Sujet Précédent Sujet Suivant

C:\Windows\SysWOW64\dnsapi.dll

Résolu/Fermé
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016 - 10 févr. 2016 à 16:48
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 17 févr. 2016 à 19:00
Bonjour,
Il y a quelques jours j'ai fait un scan sur adwcleaner qui m'a enlevé pas mal de choses qu'il y avait sur mon ordinateur. Seulement au redémarrage il semble que C:\Windows\Sys\WOW64\dnsapi.dll soit toujours infecté, même après plusieurs scan. Mon ordinateur a l'air de fonctionner correctement, à part l'appli "photos" de Win 10 qui ne veut plus s'ouvrir. Je ne sais si ça a un lien mais j'aimerais tout de même régler ce problème de dll infecté.

Quelqu'un pourrait il m'aider s'il vous plait ?

Merci

18 réponses

Réponse 1 / 18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
10 févr. 2016 à 16:50
Salut,

Tu peux lancer un DISM : SFC / CheckSur / DISM

Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
Saisir DISM /Online /Cleanup-image /Restorehealth dans la fenêtre.

(attention, il y a un espace devant chaque commande commençant par / /Online /Cleanup-image etc)

Redémarre.

Clique-droit sur le menu "Démarrer" puis "Invites de commandes (admin)",
Saisir sfc /scannow dans la fenêtre.

Ça doit te dire que la protection a détecté des éléments endommagés,
qu'il faut redémarrer pour pouvoir les corriger. A ce moment, redémarre.

0
Réponse 2 / 18
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
10 févr. 2016 à 17:09
Après avoir saisi DISM /etc ça me donne ça:


Je redémarre comme tu me dis du coup ? (Je demande parce que quand je vois échec...)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
10 févr. 2016 à 17:11
Redémarre et essaye le SFC oui.
0
Réponse 3 / 18
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
10 févr. 2016 à 17:26
Après le scan, ça ne m'a pas demandé de redémarrer mais je l'ai quand même fait. Je viens de refaire un scan sur Adwcleaner et c'est toujours la même chose.
0
Réponse 4 / 18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
10 févr. 2016 à 17:42
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
10 févr. 2016 à 17:52
FRST:
https://pjjoint.malekal.com/files.php?id=FRST_20160210_o13z7l10e710

Addiction:
https://pjjoint.malekal.com/files.php?id=20160210_d7w9i12l8f9

Shortcut:
https://pjjoint.malekal.com/files.php?id=20160210_u11r6h6t9k6
0
Réponse 6 / 18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
10 févr. 2016 à 18:03
C'est embêtant que le DISM ne fonctionne.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 


HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTray.exe"  /regrun
S2 Sieulmos; "C:\Users\admin\AppData\Roaming\LirrLoigbap\Yhexpus.exe" -cms [X]
2016-02-01 03:58 - 2016-02-01 03:58 - 00003244 _____ C:\WINDOWS\System32\Tasks\{B7F56E9B-C033-48B3-B504-4F8F580EDC5D}
2016-02-01 03:53 - 2016-02-01 03:53 - 00005120 _____ C:\Users\admin\AppData\Roaming\GiftBag.db
2016-02-01 03:53 - 2016-02-01 03:52 - 00128312 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
2016-02-01 03:50 - 2016-02-01 03:50 - 00003246 _____ C:\WINDOWS\System32\Tasks\{2A90503F-5A6C-49CB-BE52-116ECB96B24D}
2016-02-01 03:45 - 2016-02-03 16:47 - 00000000 ____D C:\Users\admin\AppData\LocalLow\Company
2016-02-01 03:45 - 2016-02-01 03:45 - 00003406 _____ C:\WINDOWS\System32\Tasks\Wieqaw
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\Tempfolder
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


Essaye RepairDNS
Donne le rapport.
Refais un scan FRST derrière et donne les rapports via pjjoint.

0
Réponse 7 / 18
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
10 févr. 2016 à 18:19
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-02-2016
Exécuté par admin (2016-02-10 18:16:53) Run:1
Exécuté depuis C:\Users\admin\Desktop
Profils chargés: admin (Profils disponibles: admin & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTray.exe" /regrun
S2 Sieulmos; "C:\Users\admin\AppData\Roaming\LirrLoigbap\Yhexpus.exe" -cms [X]
2016-02-01 03:58 - 2016-02-01 03:58 - 00003244 _____ C:\WINDOWS\System32\Tasks\{B7F56E9B-C033-48B3-B504-4F8F580EDC5D}
2016-02-01 03:53 - 2016-02-01 03:53 - 00005120 _____ C:\Users\admin\AppData\Roaming\GiftBag.db
2016-02-01 03:53 - 2016-02-01 03:52 - 00128312 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
2016-02-01 03:50 - 2016-02-01 03:50 - 00003246 _____ C:\WINDOWS\System32\Tasks\{2A90503F-5A6C-49CB-BE52-116ECB96B24D}
2016-02-01 03:45 - 2016-02-03 16:47 - 00000000 ____D C:\Users\admin\AppData\LocalLow\Company
2016-02-01 03:45 - 2016-02-01 03:45 - 00003406 _____ C:\WINDOWS\System32\Tasks\Wieqaw
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\Tempfolder
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D
2016-02-01 03:45 - 2016-02-01 03:45 - 00000000 ____D C:\Users\admin\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108


HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ => valeur supprimé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ QQPCTray => valeur supprimé(es) avec succès
Sieulmos => service supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{B7F56E9B-C033-48B3-B504-4F8F580EDC5D} => déplacé(es) avec succès
C:\Users\admin\AppData\Roaming\GiftBag.db => déplacé(es) avec succès
C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\{2A90503F-5A6C-49CB-BE52-116ECB96B24D} => déplacé(es) avec succès
C:\Users\admin\AppData\LocalLow\Company => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\Wieqaw => déplacé(es) avec succès
C:\Users\admin\AppData\Local\Tempfolder => déplacé(es) avec succès
C:\Users\admin\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D => déplacé(es) avec succès
C:\Users\admin\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 => déplacé(es) avec succès

Fin de Fixlog 18:16:54

Je redémarre et j'essaie repairDNS
0
Réponse 8 / 18
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
10 févr. 2016 à 18:32
Je vois que pour utiliser repairDNS je dois désactiver Windows defender et je n'y arrive pas, ça me dit "Cette application est désactivée par la stratégie de groupe". C'est la première fois que je vois ça...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
10 févr. 2016 à 18:36
C'est l'infection que tu as mises qui a fait ça.
Windows Defender ne tourne pas.
0
Réponse 9 / 18
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
10 févr. 2016 à 18:45
Ok donc c'est fait et voilà le résultat:

FRST
https://pjjoint.malekal.com/files.php?id=FRST_20160210_11m11p5y12i9

Addition
https://pjjoint.malekal.com/files.php?id=20160210_w12o13g9l11p9

Shortcut
https://pjjoint.malekal.com/files.php?id=20160210_8e15f6k14x12
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
10 févr. 2016 à 18:48
et le rapport RepairDNS ?
0
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
10 févr. 2016 à 18:49
J'en ai pas eu
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629 > Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
10 févr. 2016 à 18:54
Pour le DISM, tente ça :

dans la barre de recherche
tape services.msc et ouvre le.
Cherche le service Appel de procédure distante (RPC)
Vérifie qu'il soit démarré, s'il ne l'est pas, clic droit Démarrer.

S'il parvient à Démarrer, refais la procédure de départ, DISM + Redémarrage + SFC.
0
Réponse 10 / 18
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
Modifié par Jack_Barron le 10/02/2016 à 18:50
En fait ça me met ça:

~ RepairDNS v2015.12.6.30 Nicolas Coolman (2015/12/06)
~ Run by admin (Administrator) (2016/02/10 18:49:31)
~ Site : https://nicolascoolman.eu
~ Windows 10 Home,X64 (Build 10586)

=======[ Microsoft Windows Defender Service ]
Le service est arrêté

=======[ Recherche des ressources dynamiques 32/64bits (DLL) ]
TROUVÉ: C:\WINDOWS\System32\dnsapi.dll [686984] =>Sain
TROUVÉ: C:\WINDOWS\SysWOW64\dnsapi.dll [535088] =>Hijacker.DNS.Hosts

=======[ Recherche de copie de ressource dynamique ]
TROUVÉ: C:\WINDOWS\winsxs\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_22114c18cd7ccd17\dnsapi.dll [686984] Microsoft Windows® =>Sain

=======[ Sélection de copie de ressource (Saine ---> Infectée) ]

