Ordi infecté par trojan.dnschanger
noisette
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Depuis plusieurs jours, nous sommes redirigé sur d'autres pages google que celles désirées quand nous n'avons pas "page introuvable".
Impossible de faire un scan du pc avec MALWAREBYTES, quand on le lance on a erreur 730
Impossible de lancer Spybot
J'ai télécharger sur clé USB Superantimalware, qui nous a trouvé TROJAN.DNS-CHANGER mais ne nous l'a pas supprimé.
Avant de faire n'importe quoi, pouvez-vous m'aider
Sur le PC infecté, nous avions COMBOFIX (déjà eu un problème avec un rootkit il y a 1 an !!!)
Merci d'avance pour votre aide
Cdt
Depuis plusieurs jours, nous sommes redirigé sur d'autres pages google que celles désirées quand nous n'avons pas "page introuvable".
Impossible de faire un scan du pc avec MALWAREBYTES, quand on le lance on a erreur 730
Impossible de lancer Spybot
J'ai télécharger sur clé USB Superantimalware, qui nous a trouvé TROJAN.DNS-CHANGER mais ne nous l'a pas supprimé.
Avant de faire n'importe quoi, pouvez-vous m'aider
Sur le PC infecté, nous avions COMBOFIX (déjà eu un problème avec un rootkit il y a 1 an !!!)
Merci d'avance pour votre aide
Cdt
A voir également:
- Ordi infecté par trojan.dnschanger
- Ordi qui rame - Guide
- Comment reinitialiser un ordi - Guide
- Ordi scrabble - Télécharger - Jeux vidéo
- Ecran ordi a l'envers - Guide
- Mon ordi ne reconnait pas ma clé usb - Guide
23 réponses
Bonsoir
Tu supprimes cette version de ComboFix si tu l'as encore;
et tu installes et utilises cette dernière version;merci.
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- Installe le console de récupération comme demandé ;utile en cas de plantage
- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)
::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes
@+
Tu supprimes cette version de ComboFix si tu l'as encore;
et tu installes et utilises cette dernière version;merci.
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- Installe le console de récupération comme demandé ;utile en cas de plantage
- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)
::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes
@+
Meri pour la réponse,
Est ce que je peux le mettre sur clé usb, car impossible de le telecharger sur le pc infécté, la fenetre de téléchargement s'ouvre mais rien ne se télécharge !!!
Pas cool
Est ce que je peux le mettre sur clé usb, car impossible de le telecharger sur le pc infécté, la fenetre de téléchargement s'ouvre mais rien ne se télécharge !!!
Pas cool
Bonsoir
Merci d'avoir exposé le problème original ;((
Donc à partir de ce PC dispo
Tu télécharges sur une clé Usb ou autre support amovible.
ZHPDiag
Ensuite sur le pC à problèmes tu procèdes comme si dessous:
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
A+
Merci d'avoir exposé le problème original ;((
Donc à partir de ce PC dispo
Tu télécharges sur une clé Usb ou autre support amovible.
ZHPDiag
Ensuite sur le pC à problèmes tu procèdes comme si dessous:
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
A+
Merci,
J'ai installé ZHPDiag et lancé sur le pc infecté, mais ça fait 30 min qu'il reste bloqué à 80 % Etat général des services non Microsoft EGS
Sablier et plus rien ne se passe
Que faut-il que je fasse ?
Attendre ? ou relancer le pc
J'ai installé ZHPDiag et lancé sur le pc infecté, mais ça fait 30 min qu'il reste bloqué à 80 % Etat général des services non Microsoft EGS
Sablier et plus rien ne se passe
Que faut-il que je fasse ?
Attendre ? ou relancer le pc
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re
Que cela donne t' il en mode sans echec?
J'ai pu voir que ComboFix avait déjà été utilisé??
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Que cela donne t' il en mode sans echec?
J'ai pu voir que ComboFix avait déjà été utilisé??
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Merci, en mode sans échec l'analyse reste bloqué au même stade !
Je crois que je vais le laissé un peu et voir demain pour résoudre le problème.
