Infecté par Trojan:Win64/patched.AZ.gen!dll

Résolu
Fab21 -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Windows defender a détecté Trojan:Win64/patched.AZ.gen!dll mais quand je veux le supprimer une erreur est rencontrée.
Merci de l'aider

9 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Commence par un nettoyage adwcleaner : https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start=
    Donne le rapport de nettoyage dans un nouveau message.

    Puis :

    Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
    Cela va générer trois rapports FRST :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

    --
    0
    1. Fab21
       
      Merci pour ton aide.
      Je n'ai pas pu lancer le nettoyage adwcleaner, je ne peux plus aller sur internet. As tu eu solution ?
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    C'est qu'elle version de Windows ?

    --
    0
    1. Fab21
       
      Windows 8.1
      0
  3. Fab21
     
    J'ai réussi à exécuter adwcleaner voici le rapport obtenu:
    http://pjjoint.malekal.com/files.php?id=20151221_d13o12u9t5w13
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok Win8 :
    [ DLLs ] *****</li></ul></li></ul></li></ul></li></ul></li></ul>

    [-] Fichier Restauré : C:\WINDOWS\SysWOW64\dnsapi.dll


    Prends ce dnsapi.dll :
    http://www.malekal.com/fichiers_systeme/file/dnsapi_win8.dll

    mets le dans C:\Windows\SysWow64 par clef USB par exemple.
    et pas ailleurs.

    redémarre l'ordinateur.

    internet devrait revenir, passe à FRST.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Fab21
     
    Voici les liens des rapports:
    FRST:
    http://pjjoint.malekal.com/files.php?id=FRST_20151221_k11r11c13w7t6

    Shortcut:
    http://pjjoint.malekal.com/files.php?id=20151221_y14t8p5z7s10

    Additionnal:
    http://pjjoint.malekal.com/files.php?id=20151221_g10p9l10x9e13

    Merci.
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Effectivement, y a des adwares encore actif et dnsapi.dll a l'air toujours patché.

