DNS_PROBE_FINISHED_NXDOMAIN / Trojan Patched.AP

[Bertrand_B]

Bonjour à tous,

Comme certaines personnes ces derniers jours, mon anti-virus (Microsoft Security Essentials) a décelé le trojan Patched.AO.

Après cette détection, plus d'accès à Internet : DNS_PROBE_FINISHED_NXDOMAIN.

J'ai tenté les solutions des autres posts sur le sujet, mais depuis, toujours pas d'accès à Internet, en plus mon Windows est considéré comme "pas authentique".

Auriez-vous une solution s'il vous plaît ?

Je suis sur Windows 7 x64.

Merci d'avance.

Bertrand

Voici les différents rapports :

FRST
http://pjjoint.malekal.com/files.php?id ... l7b5f9n911

Addition
http://pjjoint.malekal.com/files.php?id ... b12j11u6o9

Shortcut
http://pjjoint.malekal.com/files.php?id ... 11v5h13g15

DNSRepair
http://pjjoint.malekal.com/files.php?id ... 7o10v13o15

[Malekal_morte]

Salut,

Fais une restauration du système.
Vois déjà si un point de restauration est disponible avant l'infection, si ce n'est pas le cas, vois si un point de restauration est disponible avant la première utilisation de RepairDNS.

Fais la restauration.
Assure toi qu'internet fonctionne.

Désactive la protection Microsoft Security Client

Il faut bien que Microsoft Security Client soit désactivé :

Suis le tutorial AdwCleaner( d'Xplode )
Ce programme permet de supprimer les adwares et programmes parasites :
* Télécharge le sur ton bureau ou dossier de téléchargement.
* Lance AdwCleaner, clique sur [Scanner].
* L'analyse peux durer plusieurs minutes, patiente.
* Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]
* Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/collé.

Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

[Bertrand_B]

Bonjour,

Merci de m'aider !

Je viens de faire la restauration : ma version de Windows n'est plus considérée comme une copie. C'et une bonne chose.

Mais à peine après avoir rebooté, Microsoft Security Essentials m'alerte concernant le trojan. Je l'ai donc supprimé, mais toujours pas internet... :(

Voici le rapport d'ADWCleaner :
http://pjjoint.malekal.com/files.php?id ... 4z14j12f13

Une idée ?

Merci d'avance.

[Bertrand_B]

ADWCleaner a trouvé une copie de dnsapi.dll sur mon disque.

Internet est revenu !!!!

Du coup, j'ai relancé la protection temps réel de Microsoft Security Essentials.

Est-ce que je dois faire autre chose pour être sûr ue tout et OK ?

Merci d'avance !

Bertrand

[Malekal_morte]

Bonne nouvelle


Pour vérifier que tout est OK :


Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[Bertrand_B]

Bonjour,

Voici le résultats des analyses FRST :

FRST
http://pjjoint.malekal.com/files.php?id ... 2t7f5g7s14

Addition
http://pjjoint.malekal.com/files.php?id ... 14c13d10o6

Shortcut
http://pjjoint.malekal.com/files.php?id ... 13m12n14o5

Merci d'avance !

Bertrand

[Malekal_morte]

il reste des merdouilles dont bsdriver.


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

2013-07-15 09:21 - 2013-07-15 09:21 - 4188160 _____ () C:\Program Files (x86)\GUTBE28.tmp
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Bertrand BARBET\AppData\Roaming\4Qvgl4d
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Bertrand BARBET\AppData\Roaming\53R2ZSZB1TPUUGEoKPtYL0
2015-04-14 18:28 - 2015-04-14 18:28 - 0004387 _____ () C:\Users\Bertrand BARBET\AppData\Roaming\fCSBCITtYGVnx
2015-04-14 18:28 - 2015-04-14 18:28 - 0004387 _____ () C:\Users\Bertrand BARBET\AppData\Roaming\MmfncbSf68SK
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Bertrand BARBET\AppData\Roaming\o2rVoUB0eduUGdUmUGyQH9KePHT
2015-04-14 18:28 - 2015-04-14 18:28 - 0004387 _____ () C:\Users\Bertrand BARBET\AppData\Roaming\OYAKuZqQqz
2015-04-14 18:28 - 2015-04-14 18:28 - 0004387 _____ () C:\Users\Bertrand BARBET\AppData\Roaming\xqOIYB0vjg
R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [34720 2015-09-07] ()
CHR Extension: (Smart Display) - C:\Users\Bertrand BARBET\AppData\Local\Google\Chrome\User Data\Default\Extensions\engaigpbgdjjmanonjcjkcmomgibneba [2015-10-12]



Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur



puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Firefox : http://forum.malekal.com/firefox-extens ... 36057.html
* Google Chrome : http://forum.malekal.com/google-chrome- ... 35837.html
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/


~~

Utilise PCHunter
Vas dans l'onglet Files
Navigue dans les dossiers pour supprimer : C:\Windows\system32\drivers\bsdriver.sys
Supprime le.
Redémarre et refais un scan FRST et donne les rapports via pjjoint.

