Duplication de raccourcis de navigateurs sur le bureau
Résoluzakaria -
j'ai remarqué la duplication de raccourcis de mes navigateurs sur le bureau (Chrome, Internet Explorer et Mozilla) avec dans ces raccourcis comme page d'accueil la même adresse (Bahaty.com ) alors que dans les vrais raccourcis la page d'accueil reste toujours Yahoo.fr.
De plus les raccourcis font référence aux bons fichiers.
J'ai réalisé de multiples analyses avec Avast et un antivirus en ligne (Eset), mais sans résultat. par la suite j'ai tenté de réinstaller les navigateurs et de supprimer les raccourcis, mais encore une fois après un redémarrage les raccourcis réapparaissent.
Merci beaucoup, j'espère que vous pourriez m'aider.
24 réponses
- 1
- 2
La duplication de raccourcis bureautiques pour Chrome, Internet Explorer et Mozilla affiche Bahaty.com comme page d'accueil alors que les raccourcis légitimes pointent vers Yahoo.fr, malgré des fichiers sources correctement renseignés. Des symptômes d'infection et de détournement de navigateur sont évoqués, avec des redémarrages qui rétablissent les raccourcis et des analyses antivirus infructueuses, ainsi qu'une infection potentielle via une clé USB. Plusieurs outils sont proposés: UsbFix, OTL et AdwCleaner, avec des instructions pour générer des rapports et aider à identifier les éléments malveillants et les fichiers à nettoyer.
-
Justement pour voir ce qui va pas et donner les bons traitements
-
Ton sujet risque d'intéresser pas mal de personne en particulier malekal :)
Modification!
Tu as une infection usb!
###########| Canned Recherche
# Télécharge UsbFix par El Desaparecido sur ton Bureau.
# Si ton antivirus affiche une alerte, ignore-la et désactive l'antivirus temporairement.
# Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
# Double clique sur UsbFix.exe.
# Clique sur Recherche.

# Laisse travailler l'outil.
# À la fin du scan, un rapport va s'afficher, poste-le dans ta prochaine réponse sur le forum.
# Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix [Scan ?] Nom de l'ordinateur.txt ).
( CTRL+A pour sélectionner, CTRL+C pour copier et CTRL+V pour coller )
# Tutoriel (aide) en images
Si problème il y a il existe toujours une solution
~~~~~~ Cs ~~~~~~ -
Hello bennis ,
Connecte le lecteur H (clé USB)
#####
Affiche les fichiers et dossiers cachés : http://www.sosvirus.net/afficher-les-extensions-t3350.html
Envoi ce fichier : H:\bin.doc pour analyse et traitement ici stp :
http://www.sosvirus.net/upload-malware-pour-analyse.html
############
Télécharge OTL de Old_Timer et enregistre le sur le Bureau
Ferme toutes les autres fenêtres et double-clique sur OTL.exe
Sous Vista et Windows 7, il faut lancer le fichier par clic-droit-> Exécuter en tant qu'adminsitrateur.
Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity] soient cochées.
Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
SAVEMBR:0
Clique ensuite sur Analyse et patiente le temps du scan.

A la fin de l'analyse, les rapports OTL.txtet Extras.txt s'affichent.
Les rapports étant trop longs pour le forum, héberge-les sur SosUpload et indique les liens fournis dans ta réponse.
Les rapports sont sauvegardés sur le Bureau.
-
Re,
Merci à toi pour l'envoi du fichier :)
Avec la clé USB H connectée :
Relance OTL.
Sous Persfonnalisation (Custom Scan), copie-colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
IE - HKU\S-1-5-21-1961117808-1356734234-403360300-500\..\SearchScopes\{FC41DB30-7AAD-482F-9207-F106DB8E6D84}: "URL" = http://www.mysearchresults.com/search?c=2402&t=15&q={searchTerms}
O4 - HKLM..\Run: [system.vbs] %windir%\system32\wscript.exe /b "C:\Users\ADMINI~1\AppData\Local\Temp\system.vbs" File not found
O4 - HKU\S-1-5-21-1961117808-1356734234-403360300-500..\Run: [system.vbs] %windir%\system32\wscript.exe /b "C:\Users\ADMINI~1\AppData\Local\Temp\system.vbs" File not found
O4 - HKLM..\Run: [bintin] C:\WINDOWS\system32\wscript.exe /e:VBScript.Encode D:\bin.doc File not found
:files
C:\Program Files\Ayat.exe
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk
C:\Users\ADMINI~1\AppData\Local\Temp\*.*
D:\bin.doc
D:\bizo.doc
E:\bin.doc
E:\bizo.doc
F:\bin.doc
F:\bizo.doc
H:\bizo.doc
H:\bin.doc
:Commands
[emptytemp]
[emptyflash]
[reboot]
Redemarre le pc sous windows et poste le rapport dans ta prochaine réponse.
