C:\Windows\SysWOW64\dnsapi.dll
Résolu
Jack_Barron
Messages postés
28
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Il y a quelques jours j'ai fait un scan sur adwcleaner qui m'a enlevé pas mal de choses qu'il y avait sur mon ordinateur. Seulement au redémarrage il semble que C:\Windows\Sys\WOW64\dnsapi.dll soit toujours infecté, même après plusieurs scan. Mon ordinateur a l'air de fonctionner correctement, à part l'appli "photos" de Win 10 qui ne veut plus s'ouvrir. Je ne sais si ça a un lien mais j'aimerais tout de même régler ce problème de dll infecté.
Quelqu'un pourrait il m'aider s'il vous plait ?
Merci
Il y a quelques jours j'ai fait un scan sur adwcleaner qui m'a enlevé pas mal de choses qu'il y avait sur mon ordinateur. Seulement au redémarrage il semble que C:\Windows\Sys\WOW64\dnsapi.dll soit toujours infecté, même après plusieurs scan. Mon ordinateur a l'air de fonctionner correctement, à part l'appli "photos" de Win 10 qui ne veut plus s'ouvrir. Je ne sais si ça a un lien mais j'aimerais tout de même régler ce problème de dll infecté.
Quelqu'un pourrait il m'aider s'il vous plait ?
Merci
18 réponses
Salut,
Tu peux lancer un DISM : SFC / CheckSur / DISM
Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
Saisir DISM /Online /Cleanup-image /Restorehealth dans la fenêtre.
(attention, il y a un espace devant chaque commande commençant par / /Online /Cleanup-image etc)
Redémarre.
Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
Saisir sfc /scannow dans la fenêtre.
Ça doit te dire que la protection a détecté des éléments endommagés,
qu'il faut redémarrer pour pouvoir les corriger. A ce moment, redémarre.
Tu peux lancer un DISM : SFC / CheckSur / DISM
Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
Saisir DISM /Online /Cleanup-image /Restorehealth dans la fenêtre.
(attention, il y a un espace devant chaque commande commençant par / /Online /Cleanup-image etc)
Redémarre.
Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
Saisir sfc /scannow dans la fenêtre.
Ça doit te dire que la protection a détecté des éléments endommagés,
qu'il faut redémarrer pour pouvoir les corriger. A ce moment, redémarre.
Après le scan, ça ne m'a pas demandé de redémarrer mais je l'ai quand même fait. Je viens de refaire un scan sur Adwcleaner et c'est toujours la même chose.
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
C'est embêtant que le DISM ne fonctionne.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Essaye RepairDNS
Donne le rapport.
Refais un scan FRST derrière et donne les rapports via pjjoint.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTray.exe" /regrun
S2 Sieulmos; "C:\Users\admin\AppData\Roaming\LirrLoigbap\Yhexpus.exe" -cms [X]
2016-02-01 03:58 - 2016-02-01 03:58 - 00003244 _____ C:\WINDOWS\System32\Tasks\{B7F56E9B-C033-48B3-B504-4F8F580EDC5D}
2016-02-01 03:53 - 2016-02-01 03:53 - 00005120 _____ C:\Users\admin\AppData\Roaming\GiftBag.db
2016-02-01 03:53 - 2016-02-01 03:52 - 00128312 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
2016-02-01 03:50 - 2016-02-01 03:50 - 00003246 _____ C:\WINDOWS\System32\Tasks\{2A90503F-5A6C-49CB-BE52-116ECB96B24D}
2016-02-01 03:45 - 2016-02-03 16:47 - 00000000 ____D C:\Users\admin\AppData\LocalLow\Company
2016-02-01 03:45 - 2016-02-01 03:45 - 00003406 _____ C:\WINDOWS\System32\Tasks\Wieqaw
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\Tempfolder
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Essaye RepairDNS
Donne le rapport.