Merci encore pour votre aide
Bonne soirée
Je crois que je vais le laissé un peu et voir demain pour résoudre le problème.
Merci encore pour votre aide
Bonne soirée
Comme je vous l'ai dejà dis merci pour votre aide
Donc reprenons :
Mode sans échec => HS reste bloqué au même endroit que la 1er fois.
J'ai redemarré le PC normalement.
Donc reprenons :
Mode sans échec => HS reste bloqué au même endroit que la 1er fois.
J'ai redemarré le PC normalement.
Re
Sur ce PC à problèmes ;vu que le mode sans echec ne fonctionne pas
Utilisateurs de Vista /!\
Désactivez le contrôle des comptes utilisateurs avant utilisation de cet outil:
* Allez dans "Démarrer" puis Panneau de configuration.
* Double Cliquez sur l'icône Comptes d'utilisateurs et sur "Activer ou désactiver le contrôle des comptes d'utilisateurs".
* Décochez la case "Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur".
* Validez par OK et redémarrez.
* Aide en image.
Explications option 1 (Recherche) :
Télécharge FindyKill ( de El Desaparecido) sur ton bureau et installe le :
http://www.teamxscript.org/findykillTelechargement.html
! Déconnecte toi et ferme toutes applications en cours !
* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut.
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil.
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparaît à la fin , sur le forum ...
( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Sur ce PC à problèmes ;vu que le mode sans echec ne fonctionne pas
Utilisateurs de Vista /!\
Désactivez le contrôle des comptes utilisateurs avant utilisation de cet outil:
* Allez dans "Démarrer" puis Panneau de configuration.
* Double Cliquez sur l'icône Comptes d'utilisateurs et sur "Activer ou désactiver le contrôle des comptes d'utilisateurs".
* Décochez la case "Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur".
* Validez par OK et redémarrez.
* Aide en image.
Explications option 1 (Recherche) :
Télécharge FindyKill ( de El Desaparecido) sur ton bureau et installe le :
http://www.teamxscript.org/findykillTelechargement.html
! Déconnecte toi et ferme toutes applications en cours !
* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut.
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil.
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparaît à la fin , sur le forum ...
( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Voici le rapport
############################## | FindyKill V5.052 |
# User : Les Bébés () # SN101607770003
# Update on 23/10/2010 by El Desaparecido
# Start at: 21:17:04 | 11/11/2010
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org
# Intel(R) Celeron(R) CPU 2.70GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1368 [VPS 101111-1] 4.8.1368 [ (!) Disabled | Updated ]
# C:\ # Disque fixe local # 74,55 Go (9,03 Go free) [HDD] # NTFS
# D:\ # Disque CD-ROM # 691,09 Mo (0 Mo free) [PHARAON] # CDFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS
# K:\ # Disque amovible # 7,47 Go (7,35 Go free) # FAT32
################## | Eléments infectieux |
D:\autorun.inf
J:\autorun.inf
################## | Registre |
[HKCU\Software\Classes\ed2k]
[HKCR\ed2k]
################## | Etat |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.052 ! |
############################## | FindyKill V5.052 |
# User : Les Bébés () # SN101607770003
# Update on 23/10/2010 by El Desaparecido
# Start at: 21:17:04 | 11/11/2010
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org
# Intel(R) Celeron(R) CPU 2.70GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1368 [VPS 101111-1] 4.8.1368 [ (!) Disabled | Updated ]
# C:\ # Disque fixe local # 74,55 Go (9,03 Go free) [HDD] # NTFS
# D:\ # Disque CD-ROM # 691,09 Mo (0 Mo free) [PHARAON] # CDFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS
# K:\ # Disque amovible # 7,47 Go (7,35 Go free) # FAT32
################## | Eléments infectieux |
D:\autorun.inf
J:\autorun.inf
################## | Registre |
[HKCU\Software\Classes\ed2k]
[HKCR\ed2k]
################## | Etat |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.052 ! |
Non, impossible de telecharger quoi que ce soit sur le pc infecté, la fenetre de telechargement s'ouvre mais le programme a telecharger est annulé automatiquement.
Donc je telecharge sur cle usb et met après sur le pc hs.
