Trojan-DNS-k ?

Résolu/Fermé
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010 - Modifié par jakezz le 2/05/2010 à 00:14
 Utilisateur anonyme - 4 mai 2010 à 15:47
Bonjour,
après avoir été brillamment débarrassé d'une invasion svchost.exe ( merci ep44;)) https://forums.commentcamarche.net/forum/affich-17355548-virus-svchost-exe ,
je me tourne de nouveau vers vous pour que vous m'aidiez à débusquer et supprimer
un adware ( ou spyware) qui m'empoisonne le surf !
Lorsque je suis sur internet, des pages de pub intempestives tentent de s'ouvrir à tout bout de champ.
Je les ferme avant qu'elles n'aient le temps de s'afficher, mais j'ai le temps de voir que leur adresse contient des éléments de mes précédentes recherches Google.
Ca me redirige d'après ce que j'ai pu voir,vers des sites de pharmacie, de casino ou bien vers des pièges à rogues ( votre ordi est infecté, veuillez télécharger ce fix etc...).
D'après mes recherches (http://www.malekal.com/Trojan-DNS-k.php) il s'agirait de TRojan-DNS-k , mais je ne le trouve pas sur mon ordi.
J'ai fait un HiJackThis, mais je n'ai pas su le trouver, j'ai fait un scan avec SUPERAntiSpyWare, mais il ne m'a rien trouvé, mon Avira Antivir non plus, ni Ad-Aware .
Pouvez-vous m'aider à faire la recherche et la procédure de désinfection, parce que j'ai peur de ne pas bien m'y prendre et de casser quelque chose ( comme ça m'est arrivé avec ma première infection) ?
Merci ;)

A voir également:

30 réponses

jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
3 mai 2010 à 19:12
voilà le rapport WORT :

===== Rapport WareOut Removal Tool =====

version 3.6.2

analyse effectuée le 03/05/2010 à 19:08:15,29

Résultats de l'analyse :
========================

~~~~ Recherche d'infections dans C:\ ~~~~

C:\autorun.inf trouvé!
C:\autorun.inf suppression impossible


~~~~ Recherche d'infections dans C:\Program Files\ ~~~~


~~~~ Recherche d'infections dans C:\WINDOWS\system\ ~~~~


~~~~ Recherche d'infections dans C:\WINDOWS\system32\ ~~~~


~~~~ Recherche d'infections dans C:\WINDOWS\system32\drivers\ ~~~~


~~~~ Recherche d'infections dans C:\Documents and Settings\jak\Application Data\ ~~~~


~~~~ Recherche d'infections dans C:\Documents and Settings\jak\Bureau\ ~~~~


~~~~ Recherche de détournement de DNS ~~~~



~~~~ Recherche de Rootkits ~~~~

_______________________________________________________________________

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-03 19:08:43
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

_______________________________________________________________________

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ



~~~~ Recherche d'infections dans C:\DOCUME~1\jak\LOCALS~1\Temp\ ~~~~


~~~~ Recherche d'infections dans C:\Documents and Settings\jak\Start Menu\Programs\ ~~~~


~~~~ Nettoyage du registre ~~~~


~~~~ Tentative de réparation des entrées suivantes: ~~~~

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System"

[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service]

~~~~ Vérification: ~~~~

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ



_________________________________

développé par http://pc-system.fr
_________________________________
0
Utilisateur anonyme
3 mai 2010 à 20:53
refais des rcherches sur internet et dis moi si tu as toujours des redirections
0
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
3 mai 2010 à 22:59
Je viens de faire le test en faisant quelques recherches sur Google et ça n'a pas trainé, j'ai été redirigé au bout de 3 recherches sur un site de rogues ( vous êtes infectés etc...).
Il est toujours là ....Mais où ?
0
Utilisateur anonyme
4 mai 2010 à 07:24
bonjour,
il doit avoir un truc iunvisible par les tools de diag, on va se le faire :-)

* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux!


/
► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\INSTALLES LA CONSOLE DE RECUPERATION

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
4 mai 2010 à 08:24
Bonjour,
j'ai fait combofix , j'ai l'impression que ça a mordu ;)

http://www.cijoint.fr/cjlink.php?file=cj201005/cijhqPZtNL.txt
0
Utilisateur anonyme
4 mai 2010 à 13:23
fais quelques recherches sur internet et tiens moi au courant :-)
0
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
4 mai 2010 à 13:58
Je viens de surfer sur des recherches Google depuis une demi-heure et tout va bien. Plus aucune redirections intempestives.
En plus j'ai récupéré mon accès à windowsupdate auquel je ne pouvais plus me connecter depuis 3 semaines.
Donc pour moi, tout semble résolu.
Pour finir, je fais un petit Tool Cleaner, puis un CCleaner , je supprime mes points de restauration et je redémarre ?
Merci Electricien 69 ;)
0
Utilisateur anonyme
4 mai 2010 à 15:10
j'ai quand même l'impression que tu connais la musique, mdr

* Pour désinstaller les outils de désinfection qu'on a utilisés :

Telecharge ToolsCleaner2
--> http://pc-system.fr/
-Une fois téléchargé, installe-le et lance-le
-Clique sur Recherche et laisse le scan se terminer
-Clique sur SUPPRESSION
-Clique sur Quitter pour que le rapport puisse se créer
-Poste moi le rapport se trouvant ici--> C:\TCleaner.txt
Note : si certains outils reste sur ton pc, il faut les supprimer manuellement



* Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :
Pour XP : https://www.commentcamarche.net/faq/5097-virus-system-volume-information


cée un nouveau point de restauration système, ça peut servire :-)
0
jakezz Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 4 mai 2010
4 mai 2010 à 15:43
Ca y est , c'est tout propre ;)
Merci encore pour ton aide Electricien 69.
++


[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\WORT: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\jak\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\jak\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\jak\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\jak\Bureau\WareOut Removal Tool.bat: trouvé !
C:\Documents and Settings\jak\Bureau\Gmer.txt: trouvé !
C:\Documents and Settings\jak\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\jak\Bureau\WORT.exe: trouvé !
C:\Documents and Settings\jak\Bureau\WORT: trouvé !
C:\Documents and Settings\jak\Bureau\WORT\catchme.exe: trouvé !
C:\Documents and Settings\jak\Recent\HijackThis.lnk: trouvé !
C:\Program Files\trend micro\HijackThis: trouvé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\jak\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\jak\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\jak\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\jak\Bureau\WareOut Removal Tool.bat: supprimé !
C:\Documents and Settings\jak\Bureau\WORT\catchme.exe: supprimé !
C:\Documents and Settings\jak\Recent\HijackThis.lnk: supprimé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\jak\Bureau\Gmer.txt: supprimé !
C:\Documents and Settings\jak\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\jak\Bureau\WORT.exe: supprimé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\WORT: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\jak\Bureau\WORT: supprimé !
C:\Program Files\trend micro\HijackThis: supprimé !
0
Utilisateur anonyme
4 mai 2010 à 15:47
si tu as suivi ce que j'ai noté sur mon précedant message, il ne me reste plus qu'à te souhaiter un bon surf et une bonne journée ;-)
0