avast et un antivirus en ligne (Eset), mais sans résultat. par la suite j'ai tenté de réinstaller les navigateurs et de supprimer les raccourcis, mais encore une fois après un redémarrage les raccourcis réapparaissent. 
Merci beaucoup, j'espère que vous pourriez m'aider.

gus29_fr · Answer

bonjour
essai adwcleaner

lilidurhone · Answer

* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ou https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

* Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin 
https://www.cjoint.com/13sp/CIvuQfap3YY_zhpdiag.png

* A l'ouverture du logiciel il te sera proposé 3 options "rechercher" , "configurer" et "toutes options"

* Choisis la dernière "complet" 

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

* Pour héberger le rapport, rends toi sur cjoint.com
* Clique sur choisissez un fichier va chercher le rapport dans ton PC.

* Le rapport est hébergé:
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP 

* Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir

* Choisis le type de diffusion (illimitée ou 21 jours)
* Puis cliques sur créer le lien cjoint

* Une fois que tu auras obtenu le lien copies colle dans ta prochaine réponse

* Pour t'aider  https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

lilidurhone · Answer

Justement pour voir ce qui va pas et donner les bons traitements

lilidurhone · Answer

Ton sujet risque d'intéresser pas mal de personne en particulier malekal :)


Modification!

Tu as une infection usb!

###########| Canned Recherche 

# Télécharge UsbFix par El Desaparecido sur ton Bureau. 
# Si ton antivirus affiche une alerte, ignore-la et désactive l'antivirus temporairement. 
# Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir. 
# Double clique sur UsbFix.exe. 
# Clique sur Recherche. 

 
# Laisse travailler l'outil. 
# À la fin du scan, un rapport va s'afficher, poste-le dans ta prochaine réponse sur le forum. 

# Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix [Scan ?] Nom de l'ordinateur.txt ). 
( CTRL+A pour sélectionner, CTRL+C pour copier et CTRL+V pour coller ) 
# Tutoriel (aide) en images 


