[Réglé] Détournement du DNS

[RobinSG]

Bonsoir,

J'ai un soucis , je penses que j'ai un détournement du DNS. C'est mon pare feu qui me donne une alerte régulièrement après avoir banché une clé USB qui a fait ramé mon pc

Voici mon ZHP : http://cjoint.com/?BLnxAHV3NdB

Merci @ vous

++

[Yanis91270]

• Copies le contenu du cadre ci dessous dans un fichier.txt
(Clique-droit sur ton bureau et tu choisis "Nouveau > Document Texte")

Code: Tout sélectionner

O67 - Shell Spawning: <.js> <JSFile>[HKLM\..\open\Command] (.Microsoft Corporation - Microsoft  Console Based Script Host.) -- C:\WINDOWS\system32\CScript.exe    => Infection FakeAlert (Trojan.FakeAlert)
O67 - Shell Spawning: <.js> <JSFile>[HKCR\..\open\Command] (.Microsoft Corporation - Microsoft  Console Based Script Host.) -- C:\WINDOWS\system32\CScript.exe    => Infection FakeAlert (Trojan.FakeAlert)
O42 - Logiciel: TransBar - (.Pas de propriétaire.) [HKCU] -- TransBar    => TransBar
O43 - CFD: 03/12/2012 - 15:53:41 - [0,003] ----D C:\Documents and Settings\Rémi\Menu Démarrer\Programmes\Jeux
O43 - CFD: 12/12/2012 - 14:31:14 - [0,002] ----D C:\Documents and Settings\Rémi\Menu Démarrer\Programmes\TransBar    => TransBar
O61 - LFC:Last File Created 12/12/2012 - 14:31:14 ---A- C:\Documents and Settings\Rémi\Menu Démarrer\Programmes\TransBar\TransBar.lnk   [1194]    => TransBar
O61 - LFC:Last File Created 12/12/2012 - 14:31:14 ---A- C:\Documents and Settings\Rémi\Menu Démarrer\Programmes\TransBar\Uninstall.lnk   [1182]    => TransBar
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job    => Google Update Task
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job    => Google Update Task
O42 - Logiciel: Faerie Solitaire - (.WildTangent.) [HKLM] -- WT082442    => WildTangent Game
O42 - Logiciel: HP Game Console - (.WildTangent.) [HKLM] -- My HP Game Console    => WildTangent Game
O42 - Logiciel: Slingo Deluxe - (.WildTangent.) [HKLM] -- WT082427    => WildTangent Game
O61 - LFC:Last File Created 10/12/2012 - 09:06:32 ---A- C:\Documents and Settings\Rémi\Recent\Connectify pro 3.7.0.25374 + Keygen.lnk   [440]    => Crack, KeyGen, Keymaker - Possible Malware
O51 - MPSK:{29759908-365c-11e2-a2e7-001bb1466881}\AutoRun\command. (...) -- I:\autorun.exe (.not file.)    => Microsoft Windows NT or Infection USB
O61 - LFC:Last File Created 13/12/2012 - 23:08:00 ---A- C:\Documents and Settings\Rémi\Application Data\Skype\nimitz-24\config.xml   [8395]
[HKCU\Software\APN PIP]    => Toolbar.Agent
[HKCU\Software\PIP]    => ToolbarAgent
[HKLM\Software\PIP]    => ToolbarAgent
[HKCU\Software\APN PIP]    => Toolbar.Agent
[HKCU\Software\PIP]    => ToolbarAgent
[HKLM\Software\PIP]    => ToolbarAgent

EmptyTemp
EmptyFlash
FirewallRaz
ProxyFix

• DÉCONNECTES TOI D'INTERNET ET FERMES TOUTES TES APPLICATIONS

/!\ Utilisateur de Windows Vista et Windows Seven : Clique droit sur le logo de ZHPFix, « Exécuter en tant qu'Administrateur » /!\

• Lances ZHPFix qui est sur ton Bureau.
• Copies & Colles le texte qui est dans ton Document Texte sur ton Bureau.
• Cliques sur le deuxième bouton en partant de la gauche "Coller le Presse-Papier".
• Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaître.
• Cliques sur le bouton GO.
• Patientes le temps de la Suppression.
• ZHPFix va copier le rapport d'analyse sur le Bureau sous le nom ZHPFixReport.txt
• Héberges le rapport ZHPFixReport.txt sur CJoint.com
• Postes le lien donné.


