Trojan.dnschanger

spirit059 -  
juju666 Messages postés 38404 Statut Contributeur sécurité -
Bonjour,

j'ai un soucy depuis que j'ai formater mon pc, le trojan que j'avais reussi a supprimer est reaparru.

comment faire pour le supprimé definitivement!

on m'avais dit que j'avais des ip qui parté vers la russie alors que je n'est aucun lien avec ce pays.

quand je fait un scan malwarebytes il me detecte 4 trojan mais apres il n'arrive pas a les supprime.

comment faire?

bon dimanche.


26 réponses

  • 1
  • 2
Réponse 1 / 26
juju666 Messages postés 38404 Statut Contributeur sécurité 4 796
 
Salut,

Poste le rapport MBAM.
0
Réponse 2 / 26
spirit059
 
et voila,

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7622

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

16/10/2011 13:48:07
mbam-log-2011-10-16 (13-47-54).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 163481
Temps écoulé: 4 minute(s), 3 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Bad: (213.109.68.247) Good: () -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Bad: (213.109.73.249) Good: () -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{A38E3C78-3119-4121-A8F3-4FEA7E8DB47F}\DhcpNameServer (Trojan.DNSChanger) -> Bad: (213.109.68.247) Good: () -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{A38E3C78-3119-4121-A8F3-4FEA7E8DB47F}\DhcpNameServer (Trojan.DNSChanger) -> Bad: (213.109.73.249) Good: () -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 3 / 26
juju666 Messages postés 38404 Statut Contributeur sécurité 4 796
 
No action taken.

tu m'étonnes qu'il revient toujours ...

Si des menaces ont été détectées :

▶ Clique sur OK puis "Afficher les résultats"
▶ Choisis l'option "Supprimer la sélection"
▶ Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
▶ Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
▶ Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message
0
Réponse 4 / 26
spirit059
 
et voila,

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7622

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

16/10/2011 19:00:23
mbam-log-2011-10-16 (19-00-23).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 163198
Temps écoulé: 3 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Bad: (213.109.68.247) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Bad: (213.109.73.249) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{A38E3C78-3119-4121-A8F3-4FEA7E8DB47F}\DhcpNameServer (Trojan.DNSChanger) -> Bad: (213.109.68.247) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{A38E3C78-3119-4121-A8F3-4FEA7E8DB47F}\DhcpNameServer (Trojan.DNSChanger) -> Bad: (213.109.73.249) Good: () -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 26
juju666 Messages postés 38404 Statut Contributeur sécurité 4 796
 
:)

Nous allons effectuer un diagnostic de ton PC:
Télécharge ZHPDiag

▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag"

▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)

▶ Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau :

Voici comment procéder

▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

A bientôt.
0
Réponse 6 / 26
spirit059
 
bonjour,

voila le rapport zhpdiag,

http://pjjoint.malekal.com/files.php?read=ZHPDiag_v7r14d7b6e5t6l6e5o6p10y5q9z5w6b12w13u8z12w14i9

par contre je vient de me rendre conte que j'avais deja creer un sujet pour ce probleme l'anne derniere.

http://www.commentcamarche.net/forum/affich-20769380-virus-malgre-un-reformatage
0
Réponse 7 / 26
juju666 Messages postés 38404 Statut Contributeur sécurité 4 796
 
^^

Télécharge AD-Remover sur ton Bureau : (TeamXScript)

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
OU
https://www.androidworld.fr/ ( Miroir )

/!\ Ferme toutes applications en cours /!\

▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.
▶ Sur la page, clique sur le bouton « Nettoyer »
▶ Confirme le lancement du scan
▶ Laisse travailler l'outil.
▶ Quand il a fini, un rapport s'ouvrira : ferme le.

♦ Pour me transmettre le rapport

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\Ad-Report-CLEAN[1].txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
0
Réponse 8 / 26
spirit059
 
et voila,

http://www.cijoint.fr/cjlink.php?file=cj201110/cijzqkF261.txt
0
Réponse 9 / 26
juju666 Messages postés 38404 Statut Contributeur sécurité 4 796
 
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du nettoyage.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
0
Réponse 10 / 26
spirit059
 
bonjour,
le rapport adwcleaner;

# AdwCleaner v1.311 - Rapport créé le 18/10/2011 à 06:42:39
# Mis à jour le 14/10/11 à 18h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : fufu - PC-DE-FUFU (Administrateur)
# Exécuté depuis : C:\Programmes fufu\zHP\adwcleaner0.exe
# Option [Suppression]


***** [KillNav] *****

# firefox.exe [PID:3344] -> Tué

***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v7.0.1 (fr)

Profil : 6dj5jbfs.default
Fichier : C:\Users\fufu\AppData\Roaming\Mozilla\Firefox\Profiles\6dj5jbfs.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [888 octets] - [18/10/2011 06:42:39]

*************************

Dossier Temporaire : 29 dossier(s) et 2 fichier(s) supprimé(s)

########## EOF - C:\AdwCleaner[S1].txt - [1110 octets] ##########
0
Réponse 11 / 26
juju666 Messages postés 38404 Statut Contributeur sécurité 4 796
 
Bizarre

Télécharge AD-Remover sur ton Bureau : (TeamXScript)

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
OU
https://www.androidworld.fr/ ( Miroir )

/!\ Ferme toutes applications en cours /!\

▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.
▶ Sur la page, clique sur le bouton « Nettoyer »
▶ Confirme le lancement du scan
▶ Laisse travailler l'outil.
▶ Quand il a fini, un rapport s'ouvrira : ferme le.