Refais un scan FRST derrière et donne les rapports via pjjoint.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-02-2016
Exécuté par admin (2016-02-10 18:16:53) Run:1
Exécuté depuis C:\Users\admin\Desktop
Profils chargés: admin (Profils disponibles: admin & DefaultAppPool)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTray.exe" /regrun
S2 Sieulmos; "C:\Users\admin\AppData\Roaming\LirrLoigbap\Yhexpus.exe" -cms [X]
2016-02-01 03:58 - 2016-02-01 03:58 - 00003244 _____ C:\WINDOWS\System32\Tasks\{B7F56E9B-C033-48B3-B504-4F8F580EDC5D}
2016-02-01 03:53 - 2016-02-01 03:53 - 00005120 _____ C:\Users\admin\AppData\Roaming\GiftBag.db
2016-02-01 03:53 - 2016-02-01 03:52 - 00128312 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
2016-02-01 03:50 - 2016-02-01 03:50 - 00003246 _____ C:\WINDOWS\System32\Tasks\{2A90503F-5A6C-49CB-BE52-116ECB96B24D}
2016-02-01 03:45 - 2016-02-03 16:47 - 00000000 ____D C:\Users\admin\AppData\LocalLow\Company
2016-02-01 03:45 - 2016-02-01 03:45 - 00003406 _____ C:\WINDOWS\System32\Tasks\Wieqaw
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\Tempfolder
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ => valeur supprimé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ QQPCTray => valeur supprimé(es) avec succès
Sieulmos => service supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{B7F56E9B-C033-48B3-B504-4F8F580EDC5D} => déplacé(es) avec succès
C:\Users\admin\AppData\Roaming\GiftBag.db => déplacé(es) avec succès
C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\{2A90503F-5A6C-49CB-BE52-116ECB96B24D} => déplacé(es) avec succès
C:\Users\admin\AppData\LocalLow\Company => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\Wieqaw => déplacé(es) avec succès
C:\Users\admin\AppData\Local\Tempfolder => déplacé(es) avec succès
C:\Users\admin\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D => déplacé(es) avec succès
C:\Users\admin\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 => déplacé(es) avec succès
Exécuté par admin (2016-02-10 18:16:53) Run:1
Exécuté depuis C:\Users\admin\Desktop
Profils chargés: admin (Profils disponibles: admin & DefaultAppPool)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTray.exe" /regrun
S2 Sieulmos; "C:\Users\admin\AppData\Roaming\LirrLoigbap\Yhexpus.exe" -cms [X]
2016-02-01 03:58 - 2016-02-01 03:58 - 00003244 _____ C:\WINDOWS\System32\Tasks\{B7F56E9B-C033-48B3-B504-4F8F580EDC5D}
2016-02-01 03:53 - 2016-02-01 03:53 - 00005120 _____ C:\Users\admin\AppData\Roaming\GiftBag.db
2016-02-01 03:53 - 2016-02-01 03:52 - 00128312 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
2016-02-01 03:50 - 2016-02-01 03:50 - 00003246 _____ C:\WINDOWS\System32\Tasks\{2A90503F-5A6C-49CB-BE52-116ECB96B24D}
2016-02-01 03:45 - 2016-02-03 16:47 - 00000000 ____D C:\Users\admin\AppData\LocalLow\Company
2016-02-01 03:45 - 2016-02-01 03:45 - 00003406 _____ C:\WINDOWS\System32\Tasks\Wieqaw
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\Tempfolder
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ => valeur supprimé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ QQPCTray => valeur supprimé(es) avec succès
Sieulmos => service supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{B7F56E9B-C033-48B3-B504-4F8F580EDC5D} => déplacé(es) avec succès
C:\Users\admin\AppData\Roaming\GiftBag.db => déplacé(es) avec succès
C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\{2A90503F-5A6C-49CB-BE52-116ECB96B24D} => déplacé(es) avec succès
C:\Users\admin\AppData\LocalLow\Company => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\Wieqaw => déplacé(es) avec succès
C:\Users\admin\AppData\Local\Tempfolder => déplacé(es) avec succès
C:\Users\admin\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D => déplacé(es) avec succès
C:\Users\admin\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 => déplacé(es) avec succès
Fin de Fixlog 18:16:54
Je redémarre et j'essaie repairDNS
Je vois que pour utiliser repairDNS je dois désactiver Windows defender et je n'y arrive pas, ça me dit "Cette application est désactivée par la stratégie de groupe". C'est la première fois que je vois ça...
Ok donc c'est fait et voilà le résultat:
FRST
https://pjjoint.malekal.com/files.php?id=FRST_20160210_11m11p5y12i9
Addition
https://pjjoint.malekal.com/files.php?id=20160210_w12o13g9l11p9
Shortcut
https://pjjoint.malekal.com/files.php?id=20160210_8e15f6k14x12
FRST
https://pjjoint.malekal.com/files.php?id=FRST_20160210_11m11p5y12i9
Addition
https://pjjoint.malekal.com/files.php?id=20160210_w12o13g9l11p9
Shortcut
https://pjjoint.malekal.com/files.php?id=20160210_8e15f6k14x12
En fait ça me met ça:
~ RepairDNS v2015.12.6.30 Nicolas Coolman (2015/12/06)
~ Run by admin (Administrator) (2016/02/10 18:49:31)
~ Site : https://nicolascoolman.eu
~ Windows 10 Home,X64 (Build 10586)
=======[ Microsoft Windows Defender Service ]
Le service est arrêté
=======[ Recherche des ressources dynamiques 32/64bits (DLL) ]
TROUVÉ: C:\WINDOWS\System32\dnsapi.dll [686984] =>Sain
TROUVÉ: C:\WINDOWS\SysWOW64\dnsapi.dll [535088] =>Hijacker.DNS.Hosts
=======[ Recherche de copie de ressource dynamique ]
TROUVÉ: C:\WINDOWS\winsxs\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_22114c18cd7ccd17\dnsapi.dll [686984] Microsoft Windows® =>Sain
=======[ Sélection de copie de ressource (Saine ---> Infectée) ]
=======[ Fin de traitement ]
~ RepairDNS v2015.12.6.30 Nicolas Coolman (2015/12/06)
~ Run by admin (Administrator) (2016/02/10 18:49:31)
~ Site : https://nicolascoolman.eu
~ Windows 10 Home,X64 (Build 10586)
=======[ Microsoft Windows Defender Service ]
Le service est arrêté
=======[ Recherche des ressources dynamiques 32/64bits (DLL) ]
TROUVÉ: C:\WINDOWS\System32\dnsapi.dll [686984] =>Sain
TROUVÉ: C:\WINDOWS\SysWOW64\dnsapi.dll [535088] =>Hijacker.DNS.Hosts
=======[ Recherche de copie de ressource dynamique ]
TROUVÉ: C:\WINDOWS\winsxs\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_22114c18cd7ccd17\dnsapi.dll [686984] Microsoft Windows® =>Sain
=======[ Sélection de copie de ressource (Saine ---> Infectée) ]
=======[ Fin de traitement ]
L'appel de procédure à distance est en "automatique" et si je fais clique droit, tous les types de démarrage sont grisés, je ne peux rien sélectionner.