[Bertrand_B]

Bonjour,

Désolé de ma réponse tardive.

Voici les fichiers :

FRST
http://pjjoint.malekal.com/files.php?id ... 13y14z7t12

Addition
http://pjjoint.malekal.com/files.php?id ... 2b8f8x15r9

Shortcut
http://pjjoint.malekal.com/files.php?id ... j12b8r12b7

Merci d'avance !

[angelique]

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
  Copie/colle dedans ce qui suit :
  
  

  S1 bsdriver; \??\C:\Windows\system32\drivers\bsdriver.sys [X]
  Globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
  Task: {0838C8F0-CA05-491C-8588-056C40F4B734} - System32\Tasks\Ashgutf => C:\Program Files\shopperz020920151658\Uliblum.bat <==== ATTENTION
  Task: {110A695A-F94F-4C3E-81F2-67D3996F7DC1} - \MyBrowser -> Pas de fichier <==== ATTENTION
  Task: {77DF1355-C505-4C79-9F4B-2BB3AF87D177} - \APSnotifierPP3 -> Pas de fichier <==== ATTENTION
  Task: {AA89C3E7-FB89-42BC-9BE0-0B3A1B4DA8F5} - \WordSurfer Auto Updater 1.10.0.19 Pending Update -> Pas de fichier <==== ATTENTION
  Task: {BDD7D2BF-19E7-4673-87D5-802F50ACDDFB} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-04-27] (Google Inc.)
  Task: {BE0987E9-2844-400F-B1B3-B7AF36852244} - \WordSurfer Auto Updater 1.10.0.19 Core -> Pas de fichier <==== ATTENTION
  Task: {C32E949C-1E34-4395-A0B8-C79198FCC55B} - \APSnotifierPP2 -> Pas de fichier <==== ATTENTION
  Task: {C4EE3E23-B27B-412A-973B-DAA5B4ACF249} - \APSnotifierPP1 -> Pas de fichier <==== ATTENTION
  Task: {F2A402BB-2E5E-40C3-B848-F25EF1915A1F} - System32\Tasks\{C5AE5161-7F5F-4FCF-B376-A1BBA9B4D754} => pcalua.exe -a "C:\Users\Bertrand BARBET\AppData\Roaming\istartsurf\UninstallManager.exe" -c -ptid=face
  Task: {F729D255-301A-44EC-BC7A-1E05ECC7C84D} - \SmartWeb Upgrade Trigger Task -> Pas de fichier <==== ATTENTION
  C:\Program Files\shopperz020920151658
  2015-10-17 18:01 - 2015-10-17 18:02 - 06739485 _____ C:\Users\Bertrand BARBET\Desktop\PCHunter_free.zip
  C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
  C:\Users\Bertrand BARBET\AppData\Local\Temp\amisetup7148.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\amisetup7256__14897.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\avguidx.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\dllnt_dump.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\FreemakeVideoDownloader_3.5.3.3.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\G2MCoreInstExtractor.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\G2MInstallerExtractor.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\InstallAX.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\InstallPlugin.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna1147515172574489811.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna1275536723000054214.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna1658132860692693381.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna1794838946608612959.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna1965055373405894269.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna2293560487081555303.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna2614399130450296066.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna2672030841114510208.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna275105927113407320.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna3579749014864433653.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna3763637391717351300.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna4261892902233706021.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna464539817098056878.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna5560981252889422335.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna5776649664064320253.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna5867269260752378243.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna6742142490145854890.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna6966314071342477226.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna7326084908801995760.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna7642847073128086750.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna7794765257739363787.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna8331571715580493312.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna8342199978534002783.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna867957948152034701.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna9064611225377705729.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\jna965529313064980066.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\Lifecam3.0.204.0.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\MachineIdCreator.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\newversion.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\npappdetector.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\npp.6.7.5.Installer.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\npp.6.7.7.Installer.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\npp.6.7.8.2.Installer.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\npp.6.7.9.2.Installer.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\npp.6.8.3.Installer.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\oi_{B78FEEE0-1107-4AF7-A952-6AAA64BB88EF}.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\ose00000.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\Quarantine.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\SkypeSetup.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\SpOrder.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\sqlite3.dll
  C:\Users\Bertrand BARBET\AppData\Local\Temp\Uninstall.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\UninstallModule.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\vlc-2.0.1-win32.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\vlc-2.0.2-win32.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\vlc-2.0.4-win32.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\vlc-2.0.5-win32.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\vlc-2.1.2-win32.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\vlc-2.1.5-win32.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\vlc-2.2.1-win32.exe
  C:\Users\Bertrand BARBET\AppData\Local\Temp\xmlUpdater.exe
  EmptyTemp:
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.