Le rapport est sauvegardé sous C:\_OTL\MovedFiles\date_heure.log
#############
# Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
# Relance UsbFix
# Clique sur Suppression.

# Note : L'ordinateur va redémarrer automatiquement, au redémarrage, clique sur le message transmis par UsbFix et laisse le programme travailler.

# Laisse travailler l'outil, ton bureau ne sera pas accessible durant la phase de nettoyage, c'est normal.
# À la fin du scan, un rapport va s'afficher, poste-le dans ta prochaine réponse sur le forum.
# Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix [Clean ?] Nom de l'ordinateur.txt ).
( CTRL+A pour sélectionner, CTRL+C pour copier et CTRL+V pour coller )
# ->> Tutoriel (aide) en images sur le site de l'auteur.
-
Alors, après avoir réalisé les différentes étapes, voilà les deux rapports demandés :
- Celui d'OTL https://www.cjoint.com/?0EcqHumEoUO
- Celui d'UsbFix https://www.cjoint.com/?0EcqISfns9U
-
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
-
* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ou https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
* Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin
https://www.cjoint.com/13sp/CIvuQfap3YY_zhpdiag.png
* A l'ouverture du logiciel il te sera proposé 3 options "rechercher" , "configurer" et "toutes options"
* Choisis la dernière "complet"
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Pour héberger le rapport, rends toi sur cjoint.com
* Clique sur choisissez un fichier va chercher le rapport dans ton PC.
* Le rapport est hébergé:
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP
* Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir
* Choisis le type de diffusion (illimitée ou 21 jours)
* Puis cliques sur créer le lien cjoint
* Une fois que tu auras obtenu le lien copies colle dans ta prochaine réponse
* Pour t'aider https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers -
up!
-
Merci encore pour ton aide, voila encore le rapport donné par UsbFix https://www.cjoint.com/?0EbuBqYFkF6
-
-
Fais suppression
-
Oui :)
-
Le voici https://www.cjoint.com/?0Ebve3febJL
-
-
Bennis
Tu as une idée où tu as chopé ça?
-
J'ai prévenu le concepteur d'usbfix ;)
-
En plus de l'hijacker tu as une infection usb ;)
Les raccourcis ont du se stopper mais s'ouvrent vers un site malicieux
Attendons son avis -
Demain je pense qu'il répondra :)
-
Hello
Peux tu faire l'option "Listing" d'Usbfix?
Faudrait virer aussi les cracks.....
-
Re,
La bête s'est relancée :(
Je vais tester le malware et reviendrai vers toi ;)
-
Ah bah c'est que c'est OK alors.
Dis moi, peux tu me rendre un service ?
Si oui, fait un clic droit sur ce dossier C:\Usbfix\Quarantine
Choisi envoyer vers -> Document compressé.
Ca va créer un fichier quarantine.zip
Si tu pouvais m'envoyer ce fichier ici stp : http://www.sosvirus.net/afficher-les-extensions-t3350.html
-
De rien pour l'aide ,
Supprime ce fichier img.jpg
Des disques : D:\, E:\, et F
C'est un malware ;)
T'as un détournement de navigateur aussi :
# Télécharge Shortcut_Module (de g3n-h@ckm@n) sur ton bureau.
# Note : Enregistres ton travail avant de continuer !

# Lance Shortcut_Module et clique sur Nettoyer.
# Note : Patiente le temps du scan
# Après le redémarrage relance l'outil et clique sur le petit "R" pour ouvrir le rapport , puis poste son contenu stp
-
Pour info,
Ton infection sera complètement prise en charge dans la prochaine version de UsbFix, donc je te remercie des envois de fichier :)
E:\Administrateur.lnk -> E:\img.jpg - (SHA1: 3DF577A6B29C9B04778F368F9649CB9A5E844EC2)
E:\Nouveau Dossier.lnk -> E:\img.jpg - (SHA1: 3DF577A6B29C9B04778F368F9649CB9A5E844EC2)
-
Alors, voilà le lien du rapport https://www.cjoint.com/?0EetKrqPm9P .
J'ai une question, à chaque démarrage de l'ordinateur, un message d'erreur apparait en me disant que bin.doc est impossible à exécuter. Comment faire pour que cette erreur n'apparaisse plus ?
-
-
Hello,
La clé Run est recréé alors .
Désinstalle ta version de UsbFix et télécharge celle ci : http://www.sosvirus.net/partage/UsbFix-beta.exe
Lance l'option Recherche avec les clés USB connectées et post le rapport sur le forum stp
-
-
Oui avec le temps et grâce à vos aides j'ai fini par le comprendre :p
Voila le nouveau rapport demandé https://www.cjoint.com/?0Efwxtszzdn
-
-
Hello,
Lance l'option nettoyage avec cette même version et communique le rapport stp.
Redémarre ensuite la machine et dis nous si tu as encore le soucis avec les clé ..
-
Bonsoir,
Nettoyage lancé et terminé, voilà le rapport donné et demandé https://www.cjoint.com/?0Egx6QxVw6o
Je reboot ma machine tout de suite et vous donne le résultat ici même dans un autre commentaire. -
-
- 1
- 2