Prends ce DNSApi.dll : http://www.malekal.com/fichiers_systeme/file/dnsapi_win10.dll
et tu le mets dans C:\WINDOWS\SysWOW64\ (pas system32 hein) à la place de celui existant.
Redémarre l'ordinateur
Refais un scan FRST et donne les rapports via pjjoint.
et tu le mets dans C:\WINDOWS\SysWOW64\ (pas system32 hein) à la place de celui existant.
Redémarre l'ordinateur
Refais un scan FRST et donne les rapports via pjjoint.
FRST
https://pjjoint.malekal.com/files.php?id=FRST_20160211_q13v5l15d12f7
Addition
https://pjjoint.malekal.com/files.php?id=20160211_d5z11l7z5d12
Shortcut
https://pjjoint.malekal.com/files.php?id=20160211_m14n7w12p11r5
J'ai mis l'ancien dnsapi sur le bureau
https://pjjoint.malekal.com/files.php?id=FRST_20160211_q13v5l15d12f7
Addition
https://pjjoint.malekal.com/files.php?id=20160211_d5z11l7z5d12
Shortcut
https://pjjoint.malekal.com/files.php?id=20160211_m14n7w12p11r5
J'ai mis l'ancien dnsapi sur le bureau
Merci beaucoup !
Alors oui et non. En effet Adwcleaner me dit que plus rien n'est infecté mais lorsque j'essaie d'ouvrir une photo avec l'application photo, ça me dit tout toujours "Impossible d'ouvrir Photos à l'aide du compte Administrateur intégré. Connectez-vous à l'aide d'un autre compte, puis réessayez." Et je ne peux toujours pas ouvrir Windows Defender, ça me dit "Cette application est désactivée par la stratégie de groupe".
Alors oui et non. En effet Adwcleaner me dit que plus rien n'est infecté mais lorsque j'essaie d'ouvrir une photo avec l'application photo, ça me dit tout toujours "Impossible d'ouvrir Photos à l'aide du compte Administrateur intégré. Connectez-vous à l'aide d'un autre compte, puis réessayez." Et je ne peux toujours pas ouvrir Windows Defender, ça me dit "Cette application est désactivée par la stratégie de groupe".
Ce n'est pas lié à dnsapi.dll mais à l'adware.
Pour Windows defender, regarde là : impossible d'activer Windows Defender.
Pour :
"Impossible d'ouvrir Photos à l'aide du compte Administrateur intégré"
Voir : Impossible de lancer application avec administrateur intégré.
Pour Windows defender, regarde là : impossible d'activer Windows Defender.
Pour :
"Impossible d'ouvrir Photos à l'aide du compte Administrateur intégré"
Voir : Impossible de lancer application avec administrateur intégré.
J'ai par le passé déjà essayé Avast et AVG et j'ai eu toujours eu des problèmes avec (d'ailleurs on me les a fortement déconseillés).
Mon but est quand même que tout redevienne normal, comme avant.
J'ai lu sur plusieurs sites que je pouvais télécharger et installer gpedit.msc pour pouvoir gérer la stratégie de groupe comme sur un windows 10 pro, qu'en penses tu ?
Mon but est quand même que tout redevienne normal, comme avant.
J'ai lu sur plusieurs sites que je pouvais télécharger et installer gpedit.msc pour pouvoir gérer la stratégie de groupe comme sur un windows 10 pro, qu'en penses tu ?
super =)
Quelques conseils :
Pour tenter de prévenir les sites malicieux, tu peux installer Blockulicious.
Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Quelques conseils :
Pour tenter de prévenir les sites malicieux, tu peux installer Blockulicious.
Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows