C:\Windows\SysWOW64\dnsapi.dll Résolu/Fermé

Question

Bonjour,
Il y a quelques jours j'ai fait un scan sur adwcleaner qui m'a enlevé pas mal de choses qu'il y avait sur mon ordinateur. Seulement au redémarrage il semble que  C:\Windows\Sys\WOW64\dnsapi.dll soit toujours infecté, même après plusieurs scan. Mon ordinateur a l'air de fonctionner correctement, à part l'appli "photos" de Win 10 qui ne veut plus s'ouvrir. Je ne sais si ça a un lien mais j'aimerais tout de même régler ce problème de dll infecté.

Quelqu'un pourrait il m'aider s'il vous plait ?

Merci

Malekal_morte- · Answer

Salut,

Tu peux lancer un DISM : SFC / CheckSur / DISM

Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
Saisir DISM /Online /Cleanup-image /Restorehealth dans la fenêtre.

(attention, il y a un espace devant chaque commande commençant par / /Online /Cleanup-image etc)

Redémarre.

Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
Saisir sfc /scannow dans la fenêtre.

Ça doit te dire que la protection a détecté des éléments endommagés,
qu'il faut redémarrer pour pouvoir les corriger. A ce moment, redémarre.

Jack_Barron · Answer

Après avoir saisi DISM /etc ça me donne ça:


Je redémarre comme tu me dis du coup ? (Je demande parce que quand je vois échec...)

Jack_Barron · Answer

Après le scan, ça ne m'a pas demandé de redémarrer mais je l'ai quand même fait. Je viens de refaire un scan sur Adwcleaner et c'est toujours la même chose.

Malekal_morte- · Answer

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Jack_Barron · Answer

FRST:
https://pjjoint.malekal.com/files.php?id=FRST_20160210_o13z7l10e710

Addiction:
https://pjjoint.malekal.com/files.php?id=20160210_d7w9i12l8f9

Shortcut:
https://pjjoint.malekal.com/files.php?id=20160210_u11r6h6t9k6

Malekal_morte- · Answer

C'est embêtant que le DISM ne fonctionne.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R, 
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

HKLM-x32\...\Run: [] => [X]HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTray.exe"  /regrunS2 Sieulmos; "C:\Users\admin\AppData\Roaming\LirrLoigbap\Yhexpus.exe" -cms [X]2016-02-01 03:58 - 2016-02-01 03:58 - 00003244 _____ C:\WINDOWS\System32\Tasks\{B7F56E9B-C033-48B3-B504-4F8F580EDC5D}2016-02-01 03:53 - 2016-02-01 03:53 - 00005120 _____ C:\Users\admin\AppData\Roaming\GiftBag.db2016-02-01 03:53 - 2016-02-01 03:52 - 00128312 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys2016-02-01 03:50 - 2016-02-01 03:50 - 00003246 _____ C:\WINDOWS\System32\Tasks\{2A90503F-5A6C-49CB-BE52-116ECB96B24D}2016-02-01 03:45 - 2016-02-03 16:47 - 00000000 ____D C:\Users\admin\AppData\LocalLow\Company2016-02-01 03:45 - 2016-02-01 03:45 - 00003406 _____ C:\WINDOWS\System32\Tasks\Wieqaw2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\Tempfolder2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


Essaye RepairDNS
Donne le rapport.
Refais un scan FRST derrière et donne les rapports via pjjoint.

Jack_Barron · Answer

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-02-2016
Exécuté par admin (2016-02-10 18:16:53) Run:1
Exécuté depuis C:\Users\admin\Desktop
Profils chargés: admin (Profils disponibles: admin & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTray.exe"  /regrun
S2 Sieulmos; "C:\Users\admin\AppData\Roaming\LirrLoigbap\Yhexpus.exe" -cms [X]
2016-02-01 03:58 - 2016-02-01 03:58 - 00003244 _____ C:\WINDOWS\System32\Tasks\{B7F56E9B-C033-48B3-B504-4F8F580EDC5D}
2016-02-01 03:53 - 2016-02-01 03:53 - 00005120 _____ C:\Users\admin\AppData\Roaming\GiftBag.db
2016-02-01 03:53 - 2016-02-01 03:52 - 00128312 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
2016-02-01 03:50 - 2016-02-01 03:50 - 00003246 _____ C:\WINDOWS\System32\Tasks\{2A90503F-5A6C-49CB-BE52-116ECB96B24D}
2016-02-01 03:45 - 2016-02-03 16:47 - 00000000 ____D C:\Users\admin\AppData\LocalLow\Company
2016-02-01 03:45 - 2016-02-01 03:45 - 00003406 _____ C:\WINDOWS\System32\Tasks\Wieqaw
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\Tempfolder
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108



HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\ => valeur supprimé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\ QQPCTray => valeur supprimé(es) avec succès
Sieulmos => service supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{B7F56E9B-C033-48B3-B504-4F8F580EDC5D} => déplacé(es) avec succès
C:\Users\admin\AppData\Roaming\GiftBag.db => déplacé(es) avec succès
C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\{2A90503F-5A6C-49CB-BE52-116ECB96B24D} => déplacé(es) avec succès
C:\Users\admin\AppData\LocalLow\Company => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\Wieqaw => déplacé(es) avec succès
C:\Users\admin\AppData\Local\Tempfolder => déplacé(es) avec succès
C:\Users\admin\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D => déplacé(es) avec succès
C:\Users\admin\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 => déplacé(es) avec succès
 Fin de Fixlog 18:16:54 
Je redémarre et j'essaie repairDNS

Jack_Barron · Answer

Je vois que pour utiliser repairDNS je dois désactiver Windows defender et je n'y arrive pas, ça me dit "Cette application est désactivée par la stratégie de groupe". C'est la première fois que je vois ça...

Jack_Barron · Answer

Ok donc c'est fait et voilà le résultat:

FRST
https://pjjoint.malekal.com/files.php?id=FRST_20160210_11m11p5y12i9

Addition
https://pjjoint.malekal.com/files.php?id=20160210_w12o13g9l11p9

Shortcut
https://pjjoint.malekal.com/files.php?id=20160210_8e15f6k14x12

Jack_Barron · Answer

En fait ça me met ça:

~ RepairDNS v2015.12.6.30 Nicolas Coolman (2015/12/06)
~ Run by admin (Administrator)  (2016/02/10 18:49:31)
~ Site : https://nicolascoolman.eu
~ Windows 10 Home,X64  (Build 10586)

=======[ Microsoft Windows Defender Service ]
Le service est arrêté

=======[ Recherche des ressources dynamiques 32/64bits (DLL) ]
TROUVÉ: C:\WINDOWS\System32\dnsapi.dll [686984]   =>Sain
TROUVÉ: C:\WINDOWS\SysWOW64\dnsapi.dll [535088]   =>Hijacker.DNS.Hosts

=======[ Recherche de copie de ressource dynamique ]
TROUVÉ: C:\WINDOWS\winsxs\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_22114c18cd7ccd17\dnsapi.dll [686984] Microsoft Windows®  =>Sain

=======[ Sélection de copie de ressource  (Saine ---> Infectée) ]

=======[ Fin de traitement ]

Jack_Barron · Answer

L'appel de procédure à distance est en "automatique" et si je fais clique droit, tous les types de démarrage sont grisés, je ne peux rien sélectionner.

Malekal_morte- · Answer

Prends ce DNSApi.dll : http://www.malekal.com/fichiers_systeme/file/dnsapi_win10.dll
et tu le mets dans   C:\WINDOWS\SysWOW64\ (pas system32 hein) à la place de celui existant.
Redémarre l'ordinateur
Refais un scan FRST et donne les rapports via pjjoint.

Jack_Barron · Answer

FRST
https://pjjoint.malekal.com/files.php?id=FRST_20160211_q13v5l15d12f7

Addition
https://pjjoint.malekal.com/files.php?id=20160211_d5z11l7z5d12

Shortcut
https://pjjoint.malekal.com/files.php?id=20160211_m14n7w12p11r5

J'ai mis l'ancien dnsapi sur le bureau

Jack_Barron · Answer

Merci beaucoup !
Alors oui et non. En effet Adwcleaner me dit que plus rien n'est infecté mais lorsque j'essaie d'ouvrir une photo avec l'application photo, ça me dit tout toujours "Impossible d'ouvrir Photos à l'aide du compte Administrateur intégré. Connectez-vous à l'aide d'un autre compte, puis réessayez." Et je ne peux toujours pas ouvrir Windows Defender, ça me dit "Cette application est désactivée par la stratégie de groupe".

Jack_Barron · Answer

Pour les applications intégrées ça marche, merci beaucoup !
Par contre pour Windows Defender, je n'ai pas les entrées DisableAntiSpyware et DisableAntiVirus.

Jack_Barron · Answer

D'ailleurs dans services, impossible de démarrer Windows Defender, ça me met ceci:

Jack_Barron · Answer

J'ai par le passé déjà essayé Avast et AVG et j'ai eu toujours eu des problèmes avec (d'ailleurs on me les a fortement déconseillés).
Mon but est quand même que tout redevienne normal, comme avant.
J'ai lu sur plusieurs sites que je pouvais télécharger et installer gpedit.msc pour pouvoir gérer la stratégie de groupe comme sur un windows 10 pro, qu'en penses tu ?

Malekal_morte- · Answer

super =)


Quelques conseils : 

Pour tenter de prévenir les sites malicieux, tu peux installer Blockulicious.

Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Renforce la sécurité de ton Windows : Comment sécuriser mon Windows