 
Si problème il y a il existe toujours une solution 
~~~~~~ Cs ~~~~~~

lilidurhone · Answer

up!

lilidurhone · Answer

Fais suppression

lilidurhone · Answer

Oui :)

lilidurhone · Answer

Bennis

Tu as une idée  où tu as chopé ça?

lilidurhone · Answer

J'ai prévenu le concepteur d'usbfix ;)

lilidurhone · Answer

En plus de l'hijacker tu as une infection usb ;)


Les raccourcis ont du se stopper mais s'ouvrent vers un site malicieux 


Attendons son avis

lilidurhone · Answer

Demain je pense qu'il répondra :)

lilidurhone · Answer

Hello


Peux tu faire l'option "Listing" d'Usbfix?

Faudrait virer aussi les cracks.....

¡El Desaparecido! · Answer

Hello bennis , 

Connecte le lecteur H (clé USB) 

#####

Affiche les fichiers et dossiers cachés : http://www.sosvirus.net/afficher-les-extensions-t3350.html

Envoi ce fichier : H:\bin.doc pour analyse et traitement ici stp : 
http://www.sosvirus.net/upload-malware-pour-analyse.html

############


 
Télécharge OTL de Old_Timer et enregistre le sur le Bureau
Ferme toutes les autres fenêtres et double-clique sur OTL.exe
Sous Vista et Windows 7, il faut lancer le fichier par clic-droit-> Exécuter en tant qu'adminsitrateur.
Vérifie que les cases Tous les utilisateurs, Recherche Lop et  Recherche Purity] soient cochées.
Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit :

netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %temp%\*.exe /s %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s %systemroot%\system32\consrv.dll %systemroot%\system32\*.dll /lockedfiles %windir%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav /md5start explorer.exe winlogon.exe services.exe wininit.exe /md5stop HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s CREATERESTOREPOINT nslookup https://www.google.fr/?gws_rd=ssl /c hklm\software\clients\startmenuinternet|command /rs hklm\software\clients\startmenuinternet|command /64 /rs CREATERESTOREPOINTSAVEMBR:0 

Clique ensuite sur Analyse et patiente le temps du scan.



A la fin de l'analyse, les rapports OTL.txtet Extras.txt s'affichent.
Les rapports étant trop longs pour le forum, héberge-les sur SosUpload et indique les liens fournis dans ta réponse.
Les rapports sont sauvegardés sur le Bureau.

¡El Desaparecido! · Answer

Re, 

Merci à toi pour l'envoi du fichier :) 

Avec la clé USB H connectée : 


Relance OTL. 
Sous Persfonnalisation (Custom Scan), copie-colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL IE - HKU\S-1-5-21-1961117808-1356734234-403360300-500\..\SearchScopes\{FC41DB30-7AAD-482F-9207-F106DB8E6D84}: "URL" = http://www.mysearchresults.com/search?c=2402&t=15&q={searchTerms}O4 - HKLM..\Run: [system.vbs] %windir%\system32\wscript.exe /b "C:\Users\ADMINI~1\AppData\Local\Temp\system.vbs" File not foundO4 - HKU\S-1-5-21-1961117808-1356734234-403360300-500..\Run: [system.vbs] %windir%\system32\wscript.exe /b "C:\Users\ADMINI~1\AppData\Local\Temp\system.vbs" File not foundO4 - HKLM..\Run: [bintin] C:\WINDOWS\system32\wscript.exe  /e:VBScript.Encode D:\bin.doc File not found:filesC:\Program Files\Ayat.exeC:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnkC:\Users\ADMINI~1\AppData\Local\Temp\*.*D:\bin.docD:\bizo.docE:\bin.docE:\bizo.docF:\bin.docF:\bizo.docH:\bizo.docH:\bin.doc:Commands [emptytemp] [emptyflash] [reboot]

Redemarre le pc sous windows et poste le rapport dans ta prochaine réponse.
Le rapport est sauvegardé sous C:\_OTL\MovedFiles\date_heure.log

#############

# Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
# Relance UsbFix
# Clique sur Suppression.


# Note : L'ordinateur va redémarrer automatiquement, au redémarrage, clique sur le message transmis par UsbFix et laisse le programme travailler.

# Laisse travailler l'outil, ton bureau ne sera pas accessible durant la phase de nettoyage, c'est normal.

# À la fin du scan, un rapport va s'afficher, poste-le dans ta prochaine réponse sur le forum.

# Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix [Clean ?] Nom de l'ordinateur.txt ).
( CTRL+A pour sélectionner, CTRL+C pour copier et CTRL+V pour coller ) 
# ->> Tutoriel (aide) en images sur le site de l'auteur.

¡El Desaparecido! · Answer

Re, 

La bête s'est relancée :( 

Je vais tester le malware et reviendrai vers toi ;)

¡El Desaparecido! · Answer

Ah bah c'est que c'est OK alors. 

Dis moi, peux tu me rendre un service ? 

Si oui, fait un clic droit sur ce dossier C:\Usbfix\Quarantine 

Choisi envoyer vers -> Document compressé.
Ca va créer un fichier quarantine.zip

Si tu pouvais m'envoyer ce fichier ici stp : http://www.sosvirus.net/afficher-les-extensions-t3350.html

