Windows 8.1 fonctionne très mal après infection DNSUnlocker

[pug791]

Bonjour,

Je viens à vous ce malware est apparu hier.
Je l'ai supprimé avec AdwCleaner et aujourd'hui il est de retour...

Je suis désolé, je n'arrive même pas à lire les autres dossiers là dessus, je sais qu'il faut télécharger d'autres programmes, or Windows ne réponds plus a grand chose, je n'arrive même plus à cliquer sur les autres sujets !

Veuillez m'en excusez de vous faire répéter...

Merci beaucoup

[angelique]

1. Télécharge sur ton Bureau pas ailleurs FRST.EXE:
   
   
   
   La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
   Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
   (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
   
   !! Placez le programme sur le bureau et pas ailleurs!!
2. Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
   Le scan se lance, les éléments scannés apparaissent en haut.
3. Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
   
   
   Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[pug791]

Salut,

Merci beaucoup voici le rapport :

- FRST : http://pjjoint.malekal.com/files.php?id ... 6c11m14f14

- ADDITION : http://pjjoint.malekal.com/files.php?id ... d14l14b9w5

- SHORTCUT : http://pjjoint.malekal.com/files.php?id ... 5n12o11z12


Merci

[Malekal_morte]

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

2015-08-23 19:22 - 2015-08-23 19:22 - 00022170 _____ C:\WINDOWS\System32\Tasks\DNSCONTRERAS
2015-08-23 19:22 - 2015-08-23 19:22 - 00000000 ____D C:\Users\Bastien\AppData\Local\SetupSkin
2015-08-16 12:14 - 2015-08-16 12:14 - 00000000 ____D C:\Users\Bastien\Documents\Optimizer Pro
2015-08-16 12:09 - 2015-08-16 12:09 - 00000360 _____ C:\WINDOWS\Tasks\Optscan.job
2015-08-13 20:03 - 2015-08-13 20:03 - 00000000 ____D C:\ProgramData\15793902428126432821
. 2015-06-19 00:30 - 2015-06-19 00:30 - 00000000 ____D C:\ProgramData\Ummliifka
2015-06-19 00:28 - 2015-07-01 17:16 - 00001750 _____ C:\WINDOWS\SysWOW64\${LOGFILE}
2015-06-19 00:08 - 2015-06-19 00:08 - 00000000 _____ C:\WINDOWS\prleth.sys
2015-06-19 00:08 - 2015-06-19 00:08 - 00000000 _____ C:\WINDOWS\hgfs.sys


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur


puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Firefox : http://forum.malekal.com/firefox-extens ... 36057.html
* Google Chrome : http://forum.malekal.com/google-chrome- ... 35837.html
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/


et enfin :



Remets/vérifie que tous les serveurs de noms (DNS) sont automatiques.
Suis le paragraphe "manuellement" : http://forum.malekal.com/reinitialiser- ... 48312.html
PUIS ensuite vide le cache DNS et internet.
Les 3 étapes sont importantes et à  faire sinon les pubs vont continuer.

[pug791]

Merci , voilà le rapport :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:24-08-2015
Exécuté par Bastien (2015-08-25 16:27:36) Run:1
Exécuté depuis C:\Users\Bastien\Desktop
Profils chargés: Bastien (Profils disponibles: Bastien & Administrateur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
2015-08-23 19:22 - 2015-08-23 19:22 - 00022170 _____ C:\WINDOWS\System32\Tasks\DNSCONTRERAS
2015-08-23 19:22 - 2015-08-23 19:22 - 00000000 ____D C:\Users\Bastien\AppData\Local\SetupSkin
2015-08-16 12:14 - 2015-08-16 12:14 - 00000000 ____D C:\Users\Bastien\Documents\Optimizer Pro
2015-08-16 12:09 - 2015-08-16 12:09 - 00000360 _____ C:\WINDOWS\Tasks\Optscan.job
2015-08-13 20:03 - 2015-08-13 20:03 - 00000000 ____D C:\ProgramData\15793902428126432821
. 2015-06-19 00:30 - 2015-06-19 00:30 - 00000000 ____D C:\ProgramData\Ummliifka
2015-06-19 00:28 - 2015-07-01 17:16 - 00001750 _____ C:\WINDOWS\SysWOW64\${LOGFILE}
2015-06-19 00:08 - 2015-06-19 00:08 - 00000000 _____ C:\WINDOWS\prleth.sys
2015-06-19 00:08 - 2015-06-19 00:08 - 00000000 _____ C:\WINDOWS\hgfs.sys
*****************

C:\WINDOWS\System32\Tasks\DNSCONTRERAS => déplacé(es) avec succès
C:\Users\Bastien\AppData\Local\SetupSkin => déplacé(es) avec succès
C:\Users\Bastien\Documents\Optimizer Pro => déplacé(es) avec succès
C:\WINDOWS\Tasks\Optscan.job => déplacé(es) avec succès
C:\ProgramData\15793902428126432821 => déplacé(es) avec succès
. 2015-06-19 00:30 - 2015-06-19 00:30 - 00000000 ____D C:\ProgramData\Ummliifka => Erreur: Pas de correction automatique trouvée pour cet élément.
C:\WINDOWS\SysWOW64\${LOGFILE} => déplacé(es) avec succès
C:\WINDOWS\prleth.sys => déplacé(es) avec succès
C:\WINDOWS\hgfs.sys => déplacé(es) avec succès

==== Fin de Fixlog 16:27:37 ====

[angelique]

1. Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
   Copie/colle dedans ce qui suit :
   
   

   Tcpip\..\Interfaces\{7DCBC19B-1137-4A1C-A684-C1DB571CAB47}: [NameServer] 82.163.143.172,82.163.142.174
   Tcpip\..\Interfaces\{B3CA2C7B-7C35-475C-B851-76881C7076D0}: [NameServer] 82.163.143.172,82.163.142.174
   2015-06-19 00:30 - 2015-06-19 00:30 - 00000000 ____D C:\ProgramData\Ummliifka
   2013-12-13 06:09 - 2012-09-07 13:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
   2013-12-13 06:09 - 2009-07-22 12:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
   2013-12-13 06:09 - 2012-09-07 13:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
   2014-05-04 17:43 - 2014-05-04 17:43 - 0000119 _____ () C:\ProgramData\{1FBF6C24-C1fD-4101-A42B-0C564F9E8E79}.log
   2014-05-04 17:42 - 2014-05-04 17:43 - 0000108 _____ () C:\ProgramData\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}.log
   2014-05-04 17:40 - 2014-05-04 17:41 - 0000110 _____ () C:\ProgramData\{E3739848-5329-48E3-8D28-5BBD6E8BE384}.log
   Task: {03726444-3C58-4C39-8424-01142E8AFC71} - System32\Tasks\Microsoft\Windows\Application Experience\ProgramDataUpdater => Rundll32.exe invagent.dll,RunUpdate -noappraiser
   Task: C:\WINDOWS\Tasks\Optscan.job => c:\programdata\{8d8aec4a-464b-2c1c-8d8a-aec4a464b129}\hqghumeaylnlf.exe <==== ATTENTION
   c:\programdata\{8d8aec4a-464b-2c1c-8d8a-aec4a464b129}
   cmd: ipconfig /flushdns
   EmptyTemp:
   

2. Menu Fichier / Enregistrer-sous
   Place toi sur le bureau.
   Dans le champs en bas, nom du fichier mets : fixlist.txt
   Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
   
   Relance FRST et clic sur le bouton fix
   Un redémarrage peut être nécessaire (pas obligatoire).
   Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
3. executer --> ncpa.cpl
   
   et met dans les propriétés tcp_ip ipv4 de la carte reseau avec laquelle tu te connectes,comme sur les captures ci dessous

[pug791]