--------------------------


• Télécharges AdwCleaner sur ton Bureau.

/!\ Utilisateur de Windows Vista et Windows Seven : Cliques droit sur le logo de AdwCleaner, « Exécuter en tant qu'Administrateur » /!\

• Lances AdwCleaner.
• Cliques sur le bouton Suppression.
• Patientes le temps du scan.
• A la fin de la Suppresion, AdwCleaner te dira qu'il faudra redemarrer, faits le.
• AdwCleaner va ouvrir le bloc-notes et y copier le rapport d'analyse.
• Enregistres le rapport sur ton Bureau.
• Héberges le rapport AdwCleaner sur CJoint.com
• Postes le lien donné.

• Ensuite relances AdwCleaner, et cliques sur Désinstaller.

[Raptor14]

Bonjour,

Merci de ton aide

Une question, pourquoi avoir supprimé les choses HP GAMES ? Elle sont installés par défaut dans l'ordi alors je vois pas bien pourquoi les supprimés, c'était des backdoor ?

Une autre, pour transbar également ? J'avait pourtant fait analyser sur Virustotal et il n'avait rien trouvé

Plusieurs messages d'erreurs sont apparu lors de la suppression :





Le rapport

Code: Tout sélectionner

Rapport de ZHPFix 1.3.10 par Nicolas Coolman, Update du 11/12/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-14-12-2012-09-24-03.txt
Run by Rémi at 14/12/2012 09:22:58
Windows XP Home Edition Service Pack 3 (Build 2600)



========== Logiciel(s) ==========
ABSENT Uninstall Process: c:\documents and settings\rémi\local settings\application data\aksoftware\transbar\uninst.exe
ABSENT Uninstall Process: c:\program files\hp games\faerie solitaire\uninstall.exe
ABSENT Uninstall Process: c:\program files\hp games\hp game console\uninstall.exe
ABSENT Uninstall Process: c:\program files\hp games\slingo deluxe\uninstall.exe

========== Clé(s) du Registre ==========
SUPPRIME [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TransBar]
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WT082442]
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\My HP Game Console]
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WT082427]
ABSENT Pointeurs: JSFile(js) Default=
SUPPRIME CLSID MPSK: {29759908-365c-11e2-a2e7-001bb1466881}
SUPPRIME Key: HKCU\Software\APN PIP
SUPPRIME Key: HKCU\Software\PIP
SUPPRIME Key: HKLM\Software\PIP

========== Valeur(s) du Registre ==========
ERREUR FirewallRaz (SP) : %windir%\Network Diagnostic\xpnetdiag.exe
ERREUR FirewallRaz (SP) : %windir%\system32\sessmgr.exe
ERREUR FirewallRaz (DP) : %windir%\Network Diagnostic\xpnetdiag.exe
ERREUR FirewallRaz (DP) : %windir%\system32\sessmgr.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIME ProxyServer Value
SUPPRIME ProxyEnable Value
SUPPRIME EnableHttp1_1 Value
SUPPRIME ProxyHttp1.1 Value
SUPPRIME ProxyOverride Value

========== Elément(s) de donnée du Registre ==========
SUPPRIME Pointeurs: JSFile(js) Default=

========== Dossier(s) ==========
SUPPRIME Folder: C:\Documents and Settings\Rémi\Menu Démarrer\Programmes\Jeux
ABSENT C:\Documents and Settings\Rémi\Menu Démarrer\Programmes\TransBar
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME Reboot c:\windows\system32\cscript.exe
ABSENT File: c:\documents and settings\rémi\menu démarrer\programmes\transbar\transbar.lnk
ABSENT File: c:\documents and settings\rémi\menu démarrer\programmes\transbar\uninstall.lnk
SUPPRIME Reboot c:\windows\tasks\googleupdatetaskmachinecore.job
SUPPRIME Reboot c:\windows\tasks\googleupdatetaskmachineua.job
SUPPRIME File: c:\documents and settings\rémi\recent\connectify pro 3.7.0.25374 + keygen.lnk
SUPPRIME File: c:\documents and settings\rémi\application data\skype\nimitz-24\config.xml
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
9 : Clé(s) du Registre
11 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
4 : Dossier(s)
9 : Fichier(s)
4 : Logiciel(s)


End of clean in 01mn 32s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 14/12/2012 09:24:03 [2983]


AdwCleaner :

Code: Tout sélectionner

# AdwCleaner v2.100 - Rapport créé le 14/12/2012 à 09:29:32
# Mis à jour le 09/12/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Rémi - PC-RÉMI
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Rémi\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v23.0.1271.97

Fichier : C:\Documents and Settings\Rémi\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [807 octets] - [14/12/2012 09:29:32]

########## EOF - C:\AdwCleaner[S1].txt - [866 octets] ##########


Merci @ toi

[Yanis91270]

Une question, pourquoi avoir supprimé les choses HP GAMES ? Elle sont installés par défaut dans l'ordi alors je vois pas bien pourquoi les supprimés, c'était des backdoor ?

Une autre, pour transbar également ? J'avait pourtant fait analyser sur Virustotal et il n'avait rien trouvé

Bonjour,

Ces jeux HP Games sont inutiles et prends de la place pour rien.
Pour ce qui est dans "transbar", mon outils d'analyseur me l'a détecter comme une infection. Si tu es sûr de ce logiciel, réinstalles.

• Si ton antivirus affiche une alerte, ignores-la et désactives l'antivirus temporairement.
• Branches toutes tes sources de données externes à ton PC
(Clé USB, Disque dur Externe, iPod/iPhone/iPad, MP3, Carte SD, etc ...) sans les ouvrir.

• Télécharges UsbFix sur ton Bureau.

/!\ Utilisateur de Windows Vista et Windows Seven : Clique droit sur le logo de USBFix, « Exécuter en tant qu'Administrateur » /!\

• Lances UsbFix.
• Cliques sur Recherche.
• Patientes le temps du scan.
• UsbFix va ouvrir le bloc-notes et y copier le rapport d'analyse.
• Enregistres le rapport sur ton Bureau.
• Héberges le rapport UsbFix sur CJoint.com
• Postes le lien donné.

/!\ Note : Pour éviter de figer l'analyse USBFix, laisses le travailler sans toucher à ton P.C. ! /!\

[Raptor14]

Voici

Code: Tout sélectionner

############################## | UsbFix V 7.101 | [Recherche]

Utilisateur: Rémi (Administrateur) # PC-RÉMI
Mis à jour le 05/12/2012 par El Desaparecido
Lancé à 13:20:16 | 14/12/2012

Site Web: http://sosvirus.org
Contact: contact@eldesaparecido.com

PC: Hewlett-Packard (Compaq Mini CQ10-400            ) (X86-based PC
CPU:          Intel(R) Atom(TM) CPU N450   @ 1.66GHz (1662)
RAM -> [Total : 1012 | Free : 270]
BIOS: Default System BIOS
BOOT: Normal boot

OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 30 Go (9 Go libre(s) - 30%) [WinXP] # NTFS
D:\ -> Disque fixe # 50 Go (49 Go libre(s) - 99%) [Data] # NTFS
E:\ -> Disque fixe # 30 Go (28 Go libre(s) - 92%) [Films] # NTFS
F:\ -> Disque fixe # 11 Go (7 Go libre(s) - 64%) [Jeux] # NTFS
H:\ -> Disque amovible # 3 Go (222 Mo libre(s) - 7%) [COPY OF D] # FAT32
J:\ -> CD-ROM
O:\ -> Disque amovible # 996 Mo (132 Mo libre(s) - 13%) [OTLPE] # NTFS

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (1048)
C:\WINDOWS\system32\winlogon.exe (1184)
C:\WINDOWS\system32\services.exe (1228)
C:\WINDOWS\system32\lsass.exe (1240)
C:\WINDOWS\system32\svchost.exe (1400)
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe (1528)
C:\WINDOWS\system32\svchost.exe (1564)
C:\Program Files\Roxio\BackOnTrack\Instant Restore\BOTService.exe (1592)
C:\WINDOWS\system32\spoolsv.exe (2036)
c:\program files\idt\wdm\STacSV.exe (244)
C:\Program Files\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe (368)
C:\Program Files\Connectify\ConnectifyService.exe (408)
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe (460)
C:\Program Files\Connectify\ConnectifyD.exe (472)
C:\Program Files\Java\jre6\bin\jqs.exe (564)
C:\WINDOWS\system32\svchost.exe (960)
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe (1096)
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe (1408)
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (2800)
C:\WINDOWS\system32\wbem\wmiapsrv.exe (3012)
C:\WINDOWS\System32\svchost.exe (3492)
C:\WINDOWS\Explorer.EXE (2344)
C:\Program Files\IDT\WDM\sttray.exe (2468)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (2476)
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe (2532)
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe (2564)
C:\Program Files\Skype\Phone\Skype.exe (2572)
C:\WINDOWS\system32\ctfmon.exe (2576)
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Main.exe (3792)
C:\Program Files\Google\Chrome\Application\chrome.exe (1488)
C:\Program Files\Google\Chrome\Application\chrome.exe (2064)
C:\Program Files\Google\Chrome\Application\chrome.exe (2432)
C:\Program Files\Google\Chrome\Application\chrome.exe (2428)
C:\Program Files\Google\Chrome\Application\chrome.exe (2704)
C:\Program Files\uTorrent\uTorrent.exe (2436)
C:\Program Files\Mozilla Thunderbird\thunderbird.exe (448)
C:\Program Files\Google\Chrome\Application\chrome.exe (4028)
C:\Program Files\Google\Chrome\Application\chrome.exe (2084)
C:\UsbFix\Go.exe (532)

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |


Merci !

[Yanis91270]

RAS sur le rapport. Pourquoi t'en penses tu que tu as un détournement de DNS ? Et pourquoi la clé USB serait lié.

[Raptor14]

Quand j'ai brancher ma clé, et que j'ai voulu copier les fichier, un message incohérent est apparut

Puis l'ordi c'est mis à ramer de manière anormale Enfin le disque dur ne s'arrêter plus, et il faisait un bruit d'enfer !

De plsus le pare feu demander sans cesse une autorisation pour le cache dns port 80 ...

++

[Yanis91270]

• AVANT DE LANCER PRE_SCAN •

• Enregistres et fermes toutes tes applications en cours.
• Il faut obligatoirement que Pre_Scan soit placé sur le Bureau. (Si il ne l'est pas, déplacez le dedans).
• Désactive provisoirement et seulement le temps de l'utilisation de Pre_Scan, la protection en temps réel de ton Antivirus et de tes autres logiciels de sécurité, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
• Pendant la durée de cette étape, ne te sert pas du pc et n'ouvres aucun programme.

• Télécharges Pre_Scan sur ton Bureau.


• Lance Pre_Scan.
• Si l'outil est relancé plusieurs fois, il te proposera un menu, lances l'option Kill.

/!\ Note : Il y aura une extinction du bureau pendant le scan, pas de panique /!\

• Patientes ...

• Si l'outil ne se lance toujours pas, utilises cette version renommée:
Pre_Scan (Winlogon.exe)
• Ou encore la version en .pif si les associations de fichiers sont détournées :
Pre_Scan (Pre_Scan.pif)

• Patientes pendant l' analyse.
• Tous les processus non vitaux seront coupés, donc il se peut que ton antivirus aussi, c'est normal !

• Si l'outil détecte un proxy et que tu n'en as pas installé, cliques sur Supprimer Le Proxy.
• Poste Pre_Scan_la_date_et_l'heure.txt qui apparaîtra sur le bureau en fin d' analyse.
• Héberges le rapport Pre_Scan sur CJoint.com
• Postes le lien donné.

/!\ Si ton bureau ne réapparaît pas, faits Ctrl+Alt+Suppr puis Gestionnaire des tâches, dans l' onglet fichier, cliques sur Nouvelle tâche puis tapes explorer /!\

[Raptor14]

Hello,

Voici le rapport

http://cjoint.com/?BLtwJkV7a8N

Merci

[Yanis91270]

Des améliorations ou toujours cette lenteur ?

[Raptor14]

Bonsoir,

Je viens de retomber sur le sujet. Oui le PC allait mieux, j'ai changé d'OS donc sujet [Résolu]

Merci

[RobinSG]

mieux vaut tard que jamais

Statut ajouté