Bahaty.com résiduel Fermé

Question

Bonjour, 

J'ai infecté mon PC avec bahaty.com, un PUP.
J'ai cherché sur internet et réalisé les manoeuvres recommandées pour le supprimer (réinitialisation et nettoyage des navigateurs, puis passage de AdwCleaner et de MalwaresBytes). 
AdwCleaner et MalwaresBytes ne le trouvent pas (0 menaces détectées, rien à mettre en quarantaine, nada), mais si je ne l'ai pas en page d'accueil/moteur de recherche bahaty continue à m'ouvrir occasionnellement de nouveaux onglets et un raccourci IE vers leur site sur le bureau, ainsi qu'à infecter les clés USB connectées à mon ordinateur.

Comment m'en débarrasser?

Merci d'avance,

Configuration: Windows 8 / Firefox 35.0

Malekal_morte- · Answer

Salut,

Sur quel navigateur WEB?

fais ceci :


Suis ce tutorial : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.



 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Forward1357 · Answer

Attrapé sur Firefox ou Chrome (désinstallé depuis), je ne sais pas, mais bahaty crée un raccourci Internet Explorer et ouvre des onglets Firefox!

Liens:
https://pjjoint.malekal.com/files.php?id=20150220_y15f10q14d6g13
https://pjjoint.malekal.com/files.php?id=20150220_w5w14j10p10l7
https://pjjoint.malekal.com/files.php?id=20150220_d5t5u12m6q15

Malekal_morte- · Answer

Pas grand chose,

 Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

 Startup: C:\Users\Théo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk  
  2015-02-17 14:50 - 2015-02-17 14:51 - 00000000 ____D () C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7 
 
 Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur

Forward1357 · Answer

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 18-02-2015 01
Ran by Théo at 2015-02-20 17:44:59 Run:1
Running from C:\Users\Théo\Desktop
Loaded Profiles: Théo (Available profiles: Théo)
Boot Mode: Normal
==============================================

Content of fixlist:


Startup: C:\Users\Théo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk
2015-02-17 14:50 - 2015-02-17 14:51 - 00000000 ____D () C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7 



C:\Users\Théo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk => Moved successfully.
C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7 => Moved successfully.
 End of Fixlog 17:44:59 
Merci!

Forward1357 · Answer

Salut,

C:\Users\Théo\Downloads\PDFCreator-1_7_2_setup [1].exe	Win32/InstallMonetizer.AQ potentially unwanted application	deleted - quarantined
D:\AUTOEXE	VBS/Agent.NHG worm	cleaned by deleting - quarantined
D:\img.jpg	VBS/Agent.NHG worm	cleaned by deleting - quarantined
D:\NTDETE	VBS/Agent.NHW trojan	cleaned by deleting - quarantined
D:\Photo0.jpg	VBS/Agent.NHW trojan	cleaned by deleting - quarantined

C'était ça?
Et je vois un cheval de Troie, devrais-je changer mes mdp pour les comptes mails etc?
Merci!

Malekal_morte- · Answer

Tu avais une infection qui se propage par medias amovibles.
Elle a été supprimée avec FRST.

Eventuellement, nettoye tes disques amovibles avec https://www.malekal.com/usbfix-supprimer-virus-usb/ 

Sinon il n'y a rien d'autres.

Forward1357 · Answer

En fait j'ai pas de disques amovibles perso, je l'ai quand même lancé au cas où (pour le D:\ là) et le rapport me semble clean.

J'ai envoyé le lien du tutoriel USBfix à celle que j'ai infecté à mon tour (+ du scan NOD32) pour qu'elle l'utilise sur ses clés/ordinateur, et je le ferais circuler dans ma promo parce que je pense avoir été infecté lors d'une khôlle.

Merci pour tout!

Forward1357 · Answer

Nouvel onglet ouvert à l'instant.
D'autres pistes?

Malekal_morte- · Answer

mouais rien d'extraordinaire.

Menu Démarrer / tous les programmes / Démarrage
clic droit / supprimer sur Start

puis - Essaye ça :


Exporte tes favoris : https://support.mozilla.org/fr/kb/exporter-marque-pages-firefox-fichier-html
Désinstalle Mozilla Firefox en cochant la case pour supprimer les profils.
Fais une recherche de fichiers sur le mot Firefox : https://www.commentcamarche.net/faq/10217-windows-vista-et-superieurs-recherche-de-fichiers
Supprime tout ce qui est trouvé.

Réinstalle Firefox.
Au premier démarrage, tu dois avoir Firefox comme si c'était la première fois que tu l'installais, tu ne dois pas retrouver ta configuration.

 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Bahaty.com résiduel

9 réponses

End of Fixlog 17:44:59

Discussions similaires