¡El Desaparecido! · Answer

De rien pour l'aide , 

Supprime ce fichier img.jpg

Des disques : D:\, E:\, et F

C'est un malware ;) 

T'as un détournement de navigateur aussi : 

# Télécharge Shortcut_Module (de g3n-h@ckm@n) sur ton bureau.
# Note : Enregistres ton travail avant de continuer !

# Lance Shortcut_Module et clique sur Nettoyer.

# Note : Patiente le temps du scan

# Après le redémarrage relance l'outil et clique sur le petit "R" pour ouvrir le rapport , puis poste son contenu stp

¡El Desaparecido! · Answer

Pour info, 

Ton infection sera complètement prise en charge dans la prochaine version de UsbFix, donc je te remercie des envois de fichier :) 

E:\Administrateur.lnk -> E:\img.jpg - (SHA1: 3DF577A6B29C9B04778F368F9649CB9A5E844EC2)
E:\Nouveau Dossier.lnk -> E:\img.jpg - (SHA1: 3DF577A6B29C9B04778F368F9649CB9A5E844EC2)

¡El Desaparecido! · Answer

Hello, 

La clé Run est recréé alors .

Désinstalle ta version de UsbFix et télécharge celle ci : http://www.sosvirus.net/partage/UsbFix-beta.exe 

Lance l'option Recherche avec les clés USB connectées et post le rapport sur le forum stp

¡El Desaparecido! · Answer

Hello, 

Lance l'option nettoyage avec cette même version et communique le rapport stp.
Redémarre ensuite la machine et dis nous si tu as encore le soucis avec les clé ..

¡El Desaparecido! · Answer

Hello, 

 # Copie tout le texte présent ci-dessous ( clic sur doit ("Tout sélectionner") / Clique droit ("copier").

Script ZHPFixO4 - GS\QuickLaunch [Administrateur]: chrome.LNK . (.Google Inc. - Google Chrome.)  -- C:\Program Files\Google\Chrome\Application\chrome.exe http://www.bahaty.com  =>Hijacker.BrowsersO4 - GS\QuickLaunch [Administrateur]: Internet Explorer.LNK . (.Microsoft Corporation - Internet Explorer.)  -- C:\Program Files\Internet Explorer\iexplore.exe http://www.bahaty.com  =>Hijacker.BrowsersO4 - GS\QuickLaunch [Administrateur]: µTorrent.lnk . (.BitTorrent Inc. - µTorrent.)  -- C:\Users\Administrateur\AppData\Roaming\uTorrent\uTorrent.exe   =>P2P.BitTorrentO4 - GS\Desktop [Administrateur]: Google Chrome.lnk . (.Google Inc. - Google Chrome.)  -- C:\Program Files\Google\Chrome\Application\chrome.exe http://www.bahaty.com  =>Hijacker.BrowsersO4 - GS\Desktop [Administrateur]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.)  -- C:\Program Files\Internet Explorer\iexplore.exe http://www.bahaty.com  =>Hijacker.BrowsersO69 - SBI: SearchScopes [HKCU] {FC41DB30-7AAD-482F-9207-F106DB8E6D84} - (Search Here) - http://www.mysearchresults.com  =>Adware.MyWebSearchHKLM\SOFTWARE\Microsoft\Tracing\RightSurf_RASAPI32  =>PUP.RightSurfHKLM\SOFTWARE\Microsoft\Tracing\RightSurf_RASMANCS  =>PUP.RightSurfHKLM\SOFTWARE\Microsoft\Tracing\updateRightSurf_RASAPI32  =>PUP.RightSurfHKLM\SOFTWARE\Microsoft\Tracing\updateRightSurf_RASMANCS  =>PUP.RightSurfHKLM\SOFTWARE\Microsoft\Tracing\utilRightSurf_RASAPI32  =>PUP.RightSurfHKLM\SOFTWARE\Microsoft\Tracing\utilRightSurf_RASMANCS  =>PUP.RightSurfHKLM\SOFTWARE\Microsoft\Tracing\DefaultTabSearch_RASAPI32  =>Adware.BandooHKLM\SOFTWARE\Microsoft\Tracing\DefaultTabSearch_RASMANCS  =>Adware.Bandoo[HKCR\CLSID\{5BDE3F24-D7B3-40D9-BD31-D1CFF12C47B4}] (SelectionLinksBHO Class)  =>Hijacker.SelectionLinksC:\ProgramData\Babylon   =>PUP.Babylon^[HKLM\Software\RightSurf]   =>PUP.RightSurf^EmptyTempEmptyFlashEMPTYCLSID

# Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou 7, fais un clic-droit -> Exécuter en temps qu'administrateur).
# Clique sur Importer
# Les lignes précedemment copiées doivent être collées dans le cadre
# Si c'est le cas, Clic sur GO

# Confirmes les nettoyages des données en cliquant sur "Oui"


# Une fois le scan terminé rends toi sur le bureau, le fichier[b] ZHPFixReport /bà été crée.
# Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.
# Attention : Ce script a été  spécialement fait pour ce PC . Toute réutilisation peut endommager sévèrement votre système.

###############

Pour supprimer les outils de désinfections utilisés :

Télécharges DelFix par Xplode sur ton Bureau.

Lance DelFix, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista 
Coche les cases suivantes : 

Supprimer les outils de désinfection
Purger la restauration système

¡El Desaparecido! · Answer

Hello , 

Parfait :) 

Je te souhaites un bon 8 mai :) 

Have Fun !

zakaria · Answer

voila moi aussi j'ai le même problème pourrais je faire le diag merci infiniment

zakaria · Answer

chers amis(es) 
voila le rapport de mon ZHPdiag
merci pour votre assistance 

http://www.cjoint.com/?0LBlDpfkN1p

Duplication de raccourcis de navigateurs sur le bureau

24 réponses

Discussions similaires

Newsletters