Voici donc le nouveau rapport : Résultats de correction de Farbar Recovery Scan Tool (x64) Version:24-08-2015
Exécuté par Bastien (2015-08-25 17:28:30) Run:2
Exécuté depuis C:\Users\Bastien\Desktop
Profils chargés: Bastien (Profils disponibles: Bastien & Administrateur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Tcpip\..\Interfaces\{7DCBC19B-1137-4A1C-A684-C1DB571CAB47}: [NameServer] 82.163.143.172,82.163.142.174
Tcpip\..\Interfaces\{B3CA2C7B-7C35-475C-B851-76881C7076D0}: [NameServer] 82.163.143.172,82.163.142.174
2015-06-19 00:30 - 2015-06-19 00:30 - 00000000 ____D C:\ProgramData\Ummliifka
2013-12-13 06:09 - 2012-09-07 13:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2013-12-13 06:09 - 2009-07-22 12:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2013-12-13 06:09 - 2012-09-07 13:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
2014-05-04 17:43 - 2014-05-04 17:43 - 0000119 _____ () C:\ProgramData\{1FBF6C24-C1fD-4101-A42B-0C564F9E8E79}.log
2014-05-04 17:42 - 2014-05-04 17:43 - 0000108 _____ () C:\ProgramData\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}.log
2014-05-04 17:40 - 2014-05-04 17:41 - 0000110 _____ () C:\ProgramData\{E3739848-5329-48E3-8D28-5BBD6E8BE384}.log
Task: {03726444-3C58-4C39-8424-01142E8AFC71} - System32\Tasks\Microsoft\Windows\Application Experience\ProgramDataUpdater => Rundll32.exe invagent.dll,RunUpdate -noappraiser
Task: C:\WINDOWS\Tasks\Optscan.job => c:\programdata\{8d8aec4a-464b-2c1c-8d8a-aec4a464b129}\hqghumeaylnlf.exe <==== ATTENTION
c:\programdata\{8d8aec4a-464b-2c1c-8d8a-aec4a464b129}
cmd: ipconfig /flushdns
EmptyTemp:
*****************

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7DCBC19B-1137-4A1C-A684-C1DB571CAB47}\\NameServer => valeur supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B3CA2C7B-7C35-475C-B851-76881C7076D0}\\NameServer => valeur supprimé(es) avec succès
C:\ProgramData\Ummliifka => déplacé(es) avec succès
C:\ProgramData\SetStretch.cmd => déplacé(es) avec succès
C:\ProgramData\SetStretch.exe => déplacé(es) avec succès
C:\ProgramData\SetStretch.VBS => déplacé(es) avec succès
C:\ProgramData\{1FBF6C24-C1fD-4101-A42B-0C564F9E8E79}.log => déplacé(es) avec succès
C:\ProgramData\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}.log => déplacé(es) avec succès
C:\ProgramData\{E3739848-5329-48E3-8D28-5BBD6E8BE384}.log => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{03726444-3C58-4C39-8424-01142E8AFC71}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{03726444-3C58-4C39-8424-01142E8AFC71}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Application Experience\ProgramDataUpdater => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Application Experience\ProgramDataUpdater" => clé supprimé(es) avec succès
C:\WINDOWS\Tasks\Optscan.job non trouvé(e).
"c:\programdata\{8d8aec4a-464b-2c1c-8d8a-aec4a464b129}" => Fichier/Dossier non trouvé(e).

========= ipconfig /flushdns =========


Configuration IP de Windows

Cache de r�solution DNS vid�.

========= Fin de CMD: =========

EmptyTemp: => 28.5 MB données temporaires supprimées.


Le système a dû redémarrer..

==== Fin de Fixlog 17:28:35 ====

Merci encore, en revanche , a quoi cela sert-il de changer comme indiquer le tcp_ip ... ?

Je regarde si tout se passe bien.

[angelique]

ç'est mieux ?

[pug791]

Bonjour,


Tout marche super, le virus a disparu merci beaucoup.

Je vous souhaite une bonne journée

Forum toujours au TOP!!

[Malekal_morte]

Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html