Windows Defender détecte un trojan Patched.AP, "DNSAPI.DLL"

[smov6]

Bonjour,

Voila comme pas de personnes ces temps ci j'ai droit un vilain trojan adware v-bates (patch dnsapi.dll) et je n'arrive pas à m'en défaire.

Donc visiblement le fichier vérolé est le DNSAPI.DLL dans le dossier C:\WINDOWS\SYSTEM32
Le trojan PATCHED.AP a été détecté par Windows Defender mais il ne sait pas le corriger.

Je suis sous Windows 10 en version 32bits.

Je n'arrive pas à supprimer ou remplacer ce fichier .... même en sans échec.

Je galèèèèèèère :((((

Voici les rapports FRST :
http://pjjoint.malekal.com/files.php?id ... 10j13w6k85
http://pjjoint.malekal.com/files.php?id ... 4n8s10c7t6

SInon RepairDNS
http://pjjoint.malekal.com/files.php?id ... 5o5s11v6q6

Merci pour votre aide ...

[Malekal_morte]

Salut,

RepairDNS
Clic sur Go
Redémarre l'ordinateur


puis :

Tente celui-ci : https://www.malekal.com/fichiers_system ... _win10.dll
Tu le mets dans SysWOW64 en le nommant dnsapi.dll
et redémarre l'ordinateur.

[smov6]

merci pour ton aide mais je suis en windows 10 32bits donc je n'ai pas ce répertoire syswow64 ... juste system32.

Ton dll est -il adapté?

J'ai tenté de le coller mais je n'arrive pas a le remplacer car le dnsapi.dll est utilisé dans d'autres programmes en cours d'éxectution.

EDIT : Je pense avoir réussi à le remplacer en stoppant quelques processus mais cela n'a visiblement rien fait ... toujours ce maudit virus !

[Malekal_morte]

ha non désolé, oublie pour le SysWOW64, si tu es en 32bits.

As-tu pu faire le nettoyage DNSRepair ?

[smov6]

Repairdns scanne mon système ... Me dit que je suis infecté mais ça s'arrête là..

[Malekal_morte]

Tu peux lancer un CheckSur : SFC / CheckSur / DISM

En invite de commandes en administrateur, passe la commande :

DISM /Online /Cleanup-image /Restorehealth

et tu donnes le rapport C:\Windows\Logs\CBS\CheckSUR.log via http://pjjoint.malekal.com
en donnant le lien pjjoint.

~~

puis toujours en invite de commandes administrateur :

sfc /scannow

Ca doit te dire que la protection a détecté des éléments endommagés et qu'il faut redémarrer l'ordinateur.

Redémarre.

Lance un RepairDNS
Donne le rapport.

[smov6]

Merci de ton aide.

J'ai fais la première manip'

DISM /Online /Cleanup-image /Restorehealth

il bloque a 20% avec l'erreur 1726

Voici le dism.log : http://pjjoint.malekal.com/files.php?id ... 6y15y8c6g6


Pour la deuxième, j'avais déjà tenté le coup :

sfc /scannow

L'opération bloque à 36% et se temine.

[Malekal_morte]

C'est à cause de Windows Defender qui bloque l'accès au fichier.
Désactive Windows Defender et retente DNSRepair.

AdwCleaner gère aussi cette infection.

[smov6]

Alors... j'ai désactive Windows Defender et effectivement sfc /scannow a été jusqu'au bout de son analyse et m'a dit qu'il avait repéré des erreurs qu'il les avait corrigé.

Mais au reboot .. toujours la même chose, repairDNS me donne toujours le même diagnostique sans réparer quoique ce soit.

Et adwcleaner me touve bien le DLL infecté, je lance donc un nettoyage, reboot mais ... il est toujours là !

Je désespère ....


EDIT : Internet fonctionne ... mais toujours mon dnsapi.dll d'infecté

[Malekal_morte]

ok, tente ça.
Créé un dossier C:\MakDNSApi et décompresse le zip en pièce jointe.
Tu dois y avoir donc des fichiers dans MaKDNSApi.
Lance MaKDNSApi.cmd par un clic droit puis exécuter en tant qu'administrateur.
Cela doit te donner un rapport.
Donne le.

(ça ne va pas résoudre le problème mais si c'est bon, on devrait pouvoir ensuite).

[smov6]

Voici le rapport :
http://pjjoint.malekal.com/files.php?id ... 4r11o12g13

[Malekal_morte]

ok tente ça.
Windows Defender doit bien être désactivé.


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

Replace: c:\makdnsapi\dnsapi_32.mak C:\Windows\system32\dnsapi.dll
Replace: C:\makdnsapi\dnsapi_64.mak C:\Windows\Syswow64\dnsapi.dll

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

[smov6]

Visiblement ça s'est pas trop mal passé, voici le log :

Résultats de correction de Farbar Recovery Scan Tool (x86) Version:08-10-2015
Exécuté par Jerome (2015-10-10 15:19:49) Run:1
Exécuté depuis C:\
Profils chargés: Jerome (Profils disponibles: Jerome & Aurélie & Gosses & DefaultAppPool)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************
Replace: c:\makdnsapi\dnsapi_32.mak C:\Windows\system32\dnsapi.dll
Replace: C:\makdnsapi\dnsapi_64.mak C:\Windows\Syswow64\dnsapi.dll
*****************

C:\Windows\system32\dnsapi.dll => déplacé(es) avec succès
c:\makdnsapi\dnsapi_32.mak copié(e) avec succès vers C:\Windows\system32\dnsapi.dll
"C:\Windows\Syswow64\dnsapi.dll" => non trouvé(e)
Impossible de remplacer C:\Windows\Syswow64\dnsapi.dll

==== Fin de Fixlog 15:19:49 ====

Par contre au redémarrage j'avais ces messages :

http://zupimages.net/viewer.php?id=15/41/jw3u.png

Et toujours pas d'internet, de plus je n'ai pas acces aux propriétés TCPIP V4 da ma carte ethernet, pour changer l'adresse IP DNS DHCP etc ...; le bouton est grisé.


EDIT: j'ai relancé un sfc /scannow ...

[Malekal_morte]

A mon avis Windows Defender est encore actif, c'est pour cela que rien ne foncitonne.
Il verrouille le fichier SysWow64, du coup c'est le bordel.

La procédure avec DISM puis sfc doit fonctionner.

[smov6]

Windows Defender est bien inactif et toujours l'erreur 1726 sur la commande DISM ....

J'ai tenté un SFC /scannow en mode sans echec ...

Depuis RepairDNS me dit que mon dnsapi.dll est sain !!!
Bonne nouvelle me dira tu, d'autant plus que j'accede dorénavant aux paramètres TCPIP de ma carte réseau !!!

Mais toujours pas d'internet .....

DNS_PROBE_FINISHED_NXDOMAIN sous chrome.