PC infecté par PUP.Optional.DNSUnlockerRésolu/Fermé

Question

Bonjour, 

je viens aujourd'hui me présenter à vous car mon PC est infecté.
Depuis quelques jours, des pubs apparaissent sans arrêt dès que j'ouvre internet (environ toutes les 5-10 mn, c'est assez variable).

J'ai aujourd'hui fait un scan malwarebytes, celui ci me trouve ce résultat:

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 1
PUP.Optional.DNSUnlocker.ACMB2, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{EBA7E7F0}, , [dc2630eabbeed75f217de51831d1c63a], 

Valeurs du Registre: 1
PUP.Optional.DNSUnlocker.ACMB2, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{eba7e7f0}|1, 1494433456, , [dc2630eabbeed75f217de51831d1c63a]

Données du Registre: 1
Trojan.DNSChanger.ACMB2, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS|NameServer, 82.163.143.176 82.163.142.178, Bon : (8.8.8.8), Mauvais : (82.163.143.176 82.163.142.178),,[34ce66b4a40559dd912c2bff3ec552ae]

Dossiers: 1
Adware.Agent.Generic, C:\ProgramData\{81AEF618-3605-41B3-3727-18C994029829}, , [976b7c9e5c4d80b631dd79c20000639d], 

Fichiers: 1
Adware.Agent.Generic, C:\ProgramData\{81AEF618-3605-41B3-3727-18C994029829}\AE2C415A-1987-F6F1-9464-87EE19E43118.exe, , [976b7c9e5c4d80b631dd79c20000639d], 

Secteurs physiques: 0
(Aucun élément malveillant détecté)

J'ai bien entendu supprimé et redémarré mon PC.
J'aimerais maintenant savoir, car je sais qu'un trojan est plus compliqué a supprimé que cela, quels sont les modalités pour le supprimer totalement.

Je vous remercie d'avance de votre aide,
cordialement,
Fabien.

Malekal_morte- · Answer

Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

fafabien10 · Answer

Bonsoir,
merci pour la réponse rapide, voici les trois liens dans l'ordre:

https://pjjoint.malekal.com/files.php?id=FRST_20170519_i15g9y8m5l8

https://pjjoint.malekal.com/files.php?id=20170519_i7b15y6k14z13

https://pjjoint.malekal.com/files.php?id=20170519_y14q6w14d6l15

Cordialement,
fabien.

Malekal_morte- · Answer

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran. Ouvre le bloc-notes : Touche Windows + R, Dans le champs "Exécuter", saisir notepad et OK. Copie/Colle dedans ce qui suit : CreateRestorePoint:CloseProcesses:Task: {987C95BB-7F04-4769-817A-6364D95A6AEF} - System32\Tasks\{D999FEB8-6699-CE0E-6B23-46D7F725742C} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\eba7e7f0\ce995383.dll" <==== ATTENTIONTask: {3FFC19E6-65AC-40EF-A484-BBB8B38445E8} - System32\Tasks\{716ECC17-C6C5-7BBC-3F86-816EFA1C7DAC} => C:\ProgramData\{6DF2FDEB-DA59-4A40-DA38-F2297087C15E}\14D2A258-A379-15F3-FAAB-75DB708F04E1.exe <==== ATTENTIONTask: {D460700B-F7DE-4BE3-909C-14C7F06F7F4B} - System32\Tasks\{4B40C2EE-FCEB-7545-3A4E-CBCE29961181} => C:\ProgramData\{81AEF618-3605-41B3-3727-18C994029829}\AE2C415A-1987-F6F1-9464-87EE19E43118.exe <==== ATTENTIONTask: {DC16C683-0089-4A0B-9D1F-D658417C02FD} - System32\Tasks\{B3FB88C0-0450-3F6B-22AE-A97FA836F687} => C:\ProgramData\{B1C2F666-0669-41CD-D516-537404E71246}\F26CED0D-45C7-5AA6-0380-7A147F7E29DA.exe <==== ATTENTION 2017-05-07 15:55 - 2017-05-09 12:05 - 00000000 ____D C:\ProgramData\{B1C2F666-0669-41CD-D516-537404E71246} 2017-05-07 15:55 - 2017-05-07 15:55 - 00004180 _____ C:\WINDOWS\System32\Tasks\{B3FB88C0-0450-3F6B-22AE-A97FA836F687} 2017-05-08 10:56 - 2017-05-08 10:56 - 00000000 ____D C:\ProgramData\Etiam2017-05-07 15:55 - 2017-05-09 12:05 - 00000000 ____D C:\ProgramData\{B1C2F666-0669-41CD-D516-537404E71246}2017-05-14 03:20 - 2017-05-14 03:20 - 00004180 _____ C:\WINDOWS\System32\Tasks\{4B40C2EE-FCEB-7545-3A4E-CBCE29961181}2017-05-13 09:34 - 2017-05-13 11:26 - 00000000 ____D C:\ProgramData\{6DF2FDEB-DA59-4A40-DA38-F2297087C15E}2017-05-13 09:34 - 2017-05-13 09:34 - 00004180 _____ C:\WINDOWS\System32\Tasks\{716ECC17-C6C5-7BBC-3F86-816EFA1C7DAC}2017-05-13 09:34 - 2017-05-13 09:34 - 00003880 _____ C:\WINDOWS\System32\Tasks\{D999FEB8-6699-CE0E-6B23-46D7F725742C}S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\dr.fone toolkit for Android\Library\DriverInstaller\DriverInstall.exe" [X]Hosts:EmptyTemp:RemoveProxy:Reboot: Une fois, le texte collé dans le Bloc-notes, Menu "Fichier" puis "Enregistrer sous", A gauche, place toi sur le Bureau, Dans le champs en bas, nom du fichier mets : fixlist.txt Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau. Relance FRST et clique sur le bouton "Corriger / Fix" Un redémarrage sera peut-être nécessaire ( pas obligatoire ) Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. Redémarre l'ordinateur.

fafabien10 · Answer

Bonsoir, 
aucun fichier texte n'est apparu au redémarrage (automatique) mais un fichier fixlog s'est crée sur le bureau!

voici le fichier sur pijoint:

https://pjjoint.malekal.com/files.php?id=20170520_v7d5y8h9r14

merci en tout cas !
Cordialement,
Fabien

Malekal_morte- · Answer

Je pense que tout est correct.
Des problèmes en particulier ?

fafabien10 · Answer

Non, plus aucun problème.
J'ai même réalisé une analyse malwarebytes, et il ne me trouve plus rien.
Merci beaucoup pour votre aide.
Bonne journée et bon week end à tous !

Fabien.

Malekal_morte- · Answer

nice =)

Supprime le dossier C:\FRST

Quelques conseils : 

Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

PC infecté par PUP.Optional.DNSUnlocker

7 réponses

Newsletters