=======[ Fin de traitement ]
0
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
10 févr. 2016 à 18:53
Et là je dois partir bosser donc je ne pourrai faire la suite que demain. En tout cas pour l'instant, merci beaucoup de m'aider !
0
Réponse 11 / 18
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
11 févr. 2016 à 17:45
L'appel de procédure à distance est en "automatique" et si je fais clique droit, tous les types de démarrage sont grisés, je ne peux rien sélectionner.
0
Réponse 12 / 18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
11 févr. 2016 à 17:54
Prends ce DNSApi.dll : http://www.malekal.com/fichiers_systeme/file/dnsapi_win10.dll
et tu le mets dans C:\WINDOWS\SysWOW64\ (pas system32 hein) à la place de celui existant.
Redémarre l'ordinateur
Refais un scan FRST et donne les rapports via pjjoint.
0
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
11 févr. 2016 à 17:59
Est ce qu'il faut que je le renomme pour qu'il le remplace ? Ou j'efface l'ancien dnsapi ? Ou Je le mets sur le bureau histoire de le garder quelque part au cas ou ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629 > Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
11 févr. 2016 à 18:00
renomme le oui ça permettra de revenir en arrière, si la connexion ne fonctionne plus au redémarrage.
0
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
11 févr. 2016 à 18:03
Désolé je vais peut être être un peu lourd mais je préfère que ce soit clair pour éviter de faire une connerie. J'efface le "_win10" du nom du dll que tu m'a passé pour qu'il remplace l'ancien qui s'appelle juste "dnsapi", c'est bien ça ?
0
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
11 févr. 2016 à 18:20
Bon, puisque tu ne réponds pas pour l'instant et que je suis assez pressé, je vais renommer le "dnsapi_win10" que tu m'as passé en "dnsapi" et l'ancien qui s'appelle "dnsapi" je vais le renommer "dnsapi_ancien" et le mettre à la corbeille pour l'avoir quelque part, j'espère que ça ira.
0
Réponse 13 / 18
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
11 févr. 2016 à 18:37
FRST
https://pjjoint.malekal.com/files.php?id=FRST_20160211_q13v5l15d12f7

Addition
https://pjjoint.malekal.com/files.php?id=20160211_d5z11l7z5d12

Shortcut
https://pjjoint.malekal.com/files.php?id=20160211_m14n7w12p11r5

J'ai mis l'ancien dnsapi sur le bureau
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
12 févr. 2016 à 10:25
Ca semble correct. Il est signé.
Du coup ça va mieux ?
0
Réponse 14 / 18
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
12 févr. 2016 à 16:33
Merci beaucoup !
Alors oui et non. En effet Adwcleaner me dit que plus rien n'est infecté mais lorsque j'essaie d'ouvrir une photo avec l'application photo, ça me dit tout toujours "Impossible d'ouvrir Photos à l'aide du compte Administrateur intégré. Connectez-vous à l'aide d'un autre compte, puis réessayez." Et je ne peux toujours pas ouvrir Windows Defender, ça me dit "Cette application est désactivée par la stratégie de groupe".
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
12 févr. 2016 à 18:01
Ce n'est pas lié à dnsapi.dll mais à l'adware.
Pour Windows defender, regarde là : impossible d'activer Windows Defender.

Pour :
"Impossible d'ouvrir Photos à l'aide du compte Administrateur intégré"

Voir : Impossible de lancer application avec administrateur intégré.
0
Réponse 15 / 18
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
12 févr. 2016 à 18:26
Pour les applications intégrées ça marche, merci beaucoup !
Par contre pour Windows Defender, je n'ai pas les entrées DisableAntiSpyware et DisableAntiVirus.

0
Réponse 16 / 18
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
12 févr. 2016 à 18:48
D'ailleurs dans services, impossible de démarrer Windows Defender, ça me met ceci:

0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
17 févr. 2016 à 14:26
Je ne pense pas pouvoir faire quelque chose pour remettre Windows Defender.
Tu peux installer Avast! ou AVG ?
0
Réponse 17 / 18
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
17 févr. 2016 à 17:22
J'ai par le passé déjà essayé Avast et AVG et j'ai eu toujours eu des problèmes avec (d'ailleurs on me les a fortement déconseillés).
Mon but est quand même que tout redevienne normal, comme avant.
J'ai lu sur plusieurs sites que je pouvais télécharger et installer gpedit.msc pour pouvoir gérer la stratégie de groupe comme sur un windows 10 pro, qu'en penses tu ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
17 févr. 2016 à 17:26
Ce n'est plus un problème de stratégie de groupe, le service ne se lance même pas.
On dirait que le pilote .sys a été modifié vu qu'il ne semble plus être signé.
0
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
17 févr. 2016 à 17:29
Et il n'y a pas moyen de voir ce qui a été modifié sur le pilote .sys ?
Sinon vers qui je devrais me tourner pour régler mon problème ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629 > Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
17 févr. 2016 à 17:42
Vérifie ces deux clefs quand même :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender

voir si tu n'as pas DisableAntiVirus à 1.
ou fais carremment une recherche sur DisableAntiVirus
0
Jack_Barron Messages postés 28 Date d'inscription vendredi 9 janvier 2015 Statut Membre Dernière intervention 17 février 2016
17 févr. 2016 à 18:15
Dans HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender j'ai en effet DisableAntiVirus que j'ai mis à 0 du coup et ça marche ! Parfait, merci énormément pour tout !!
0
Réponse 18 / 18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
17 févr. 2016 à 19:00
super =)


Quelques conseils :

Pour tenter de prévenir les sites malicieux, tu peux installer Blockulicious.

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Renforce la sécurité de ton Windows : Comment sécuriser mon Windows


0