Suite désinfection virus, DNS semble ne plus fonctionnerRésolu/Fermé

Question

Bonjour, 
Il y a environ 2 semaines, j'ai subit l'attaque d'un virus sur un ordinateur portable.
La désinfection a été faite à l'aide du site Nicolas Coolman, que je remercie énormément pour leur aide.
Avant d'effectuer la désinfection, j'avais renseigné les adresses des serveurs Free (mon FAI) dans la conf IP DNS. Cela avait permit d'utiliser le logiciel de messagerie (IncrediMail).
L'ordinateur en question est sous Windows 10 (migration d'un Win8.1).
La désinfection ayant supprimée Incredimail, je l'ai réinstallé mais le programme ne reconnaissait plus les deux adresses pop.free.fr et smtp.free.fr.
J'ai donc remis les options IP et DNS sur "Obtenir une adresse automatique", mais rien n'y fait.
Les installations de Google Chrome et Firefox sont impossibles.
Les applis Windows 10 fonctionnent tant qu'elles ne tentent pas de se connecter à un site.
Seul Edge fonctionne actuellement.
On dirait que tous les accès à Internet sont bloqués (quelque soit l'accès) sauf pour Edge.
Que puis-je faire ?
Merci d'avance pour votre aide.

juju666 · Answer

Salut,

La désinfection n'est donc pas terminée.

Fait ceci (même s'il t'a déjà été demandé de le faire sur le site de Nicolas): 

&#9654 Télécharge ici : AdwCleaner (de Xplode)

&#9654 Lance-le.

&#9654 Lis et accepte le contrat d'utilisation.

&#9654 Clique sur Scanner puis Nettoyer, et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans le répertoire AdwCleaner de ton disque dur ( C:\AdwCleaner\AdwCleaner[x].txt) ou son contenu s'il s'ouvre. 
 
A+

ObiFreD · Answer

Bonjour Juju666 et merci de prendre ma demande en compte.

En effet, AdwCleaner a trouvé quelque chose dans le registre.
Je n'ai pas supprimé les deux clés IM car l'utilisateur de cet ordi souhaite garder Incredimail (plis de 15 ans d'utilisation !..).
Par contre la dernière clé n'a pas été supprimée, je l'avais pourtant laissé cochée.
Je n'ai pas touché aux options.

Voici le contenu du rapport de AdwCleaner :

# AdwCleaner v5.010 - Rapport créé le 04/10/2015 à 21:22:21
# Mis à jour le 04/10/2015 par Xplode
# Base de données : 2015-10-04.3 [Locale]
# Système d'exploitation : Windows 10 Home  (x64)
# Nom d'utilisateur : Caro - CARO-PC
# Exécuté depuis : C:\Users\Caro\Desktop\adwcleaner_5.010.exe
# Option : Nettoyer
# Support : https://toolslib.net/forum

 [ Services ] *****
 [ Dossiers ] *****
 [ Fichiers ] *****
 [ Raccourcis ] *****
 [ Tâches planifiées ] *****
 [ Registre ] *****

[-] Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6265CAFB-2688-4AED-A8CD-9B1E7B451C85}
[-] Clé Supprimée : HKU\.DEFAULT\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}
[x] Clé Non Supprimée : HKCU\Software\IM
[-] Clé Supprimée : HKCU\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}
[x] Clé Non Supprimée : [x64] HKCU\Software\IM
[!] Clé Non Supprimée : [x64] HKCU\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}

 [ Navigateurs ] *****


:: Paramètres Winsock réinitialisés

########## EOF - C:\AdwCleaner\AdwCleaner[C11].txt - [1059 octets] ##########

Merci.

ObiFreD · Answer

Pardon, j'ai répondu en commentant ta réponse !..
Merci.

juju666 · Answer

Pas de soucis, j'ai réparé "le mal" qui n'était pas très grave ... ;-)

Oui, je sais pour IM, j'ai lu la désinfection que t'a proposé Bruno sur le site de Nicolas.