    Voici la correction à  effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    R2 Damcioiw; C:\Users\Camille\AppData\Roaming\NubdNeja\Relgivfu.exe [134520 2015-12-13] ()
    R2 ginoquci; C:\Users\Camille\AppData\Local\Temp\nsiC9BB.tmp [222208 2015-12-12] () [Fichier non signé]
    R2 WinNetSvc; C:\Users\Camille\AppData\Roaming\WinNetSvc\WinNetSvc.exe [4845408 2015-12-16] () [Fichier non signé]
    2015-12-20 10:21 - 2015-12-20 10:21 - 00004800 _____ C:\WINDOWS\SysWOW64\Uayadio.ini
    2015-12-20 10:21 - 2015-12-20 10:21 - 00002520 _____ C:\WINDOWS\SysWOW64\UayadioOff.ini
    2015-12-20 10:21 - 2015-12-20 10:21 - 00002520 _____ C:\WINDOWS\system32\UayadioOff.ini
    2015-12-20 10:21 - 2015-12-20 08:23 - 00375128 _____ C:\WINDOWS\system32\Uayadio64.dll
    2015-12-20 10:20 - 2015-12-20 10:20 - 00003346 _____ C:\WINDOWS\System32\Tasks\Tumkoeae
    2015-12-20 10:20 - 2015-12-20 08:23 - 00289112 _____ C:\WINDOWS\SysWOW64\Uayadio.dll
    2015-12-20 10:19 - 2015-12-20 10:19 - 00003158 _____ C:\WINDOWS\System32\Tasks\{9E99C518-895E-4F6A-A139-12FA6C95E01C}
    2015-12-20 08:38 - 2015-12-20 08:38 - 00000000 ____D C:\WINDOWS\system32\ubig
    2015-12-20 08:17 - 2015-12-20 08:17 - 00000000 ____D C:\WINDOWS\system32\nosu
    2015-12-19 15:16 - 2015-12-19 15:16 - 00000000 ____D C:\Users\Camille\AppData\Roaming\WinNetSvc
    2015-12-13 19:15 - 2015-12-13 19:15 - 00000000 ____D C:\WINDOWS\system32\veke
    2015-12-13 16:42 - 2015-12-19 15:07 - 00004800 _____ C:\WINDOWS\SysWOW64\Okhsoirr.ini
    2015-12-13 16:42 - 2015-12-19 15:07 - 00002520 _____ C:\WINDOWS\SysWOW64\OkhsoirrOff.ini
    2015-12-13 16:42 - 2015-12-19 15:07 - 00002520 _____ C:\WINDOWS\system32\OkhsoirrOff.ini
    2015-12-13 16:42 - 2015-12-13 16:42 - 00003346 _____ C:\WINDOWS\System32\Tasks\Egehu
    2015-12-13 16:42 - 2015-12-13 16:26 - 00375152 _____ C:\WINDOWS\system32\Okhsoirr64.dll
    2015-12-13 16:42 - 2015-12-13 16:26 - 00289136 _____ C:\WINDOWS\SysWOW64\Okhsoirr.dll
    2015-12-13 16:36 - 2015-12-13 16:40 - 00375160 _____ C:\WINDOWS\system32\Puiksic64.dll
    2015-12-13 16:36 - 2015-12-13 16:40 - 00289144 _____ C:\WINDOWS\SysWOW64\Puiksic.dll
    2015-12-13 16:36 - 2015-12-13 16:36 - 00004800 _____ C:\WINDOWS\SysWOW64\Puiksic.ini
    2015-12-13 16:36 - 2015-12-13 16:36 - 00002520 _____ C:\WINDOWS\SysWOW64\PuiksicOff.ini
    2015-12-13 16:36 - 2015-12-13 16:36 - 00002520 _____ C:\WINDOWS\system32\PuiksicOff.ini
    2015-12-13 16:36 - 2015-12-13 16:36 - 00000000 ____D C:\Users\Camille\AppData\Roaming\NubdNeja
    2015-12-13 16:35 - 2015-12-13 16:35 - 00003340 _____ C:\WINDOWS\System32\Tasks\Nhkyl
    2015-12-12 21:11 - 2015-12-12 21:11 - 00000000 ____D C:\Users\Public\Documents\Baidu
    C:\Users\Camille\AppData\Roaming\NubdNeja
    C:\Users\Camille\AppData\Roaming\WinNetSvc
    Task: {1F2CD423-7969-4B71-9FF7-771B4D56B175} - System32\Tasks\ngs3012 => C:\PROGRA~2\FAST-S~1\ngs3012.exe <==== ATTENTION
    Task: {3C50C8D5-A954-4B63-82CA-BBDF2769698E} - System32\Tasks\Touch Download => Rundll32.exe "C:\Users\Camille\AppData\Local\Touch Download\{0AA504F4-3C73-C08F-7156-777FFBCABAD1}\TouchDownload.dll",#1 <==== ATTENTION
    Task: {71073D4F-00FD-49A7-9D4E-CDE0E1E3F0B0} - System32\Tasks\Tumkoeae => C:\PROGRA~1\SHOPPE~1\Bebxibco.bat
    Task: {BF27DA39-9033-49E2-9E3B-23059D87A01F} - System32\Tasks\Egehu => C:\PROGRA~1\SHOPPE~1\Axigpooi.bat
    Task: {CCF718F6-A070-4888-B35C-528806B71B96} - System32\Tasks\{E07884A3-9D84-4017-96B2-B21E56EFF217} => pcalua.exe -a C:\Users\Camille\AppData\Roaming\istartpageing\UninstallManager.exe -c -ptid=cmi
    Task: {E087FF61-7BD3-466A-A2DF-2D5145975A39} - System32\Tasks\{9350F6A3-72AA-4E80-A14B-75F8F7A9125D} => pcalua.exe -a C:\Users\Camille\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=air
    Task: {E155A420-5B00-4652-AACB-A6F9811FD3D8} - System32\Tasks\{9E99C518-895E-4F6A-A139-12FA6C95E01C} => pcalua.exe -a C:\Users\Camille\AppData\Roaming\yoursearching\UninstallManager.exe -c -ptid=face
    cmd: netsh winsock reset

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Corriger / Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    puis réinitialise tes navigateurs:
    ==================================
    Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :

    ~~

    Lance une vérification DISM
    soit donc en invite de commandes en administrateur (clic droit sur le bouton Démarrer puis invite de commandes (admin)) :

    DISM /Online /Cleanup-image /Restorehealth


    puis toujours en invite de commandes en administrateur :

    sfc /scannow


    Redémarre l'ordinateur si des réparations ont été effectuées.
    Refais un scan FRST et donne les rapports via pjjoint.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  8. Fab21
     
    Voici les différents rapports obtenus:
    Fixlog:
    http://pjjoint.malekal.com/files.php?id=20151221_j5l5t10b10n10

    FRST:
    http://pjjoint.malekal.com/files.php?id=FRST_20151221_m14y15j11o9i15

    Shortcut:
    http://pjjoint.malekal.com/files.php?id=20151221_c714w6k9l14

    Additionnal:
    http://pjjoint.malekal.com/files.php?id=20151221_n13c6e8w5p6

    A priori, Windows defender ne détecte plus de virus...
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    yep ça semble correct.

    Termine par un nettoyage Malwarebyte's Anti-Malware :

    Voila, c'est terminé, tu peux supprimer les programmes utilisés.

    Quelques conseils :

    Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

    Pour ne plus te faire avoir.
    A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
    (Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

    Comment sécuriser son ordinateur : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    0
  10. Fab21
     
    Malwarebytes a trouvé pas mal d'adwares qui ont tous été supprimés.
    Merci pour ton aide.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      super =)
      0