6 PUM DNS DhcpNameServer Trouvé avec ROGUEKILLER HELP

[Demoizelle]

Bonjour , ayant effectué un scan avec RogueKiller , ce dernier a détecté des pum dns que je ne parviens pas à supprimer ... et qui reviennent à chaque fois .
Voici un rapport détaillé , j'aurai besoin de l'aide pour m'en débarrasser
Merci d'avance
RogueKiller V12.1.1.0 (x64) [Apr 4 2016] (Gratuit) par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en : Mode normal
Utilisateur : HP [Administrateur]
Démarré depuis : C:\Users\HP\Downloads\RogueKillerX64.exe
Mode : Scan -- Date : 05/20/2016 04:07:35

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 6 ¤¤¤
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 31.3.244.141 31.3.244.135 ([-][]) -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 31.3.244.141 31.3.244.135 ([-][]) -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters | DhcpNameServer : 31.3.244.141 31.3.244.135 ([-][]) -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{05DCCCE4-9A2A-40C6-9366-37D2F21D855E} | DhcpNameServer : 31.3.244.141 31.3.244.135 ([-][]) -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{05DCCCE4-9A2A-40C6-9366-37D2F21D855E} | DhcpNameServer : 31.3.244.141 31.3.244.135 ([-][]) -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{05DCCCE4-9A2A-40C6-9366-37D2F21D855E} | DhcpNameServer : 31.3.244.141 31.3.244.135 ([-][]) -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS547575A9E384 SCSI Disk Device +++++
--- User ---
[MBR] 2e005040f72e9038722baa39b0261248
[BSP] 5e99046e3d34a905bde1704a9c0c24c4 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 175303 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 359227392 | Size: 539999 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User != LL2 ... KO!
--- LL2 ---
[MBR] 2e005040f72e9038722baa39b0261248
[BSP] 5e99046e3d34a905bde1704a9c0c24c4 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 175303 MB [Error reading VBR! ([1] Fonction incorrecte. )]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 359227392 | Size: 539999 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]

+++++ PhysicalDrive1: SDHC Card +++++
--- User ---
[MBR] 462cabf63ae78f159334a624042a53f9
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0xb) [VISIBLE] Offset (sectors): 8192 | Size: 3720 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge.

[bernard53]

Bonjour Demoizelle
Les DNS reconnu par RoqueKiller vienne d’Angleterre.
tu n'as pas voulu de connecté en Wifi près d'un aérodrome.

[Demoizelle]

comment se fait-il qu'ils soient en ANGLETERRE , or que je suis en Algérie Oo

je n'ai toujours pas compris comment ça se fait que les DNS changent comme ça :/

[bernard53]

Fait ceci en plus s.t.p.
Téléchargez FRST et enregistrez-le sur le Bureau.

Note Vous devez utiliser la version compatible avec votre système. Si vous n'êtes pas sûr de la version adaptée à votre système, téléchargez les deux versions et essayez de les exécuter. Une seule d'entre elles s'exécutera sur votre système, ce sera la 'bonne' version.

Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur
(Sous Windows XP faites un double clic sur FRST.exe/FRST64.exe puis cliquez sur 'Exécuter' lors de l'Avertissement de sécurité - Fichier ouvert).

Quand l'outil démarre, cliquez sur Oui si vous acceptez les termes de la fenêtre Disclaimer (clause de non-responsabilité).
Cliquez sur le bouton Scan. et vérifier qu’Addition.txt soit validé.

[*]L'outil va créer un fichier rapport [log] nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.
[*]Copiez et collez ce rapport dans votre réponse.
[*]La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt- situé également dans le même dossier que FRST.exe/FRST64

Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.
 

[Demoizelle]

les voici

[bernard53]

ok ceci.
Téléchargez le fichier attaché Fixlist.txt suivant le lien ci-dessous et enregistrez-le sur le Bureau.

fixlist.txt

NOTE .Il est important que les deux fichiers, FRST/FRST64 et fixlist.txt se trouvent dans le même emplacement, sinon la correction ne fonctionnera pas.
NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur, pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.
Exécutez FRST/FRST64 cliquez une seule fois sur le bouton Fix et attendez.

Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laissez le système redémarrer normalement. Ensuite laissez l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt). Copiez/collez ce rapport dans votre réponse.


Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.

Puis si toujours soucis vérifie cela.
- Désactivez le proxy ajouté par l'infection pour cela :

- Sur Firefox, Outils /Options puis onglet Avancés.
- Cliquez sur Réseau et Paramètres.
- Choisissez "Pas de Proxy".

- Sur Internet Explorer , c'est le menu Outils / Options Internet.
- Onglet Connexions puis Paramètres réseau--> désactiver le proxy.

Vérifier que la case "Détecter automatiquement les paramètres de connections" soit cochée.
Redémarrez l'ordinateur.

[Demoizelle]

Bonsoir ,
les autres actions je les ai déjà effectués ,mais malheureusement cela n'a rien changé
voici le rapport

[bernard53]

Je pense que tu as essayer de faire cette suppression avec RoqueKiller!
Dis moi tu n'as pas un routeur à tout hasard, car je pense que le soucis viens de lui.
Ce dernier est-il bien à jour, bien sur si tu as un routeur?

[Demoizelle]

j'ai bien essayé de fixé cela avec Farbar , puis le pc a redémarré donc j'ai essayé de voir si le PB été résolu , mais les pages apparaissaient tjrs , donc j'ai fait une analyse avec Rogue' puis j'ai fait la supp , Idem rien donné
Pour le routeur c'est un TP-LINK ( pour la référence exacte faut que je vérifie de suite )
http://www.tplink.com/res/images/produc ... 3.0-01.jpg
Euh pour la mise à jour , je ne me suis jamais aventurée à le faire par crainte de ne plus avoir accès au net , vu que le jour ou je me suis rendue sur leur site , je n'ai pas su quelle version télécharger etc ...
_________________________________________________________________________________________________
Bon là j'ai vérifié la version du routeur la référence , j'ai téléchargé la dernière MAJ , mais quand j'ai voulu me rendre sur le site , j'ai eu ça

Ce site est inaccessible

192.168.1.101 n'autorise pas la connexion.
Essayez les suggestions ci-dessous :
Recharger la page
Vérifier la connexion
Vérifier le proxy et le pare-feu
ERR_CONNECTION_REFUSED

[bernard53]

ok je viens de vérifier de nouveau tes rapports FRST et une petite chose m'étais passé .

HKU\S-1-5-21-683295666-1885027710-3257362456-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\HP\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 31.3.244.141 - 31.3.244.135

si je ne me trompe pas tu as téléchargé un thème depuis un site qui lui a installé cette ligne DNS.
Est ce bien le cas!
Si oui en allant dans l'adresse suivante dans le registre.

HKU\S-1-5-21-683295666-1885027710-3257362456-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\HP\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

et en supprimant cette ligne tout devrait rentrer dans l'ordre.
ATTENTION: qaund on touche au registre surtout faire une sauvegarde de la clé concerné avant.
https://support.microsoft.com/fr-fr/kb/322756

[Demoizelle]

Bonjour, je m'excuse de t'avoir autant dérangé

J'ai effectué une recherche dans le registre , mais je n'ai pas trouvé cette clé , y'aurait il un autre moyen de la retrouver pour la SUPP ?
merci

[bernard53]

Pas de soucis tu ne me dérange pas.
Télécharge SEAF.exe de C_XX
http://general-changelog-team.fr/fr/dow ... -xx/6-seaf

Double-clique sur le fichier SEAF.exe.
Coche Chercher également dans le registre
Dans la barre de recherche tape :
TranscodedWallpaper.jpg

Clique sur Lancer la recherche.
Le scan prendra quelques minutes et un fichier texte va s'ouvrir que tu postes par copier-coller.
Tu refermes le fichier et l'outil.

Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.

[Demoizelle]

J'ai effectué plusieurs recherches aujourd’hui pour essayer de trouver un programme qui me permette d'effectuer une analyse approfondie , et là je suis tombée sur COMBOFIX , je l'ai installé , lancé l'analyse ,
et à la fin ;ce rapport s'est affiché ( bon pendant que l'outil marchait j'ai vu que des trucs ont été supprimés , mais j'avoue qu'en essayant de jeter un coup d’œil au rapport je n'ai pas compris grand chose

jusqu'à présent je n'ai pas été redirigée vers une quelconque page , donc je ne sais pas est ce que c'est du pur hasard ou est ce que ce logiciel a supprimé des trucs ,
pourrais-tu le voir stp et me dire s'il a détecté des éléments suspects .?

merci


--------------------------------------------------------------------------------------------------------------
voici le rapport demandé

[bernard53]

Attention ComboFix est un outil puissant et n'est pas à utiliser sans avis
les thèmes "Wallpaper"= sont ceux de Windows on n'y touche pas.
Fait ceci.
Téléchargez le fichier attaché Fixlist.txt suivant le lien ci-dessous et enregistrez-le sur le Bureau.

fixlist.txt

NOTE .Il est important que les deux fichiers, FRST/FRST64 et fixlist.txt se trouvent dans le même emplacement, sinon la correction ne fonctionnera pas.
NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur, pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.
Exécutez FRST/FRST64 cliquez une seule fois sur le bouton Fix et attendez.

Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laissez le système redémarrer normalement. Ensuite laissez l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt). Copiez/collez ce rapport dans votre réponse.


Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.

[Demoizelle]

Bonsoir , le voici ;

si ma mémoire est bonne même lorsque j'ai essayé avec le DNS JUMPER d'établir le DNS PAR DEFAUT , à chaque fois il devenait custom dns server 31.3.244...