Virus redirection et requête DNS [Résolu]

bonjour

* Téléchargez FindyKill sur le Bureau.

http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe

Mirroir :

http://findykill.changelog.fr/Setup.exe

* Double-cliquez sur FindyKill présent sur le Bureau.

* Choisissez l'option 1 (Recherche).

* Laissez travailler l'outil.

* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).

* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

* Tuto : http://pagesperso-orange.fr/NosTools/index.html

Ok merci je fait la manipulation cette après midi car là j'ai perdu mon accès distant il faut que je reboot et je suis pas sur place!!!

Pour information AVG détecte des tracking coockie atdmt!

Je commence les manips!

Voilà le rapport:


############################## | FindyKill V5.038 |

# User : KoJi (Administrateurs) # PC_DE_KOJI
# Update on 15/03/2010 by El Desaparecido
# Start at: 13:23:17 | 19/03/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Core(TM)2 Duo CPU T8100 @ 2.10GHz
# Microsoft Windows 7 Professionnel (6.1.7600 32-bit) #
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 148,95 Go (103,65 Go free) # NTFS
# D:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque fixe local # 465,76 Go (174,97 Go free) [TOSHIBA EXT] # NTFS

################## | Eléments infectieux |


################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# (!) Uac = 0x0

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 3 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | ! Fin du rapport # FindyKill V5.038 ! |

! Déconnecte toi et ferme toutes application en cours (navigateur compris ) .

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...

* Double clique sur setup.exe présent sur ton bureau pour lancer l'outil.

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

* Le pc va redémarrer automatiquement ...

? le programme va travailler, ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

? Poste le rapport qui apparaît à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt)

Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

................

ensuite

* Télécharge Random's System Information Tool (RSIT) de Random/Random.

(outil de diagnostic)

http://images.malwareremoval.com/random/RSIT.exe

* Enregistre le sur ton Bureau.

* Double clique sur RSIT.exe pour lancer l'outil.

* Clique sur "Continue" à l'écran Disclaimer.

* Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande)

et tu devras accepter la licence.

* Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

Les rapports se trouvent à cet endroit:
C:\rsit\info.txt
C:\rsit\log.txt

Merci, je fait cela quand mes analyses adAware, MBAM, et spybot seront terminés. J'ai pu les mettre à jour manuellement avec mon second PC car pour les update auto c'est mort!!!

Rapport Findykill:


############################## | FindyKill V5.038 |

# User : KoJi (Administrateurs) # PC_DE_KOJI
# Update on 15/03/2010 by El Desaparecido
# Start at: 15:22:16 | 19/03/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Core(TM)2 Duo CPU T8100 @ 2.10GHz
# Microsoft Windows 7 Professionnel (6.1.7600 32-bit) #
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 148,95 Go (102,72 Go free) # NTFS
# D:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque fixe local # 465,76 Go (174,97 Go free) [TOSHIBA EXT] # NTFS

################## | Eléments infectieux |


################## | MD5 ... |


################## | CRC32 ... |


################## | Registre |


################## | Etat |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 3 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Fichiers corrompus |

... OK !

################## | Upload |

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_PC_DE_KOJI.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Merci pour votre contribution .

################## | ! Fin du rapport # FindyKill V5.038 ! |

fais le RSIT si tu le peux...

ah oui tu as seven en plus...ca va pas arranger les choses

Télécharge ZHPDiag ( de? Nicolas coolman ).
http://telechargement.zebulon.fr/zhpdiag.html

Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint :? http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message

ok

je vois que tu as essayer combofix...si tu as un rapport je suis preneur mais je crois qu'il n'est pas compatible seven

sinon on y voit un peu plus clair

Rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier :

C:\Windows\is-4SKGU.exe
C:\Windows\system32\drivers\imapioko.sys
C:\Windows\ligh
C:\Windows\System32\drivers\urfltw2k.sys


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK

peux tu me poster le rapport MBAM stp


et as tu le résultat pour celui là is-4SKGU.exe

Pour urfltw2k.sys j'ai fait le scan tout de même mais il semblerai que ce soit une composante de connexion avec le VPN SSL F5.

http://www.cijoint.fr/cjlink.php?file=cj201003/cij7MNUWkX.txt

is-4SKGU.exe a été supprimé.

Voici le rapport MBAM:

http://www.cijoint.fr/cjlink.php?file=cj201003/ciji34yYMe.txt

Aujourd'hui je vais tout rescanner avec plusieurs logiciel histoire d'avoir l'esprit tranquille.

Merci

Dernière petite question, AVG me détecte des tracking coockie atdmt.

Est-ce dangereux ou puis ignorer?

Merci

aucuns soucis avec les cookies

à supprimer de temps à autre avec Ccleaner