Pour le moment le pc infecté est deconnecté !!!
Donc je telecharge sur cle usb et met après sur le pc hs.
Pour le moment le pc infecté est deconnecté !!!
Findykill a été lancé sur le pc infecté
Le rapport a été enregistré puis mis sur la cle usb pour pouvoir le poster sur le forum
Pourquoi il y a pbl ?
Merci encore
Le rapport a été enregistré puis mis sur la cle usb pour pouvoir le poster sur le forum
Pourquoi il y a pbl ?
Merci encore
Petit soucis = pas d'option F
J'ai suppression 2
Tutoriel 3
Désinstaller 4
Quitter Q
Faire un don 5
Que dois je faire, merci
J'ai suppression 2
Tutoriel 3
Désinstaller 4
Quitter Q
Faire un don 5
Que dois je faire, merci
Re
Oups... ; F comme français ;mais il te faut bien faire l'option 2 (Suppression).
Poste le rapport ;merci.
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Oups... ; F comme français ;mais il te faut bien faire l'option 2 (Suppression).
Poste le rapport ;merci.
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Bonjour Guillaume 5188
Le scan du PC reste bloqué depuis 1h00 sur 40 %
Niveau patch c:\activdoc\static\
Dois-je le laisser continuer ?
Cordialement
Le scan du PC reste bloqué depuis 1h00 sur 40 %
Niveau patch c:\activdoc\static\
Dois-je le laisser continuer ?
Cordialement
Bonjour,
Voila maintenant 48h que j'ai lancé la suppression de Findykill et il reste toujours à 40%.
Il reste plus de 1/2 heure sur des fichier zip.
N'y aurait il pas un problème, dois-je continuer à le laisser tourné
Merci d'avance et bon dimanche
Voila maintenant 48h que j'ai lancé la suppression de Findykill et il reste toujours à 40%.
Il reste plus de 1/2 heure sur des fichier zip.
N'y aurait il pas un problème, dois-je continuer à le laisser tourné
Merci d'avance et bon dimanche
Me voilà revenu mais dépourvu !!!
Bon j'ai arrêter car ca faisais 3h00 qu'il restait bloquer sur le même fichier ZIP (de open office)
Je pense que le problème persiste car malgré que superantispware n'ai pas trouvé de trojan, je suis redirigé sur d'autre page google dont une qui veut que je telecharge un élément et qui fait comme si il scanner mon PC.
Bon dimanche
Bon j'ai arrêter car ca faisais 3h00 qu'il restait bloquer sur le même fichier ZIP (de open office)
Je pense que le problème persiste car malgré que superantispware n'ai pas trouvé de trojan, je suis redirigé sur d'autre page google dont une qui veut que je telecharge un élément et qui fait comme si il scanner mon PC.
Bon dimanche
Bonjour
Laisse tomber.
Reprenons ;
Sur le PC à problèmes vérifie ceci:
Supprimer le Proxy dans Internet Explorer.
Outils>>Options>>Connexions>>Bouton paramètres réseau>>serveur proxy(décocher utiliser un proxy...etc)
Proxy Firefox
OUTILS >>OPTIONS>> AVANCE, il y a un sous onglet RESEAU puis CONNEXION...à droite tu trouveras PARAMETRES...et dans paramètres, tu coches PAS DE PROXY...tu fais OK, tu fermes Firefox et ensuite tu le relances.
Ensuite dis moi si tu as Internet ou encore des redirections.
@+
Laisse tomber.
Reprenons ;
Sur le PC à problèmes vérifie ceci:
Supprimer le Proxy dans Internet Explorer.
Outils>>Options>>Connexions>>Bouton paramètres réseau>>serveur proxy(décocher utiliser un proxy...etc)
Proxy Firefox
OUTILS >>OPTIONS>> AVANCE, il y a un sous onglet RESEAU puis CONNEXION...à droite tu trouveras PARAMETRES...et dans paramètres, tu coches PAS DE PROXY...tu fais OK, tu fermes Firefox et ensuite tu le relances.
Ensuite dis moi si tu as Internet ou encore des redirections.
@+
