Détection de pum.dns par RogueKiller faux positif ? (résolu)

[KenzoDAce]

Bonjour,

Suite à l'apparition de plusieurs fenêtres intempestives et surtout d'une m'alarmant que j'ai un problème de sécurité windows, j'ai tenté de faire un nettoyage de mon pc.
Mon système est le suivant :
Windows 8.1, système d'exploitation 64 bits, processeur 64 bits.
Processeur : Intel(R) Core(TM) i5-3230M CPU @ 2.60GHz 2.59GHz.

Les analyses d'Avira, de Spybot et d'AdwCleaner, m'ont détecté un malware lié au téléchargement de Acestream et un cheval de troie TR/Decep je ne sais plus lequel..
Après nettoyage, plus de détections, mis à part des changements de clés de registre concernant mes navigateurs (Internet explorer et Mozilla Firefox) via Spybot. Mais le démarrage de mon PC semblait long malgré l'utilisation de CCleaner et le peu de programmes activés au démarrage.

J'ai donc lancé un scan avec RogueKiller qui m'a détecté PUM.Dns dont je ne sais si c'est un faux positif ?
Je vous sollicite donc votre aide pour m'éclairer à ce sujet et vous remercie par avance !

Voici le rapport Rogue Killer :

Code : Tout sélectionner

RogueKiller V12.11.11.0 (x64) [Aug 21 2017] (Gratuit) par Adlice Software
email : http://www.adlice.com/fr/contact/
Remontées : https://forum.adlice.com
Site web : http://www.adlice.com/fr/download/roguekiller/
Blog : http://www.adlice.com/fr/

Système d'exploitation : Windows 8.1 (6.3.9600) 64 bits version
Démarré en  : Mode sans échec prise en charge réseau
Utilisateur : Danny Khun [Administrateur]
Démarré depuis : C:\Users\Danny Khun\Desktop\RogueKiller_portable64.exe
Mode : Scan -- Date : 08/22/2017 00:58:46 (Durée : 01:03:24)

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 5 ¤¤¤
[PUM.SearchPage] (X64) HKEY_USERS\S-1-5-21-3722512228-2105936389-905057544-1001\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Trouvé(e)
[PUM.SearchPage] (X86) HKEY_USERS\S-1-5-21-3722512228-2105936389-905057544-1001\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{0B26C385-7A9D-49A9-BFFC-57EDC999C3CF} | DhcpNameServer : 10.188.0.1 ([])  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{9FFBCA08-61FB-4201-A521-DE469D756E83} | DhcpNameServer : 172.20.10.1 ([])  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{FFBF354C-79A2-4077-9BC9-4FA3BA3ADDE6} | DhcpNameServer : 172.20.10.1 ([])  -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ WMI : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Non chargé [0xc000035f]) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD10JPVX-22JC3T0 ATA Device +++++
--- User ---
[MBR] b36306e4ddde3ab2bb9684553205e72f
[BSP] 7839edb940515443caa94f9ddbde44cb : Empty|VT.Unknown MBR Code
Partition table:
0 - [SYSTEM][MAN-MOUNT] Basic data partition | Offset (sectors): 2048 | Size: 400 MB
1 - [MAN-MOUNT] EFI system partition | Offset (sectors): 821248 | Size: 300 MB
2 - [MAN-MOUNT] Microsoft reserved partition | Offset (sectors): 1435648 | Size: 128 MB
3 - Basic data partition | Offset (sectors): 1697792 | Size: 936675 MB
4 - [SYSTEM][MAN-MOUNT]  | Offset (sectors): 1920010240 | Size: 480 MB
5 - [SYSTEM][MAN-MOUNT] Basic data partition | Offset (sectors): 1920993280 | Size: 15884 MB
User = LL1 ... OK
User = LL2 ... OK

[Malekal_morte]

Salut,

Spybot est inefficace, tu peux le désinstaller.

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[KenzoDAce]

Merci pour la réponse rapide !

Les 3 liens pjjoint :
https://pjjoint.malekal.com/files.php?i ... 11j12p6l10

https://pjjoint.malekal.com/files.php?i ... d9i9f15l15

https://pjjoint.malekal.com/files.php?i ... 8t13n10e10

[Malekal_morte]

Désinstalle aussi Intel Security True Key
Sert à rien.

Voila :

1)
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [SDTray] => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe [5624784 2013-07-25] (Safer-Networking Ltd.)
HKU\S-1-5-21-3722512228-2105936389-905057544-1001\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [9292504 2016-12-21] (Piriform Ltd)
HKU\S-1-5-18\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
C:\Program Files (x86)\Spybot - Search & Destroy 2
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

2)
Réinitialise/Répare les navigateurs WEB concerné(s) par les problèmes :
* réparer Mozilla Firefox (premier paragraphe)
* réparer Google Chrome (premier paragraphe)

[KenzoDAce]

Lorsque j'ai utilisé RogueKiller, je m'étais mis en mode sans echec. Du coup le fixlog m'indique une erreur : un point de restauration ne peut être créé qu'en mode normal.

Je dois refaire la partie correction ? Et je note aussi que le redémarrage a été assez long et que je ne trouve plus le programme spybot pour le supprimer.

Voici tout de même le contenu du fichier texte Fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-08-2017
Exécuté par Danny Khun (22-08-2017 17:26:34) Run:1
Exécuté depuis C:\Users\Danny Khun\Desktop
Profils chargés: Danny Khun (Profils disponibles: Danny Khun & Administrateur)
Mode d'amorçage: Safe Mode (with Networking)
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [SDTray] => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe [5624784 2013-07-25] (Safer-Networking Ltd.)
HKU\S-1-5-21-3722512228-2105936389-905057544-1001\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [9292504 2016-12-21] (Piriform Ltd)
HKU\S-1-5-18\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
C:\Program Files (x86)\Spybot - Search & Destroy 2
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

*****************

Erreur: Un point de restauration ne peut être créé qu'en mode normal.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\SDTray => valeur supprimé(es) avec succès
HKU\S-1-5-21-3722512228-2105936389-905057544-1001\Software\Microsoft\Windows\CurrentVersion\Run\\CCleaner Monitoring => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotPostWindows10UpgradeReInstall => valeur supprimé(es) avec succès
C:\Program Files (x86)\Spybot - Search & Destroy 2 => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3722512228-2105936389-905057544-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3722512228-2105936389-905057544-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 41115310 B
Java, Flash, Steam htmlcache => 506 B
Windows/system/drivers => 5291732 B
Edge => 0 B
Chrome => 6292260 B
Firefox => 49766655 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 318278 B
systemprofile32 => 20344616 B
LocalService => 60158 B
NetworkService => 0 B
Danny Khun => 12490293 B
Administrator => 12233 B

RecycleBin => 22263400 B
EmptyTemp: => 150.6 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 17:26:49 ====

[Malekal_morte]

Non pas besoin.
C'est terminé, rien de malveillant.

[KenzoDAce]

Très bien merci beaucoup pour ton aide !

[Malekal_morte]

de rien =)