♦ Pour me transmettre le rapport

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\Ad-Report-CLEAN[1].txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
0
Réponse 12 / 26
spirit059
 
bonsoir,

j'ai deja fait cette manipulation, c'est ecrit un peu plus haut.

je la refait?
0
Réponse 13 / 26
juju666 Messages postés 38404 Statut Contributeur sécurité 4 796
 
ah merde désolé :'D

Refais un ZHPDiag ;)
0
Réponse 14 / 26
spirit059
 
et voila,
http://www.cijoint.fr/cjlink.php?file=cj201110/cij4hyRVAI.txt
0
Réponse 15 / 26
juju666 Messages postés 38404 Statut Contributeur sécurité 4 796
 
c'est tout bon :)

Procédure d'optimisation/d'entretien/de prévention

▶ Télécharge ici : PureRa (par l''editeur de JavaRa)

▶ Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7)

=> Configuration en vidéo ( merci gen-hackman )

▶ clique sur "Clean"

▶ L''outil va faire son scan puis son nettoyage

▶ à la fin du rapport tu auras une ligne comme ca :

Total space cleaned: 8140878 bytes

▶ transmets juste cette ligne , le reste importe peu

------

▶ télécharge et installe Ccleaner

▶ double-clique sur le fichier pour lancer l''installation

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu''administrateur »

▶ ▶ une fois ouvert tu cliques sur option et puis avancé
▶ tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures "
▶ ▶ cliques sur nettoyeur
▶ cliques sur windows et dans la colonne avancé
▶ coches la première case "vieilles données du perfetch"
▶ cliques sur analyse une fois l''analyse terminé
▶ cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" ▶ ▶ cliques maintenant sur registre et puis sur "rechercher les erreurs "
▶ laisses tout cochées et cliques sur "réparer les erreurs sélectionnées"
▶ il te demande de sauvegarder ==> OUI
▶ tu lui donnes un nom pour pouvoir la retrouver et enregistre
▶ cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK
▶ Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs"
▶ tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur windows, sous avancé, tu décoches la première case "vieilles données du perfetch"
▶ tu peux fermer Ccleaner

------

Fais une recherche des erreurs de disque :
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d''avertissement et redémarrez votre système.

------

Défragmente tes disques dur :
Télécharge Deffragler, et défragmente tes disques.

------

▶ Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------

▶ Maintiens tes logiciels à jour c'est important, utilise ce programme : https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

▶ idem pour les Mises à jour Windows :

Il est très important de maintenir son OS à jour car ceci comble les failles de sécurité par lesquelles les malwares ("virus") s'introduisent ...

▶ Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/


▶ Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

▶ Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp

▶ Désinstaller les anciennes versions de Java :

▶ Télécharge JavaRa.zip

▶ Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)

▶ Double-clique sur le répertoire JavaRa obtenu.

▶ Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s''afficher)

▶ Clique sur Remove Older Versions.

▶ Clique sur Oui pour confirmer. L''outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.

▶ Un rapport va s''ouvrir, copie-colle le dans ta prochaine réponse.

▶ Note : le rapport se trouve aussi là : ( C:\JavaRa.log )

▶ Tu peux fermer l''application

▶ ▶ Met à jour les logiciels Adobe :

▶ Reader : https://get2.adobe.com/fr/reader/otherversions/

▶ Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

Si tu utilise FireFox, vérifie que tes plug in sont à jour : https://support.mozilla.org/en-US/kb/npapi-plugins

-----

▶ ▶ pour supprimer les outils de désinfection :

▶ Télécharge et exécute Delfix sur ton bureau

▶ Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message
▶ ▶ Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

------

Tu peux garder Malwarebytes pour un scan de temps à autres

-----

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web
Et celui ci, sur les logiciels gratuits à éviter

Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Exemple de ce qu'il ne faut pas faire :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus
------

▶ ▶ Pense à marquer le fil comme résolu

------

Si tu as d'autres questions,
Sur le fonctionnement des malwares
Ou comment tu t'es fait infecté
N'hésites pas.
On se quitte si le rapport DelFix est ok...

@+
0
Réponse 16 / 26
spirit059
 
je ne pense pas que cela soit tout bon car j'ai voulu aller a l'instant sur le site de ma banque est je suis tombé sur:

http://gamevid.com/?close=1
0
Réponse 17 / 26
juju666 Messages postés 38404 Statut Contributeur sécurité 4 796
 
mouais ...

▶ Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu''administrateur)

▶ Lance OTL
▶ Sous Personnalisation, copie-colle ce qu''il y a dans le cadre ci-dessous : 
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c

▶ Clique sur le bouton Analyse.
▶ Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
0
Réponse 18 / 26
spirit059
 
et voila,
http://pjjoint.malekal.com/files.php?read=OTL_h12x7d14v10j12h12s12z7e14w9g6o12r5s13x6j6v11n10v5e12
0
juju666 Messages postés 38404 Statut Contributeur sécurité 4 796
 
manque 1 fichier normalement tu dois avoir OTL et extras
0
Réponse 19 / 26
spirit059
 
bonjour,
ou se trouve t'il?

j'avais fait copier coller directement quand il m'avez ouvert la fenetre avec le rapport mais maintenant que je l'ai ferme je n'en retrouve meme plus un.
0
Réponse 20 / 26
juju666 Messages postés 38404 Statut Contributeur sécurité 4 796
 
Normalement, les 2 fichiers texte sont à côté de l'exécutable ...
0

Discussions similaires

Trojan.DNSchanger impossible à supprimer
VMLights -
VMLights -

23 réponses