Windows 8.1 a été infecté, dnsapi.dll patché plus d'internet

[yubi]

Bonjour,

je suis sur Windows 8.1 et j'ai du installer par inadvertance un malware, je me retrouve avec avec une connexion internet bloquée (dnsapi). En faisant des recherches je suis tombé sur un post de ce forum, et me voila. J'ai reboot sans echec, passez un scan avg, qui m'a trouvé pas mal d'infection mais n'a pu résoudre le problème. J'ai essayé de faire qqles manip via repair dns et sfc /scannow mais je me retrouve tjrs ds la mm situation, AVG me signalant que dnsapi est infecté, des malware qui se lancent tt seul au démarrage et une connexion bloqué.
Pouvez vous m'aider svp ?

Merci d'avance.

Voici le resultat du dnsrepair

http://pjjoint.malekal.com/files.php?id ... 11x13o9z13

[angelique]

• Faire Adwcleaner https://telecharger.malekal.com/download/adwcleaner/ , onglet scan puis ensuite suppression ... un redémarrage peut être demandé. , voir > , et poste le rapport.
  
  
  Puis .::
• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
  Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
  (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

( ͡° ͜ʖ ͡°)

[yubi]

Bon il m'a suffit de lancer adwcleaner, merci bcp, areps le reboot j'ai de nouveau acces à internet.

Voici les log qd mm :

http://pjjoint.malekal.com/files.php?id ... 1z8j8n9l14

merci encore, bon week end, a bientot peut etre.

[angelique]

Tu devrais faire la suite car y'a encore pleins de merdouilles à mon avis.

[yubi]

ok voila la suite alors

addition :
http://pjjoint.malekal.com/files.php?id ... 15q15g15g5

le fichier frst :
http://pjjoint.malekal.com/files.php?id ... 13j5g14o13

encore merci.

[angelique]

1. desinstalle .::
   
   McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.11.292.3 - McAfee, Inc.)
2. Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
   Copie/colle dedans ce qui suit :
   
   

   S2 Mapmuili; "C:\Users\yass\AppData\Roaming\UpicEpokne\Giltuil.exe" -cms [X]
   S2 MPCProtectService; "E:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" [X]
   Task: {AF7E2FF8-229A-47B3-9FAD-73835D9C283A} - System32\Tasks\Awoadvu => C:\PROGRA~1\SHOPPE~1\Sitsubsy.bat
   HKU\S-1-5-21-3929174831-1294369006-1783362314-1001\...\Run: [AdobeBridge] => [X]
   FF user.js: detected! => C:\Users\yass\AppData\Roaming\Mozilla\Firefox\Profiles\4fn8x1wn.default\user.js [2016-03-18]
   FF user.js: detected! => C:\Users\yass\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\user.js [2016-03-18]
   FF SearchPlugin: C:\Users\yass\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\searchplugins\DD1B66D4.xml [2016-03-18]
   2016-03-18 18:27 - 2016-03-18 18:27 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus
   2016-03-18 18:27 - 2016-03-18 18:27 - 00000000 ____D C:\Program Files\McAfee Security Scan
   2016-03-18 15:03 - 2016-03-18 16:23 - 00000000 ____D C:\Users\yass\AppData\Roaming\Atiygfuesx
   2016-03-18 15:03 - 2016-03-18 15:03 - 00060136 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys
   2016-03-18 15:03 - 2016-03-18 15:03 - 00003340 _____ C:\Windows\System32\Tasks\Awoadvu
   2016-03-18 15:03 - 2016-03-18 15:03 - 00000000 ____D C:\Users\yass\AppData\LocalLow\Company
   2016-03-18 15:03 - 2016-03-18 15:03 - 00000000 ____D C:\Users\yass\AppData\Local\Tempfolder
   2016-03-18 15:03 - 2016-03-18 15:03 - 00000000 ____D C:\uninst
   2016-03-18 14:51 - 2016-03-18 14:51 - 02832134 _____ C:\Windows\chromebrowser.exe
   2016-03-18 14:51 - 2016-03-18 14:51 - 00000000 ____D C:\Users\yass\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
   2016-03-18 14:51 - 2016-03-18 14:51 - 00000000 ____D C:\Users\Public\Documents\dmp
   2016-03-18 14:51 - 2016-03-18 14:51 - 00000000 ____D C:\ProgramData\28341ff220e0446c9fff27c4493d622e
   2016-03-17 18:21 - 2016-03-18 18:28 - 00002024 _____ C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk
   2016-03-17 18:21 - 2016-03-17 18:21 - 00000000 ____D C:\ProgramData\McAfee Security Scan
   C:\Users\yass\AppData\Local\Temp\1EA1.tmp.exe
   C:\Users\yass\AppData\Local\Temp\3Z33FC8U1M.exe
   C:\Users\yass\AppData\Local\Temp\AEEE.tmp.exe
   C:\Users\yass\AppData\Local\Temp\avguirn_082118948416.exe
   C:\Users\yass\AppData\Local\Temp\bc.exe
   C:\Users\yass\AppData\Local\Temp\dnsapi.dll
   C:\Users\yass\AppData\Local\Temp\dxdiag.exe
   C:\Users\yass\AppData\Local\Temp\i4jdel0.exe
   C:\Users\yass\AppData\Local\Temp\MediaPlayer__3137_il379812.exe
   C:\Users\yass\AppData\Local\Temp\mesox.exe
   C:\Users\yass\AppData\Local\Temp\msconfig.exe
   C:\Users\yass\AppData\Local\Temp\nvSCPAPI.dll
   C:\Users\yass\AppData\Local\Temp\nvSCPAPI64.dll
   C:\Users\yass\AppData\Local\Temp\nvStereoApiI64.dll
   C:\Users\yass\AppData\Local\Temp\nvStInst.exe
   C:\Users\yass\AppData\Local\Temp\sqlite3.dll
   E:\Program Files (x86)\MPC Cleaner
   EmptyTemp:
   

3. Menu Fichier / Enregistrer-sous
   Place toi sur le bureau.
   Dans le champs en bas, nom du fichier mets : fixlist.txt
   Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
   
   Relance FRST et clic sur le bouton fix/Correction
   Un redémarrage peut être nécessaire (pas obligatoire).
   Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

[yubi]

Re, voila la log :

http://pjjoint.malekal.com/files.php?id ... x15d7g6z13

[Malekal_morte]

Passe RepairDNS
Donne le rapport puis refais un scan FRST et donne le nouveau rapport.

[yubi]

Le resultat du dnsrepair :
http://pjjoint.malekal.com/files.php?id ... 4e714v6e11

celui de FRST :
http://pjjoint.malekal.com/files.php?id ... x7g10n15t6

[angelique]

reste qui n'a pas sauté :

"C:\Windows\system32\Drivers\MPCKpt.sys" => Impossible de déplacer
"E:\Program Files (x86)\MPC Cleaner" => Impossible de déplacer


Je vois que tu as Combofix sur ton Bureau : (Swearware) C:\Users\yass\Desktop\ComboFix.exe

➫ ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

Driver::
MPCProtectService
File::
C:\Windows\system32\Drivers\MPCKpt.sys
Folder::
E:\Program Files (x86)\MPC Cleaner
Quit::

• Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
• Choisis "Enregistrer sous" et choisis "Bureau"
• Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript
• Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
• Quitte le Bloc Notes.
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
• suis les instructions
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Tu posteras le rapport

[yubi]

Re,
j'ai un message d'erreur m'indiquant que combo fix ne fonctionne pas ss windows 8.1 :s
et j'ai pu supprimer le .sys "classiquement", j'aurai ptet pas du.

[angelique]

bah ecoute si tu as supprimé "C:\Windows\system32\Drivers\MPCKpt.sys" => Impossible de déplacer
"E:\Program Files (x86)\MPC Cleaner" => Impossible de déplacer

c'est désormais OK.

supprime frst, ses rapports et C:\FRST

[yubi]

Ok, merci beaucoup a vous pour m'avoir sorti de la bon week end.