Remets/vérifie que tous les serveurs de noms (DNS) sont automatiques.
Suis le paragraphe "manuellement" : https://forum.malekal.com/viewtopic.php?t=48312&start=
PUIS ensuite vide le cache DNS et internet. 

~~

J'ai des doutes sur le fichier dnsapi.dll que tu as remis.

&#9654 Télécharge ici :SEAF.exe de C_XX 

&#9654 Lance-le, une fenêtre va s'ouvrir . 

&#x25CF Tape dnsapi.dll dans cette fenêtre  

&#x25CF Dans "[Options des fichiers]", choisis l'option MD5 pour "Calculer le checksum" et coche le bouton radio devant "Informations supplémentaires" 

&#9654 Clique sur "Lancer la rechercher" 
Patiente pendant la recherche. 
Une fenêtre avec un log.txt va s'afficher. 
&#9654 Copie/colle ce rapport dans ta prochaine réponse.

ObiFreD · Answer

Ok, pour le cache DNS.
Et voici le contenu du rapport de Seaf :

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 21:54:11 le 04/10/2015
4. 
5. Valeur(s) recherchée(s):
6. dnsapi.dll
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. 
13. ====== Fichier(s) ======
14. 
15. 
16. "C:\Windows\System32\dnsapi.dll" [ ARCHIVE | 680 Ko ]
17. TC: 04/10/2015,12:57:36 | TM: 10/07/2015,13:00:09 | DA: 04/10/2015,12:57:36
18. 
19. Hash MD5: C287D0E32771E3222A444DC527A29477
20. 
21. CompanyName: Microsoft Corporation
22. ProductName: Système d'exploitation Microsoft® Windows®
23. InternalName: dnsapi
24. OriginalFileName: dnsapi
25. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
26. ProductVersion: 10.0.10240.16384
27. FileVersion: 10.0.10240.16384 (th1.150709-1700)
28. 
29. =========================
30. 
31. 
32. "C:\Windows\System32\fr-FR\dnsapi.dll.mui" [ ARCHIVE | 81 Ko ]
33. TC: 10/07/2015,18:23:04 | TM: 10/07/2015,18:23:04 | DA: 10/07/2015,18:23:04
34. 
35. Hash MD5: FFAA35BE04409B641A78CCEB3A162DBD
36. 
37. CompanyName: Microsoft Corporation
38. ProductName: Système d'exploitation Microsoft® Windows®
39. InternalName: dnsapi
40. OriginalFileName: dnsapi
41. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
42. ProductVersion: 10.0.10240.16384
43. FileVersion: 10.0.10240.16384 (th1.150709-1700)
44. 
45. =========================
46. 
47. 
48. "C:\Windows\SysWOW64\dnsapi.dll" [ ARCHIVE | 680 Ko ]
49. TC: 04/10/2015,12:57:36 | TM: 10/07/2015,13:00:09 | DA: 04/10/2015,12:57:36
50. 
51. Hash MD5: C287D0E32771E3222A444DC527A29477
52. 
53. CompanyName: Microsoft Corporation
54. ProductName: Système d'exploitation Microsoft® Windows®
55. InternalName: dnsapi
56. OriginalFileName: dnsapi
57. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
58. ProductVersion: 10.0.10240.16384
59. FileVersion: 10.0.10240.16384 (th1.150709-1700)
60. 
61. =========================
62. 
63. 
64. "C:\Windows\SysWOW64\fr-FR\dnsapi.dll.mui" [ ARCHIVE | 81 Ko ]
65. TC: 10/07/2015,18:23:04 | TM: 10/07/2015,18:23:04 | DA: 10/07/2015,18:23:04
66. 
67. Hash MD5: FFAA35BE04409B641A78CCEB3A162DBD
68. 
69. CompanyName: Microsoft Corporation
70. ProductName: Système d'exploitation Microsoft® Windows®
71. InternalName: dnsapi
72. OriginalFileName: dnsapi
73. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
74. ProductVersion: 10.0.10240.16384
75. FileVersion: 10.0.10240.16384 (th1.150709-1700)
76. 
77. =========================
78. 
79. 
80. "C:\Windows\WinSxS\amd64_microsoft-windows-d..ient-core.resources_31bf3856ad364e35_10.0.10240.16384_fr-fr_c1c64b0f8ee370d7\dnsapi.dll.mui" [ ARCHIVE | 81 Ko ]
81. TC: 10/07/2015,18:22:54 | TM: 10/07/2015,18:22:54 | DA: 10/07/2015,18:22:54
82. 
83. Hash MD5: 3F8549F47D095105F568DE6DB5ED4370
84. 
85. CompanyName: Microsoft Corporation
86. ProductName: Système d'exploitation Microsoft® Windows®
87. InternalName: dnsapi
88. OriginalFileName: dnsapi
89. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
90. ProductVersion: 10.0.10240.16384
91. FileVersion: 10.0.10240.16384 (th1.150709-1700)
92. 
93. =========================
94. 
95. 
96. "C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10240.16384_none_9d8c256ebdd2e48a\dnsapi.dll" [ ARCHIVE | 680 Ko ]
97. TC: 10/07/2015,13:00:09 | TM: 10/07/2015,13:00:09 | DA: 10/07/2015,13:00:09
98. 
99. Hash MD5: C287D0E32771E3222A444DC527A29477
100. 
101. CompanyName: Microsoft Corporation
102. ProductName: Système d'exploitation Microsoft® Windows®
103. InternalName: dnsapi
104. OriginalFileName: dnsapi
105. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
106. ProductVersion: 10.0.10240.16384
107. FileVersion: 10.0.10240.16384 (th1.150709-1700)
108. 
109. =========================
110. 
111. 
112. "C:\Windows\WinSxS\Backup\amd64_microsoft-windows-d..ient-core.resources_31bf3856ad364e35_10.0.10240.16384_fr-fr_c1c64b0f8ee370d7_dnsapi.dll.mui_97465f8a" [ ARCHIVE | 10 Ko ]
113. TC: 10/07/2015,18:24:00 | TM: 24/09/2015,20:24:52 | DA: 24/09/2015,20:24:52
114. 
115. Hash MD5: B55DD08D59EB50B954FCA01E2563EAEE
116. 
117. 
118. =========================
119. 
120. 
121. "C:\Windows\WinSxS\Backup\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10240.16384_none_9d8c256ebdd2e48a_dnsapi.dll_c81f5791" [ ARCHIVE | 267 Ko ]
122. TC: 10/07/2015,13:04:42 | TM: 10/07/2015,14:53:52 | DA: 10/07/2015,14:53:52
123. 
124. Hash MD5: 3AAD3DD3FE151238A78AC7925A1D1987
125. 
126. 
127. =========================
128. 
129. 
130. "C:\Windows\WinSxS\Backup\wow64_microsoft-windows-d..ient-core.resources_31bf3856ad364e35_10.0.10240.16384_fr-fr_cc1af561c34432d2_dnsapi.dll.mui_97465f8a" [ ARCHIVE | 10 Ko ]
131. TC: 10/07/2015,18:23:59 | TM: 24/09/2015,20:26:19 | DA: 24/09/2015,20:26:19
132. 
133. Hash MD5: 095AF676CAD05CB248A1B194BDDBAC39
134. 
135. 
136. =========================
137. 
138. 
139. "C:\Windows\WinSxS\Backup\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10240.16384_none_a7e0cfc0f233a685_dnsapi.dll_c81f5791" [ ARCHIVE | 232 Ko ]
140. TC: 10/07/2015,13:04:43 | TM: 10/07/2015,14:55:56 | DA: 10/07/2015,14:55:56
141. 
142. Hash MD5: 40F5E5BFF000E02CBF400609D367DD83
143. 
144. 
145. =========================
146. 
147. 
148. "C:\Windows\WinSxS\wow64_microsoft-windows-d..ient-core.resources_31bf3856ad364e35_10.0.10240.16384_fr-fr_cc1af561c34432d2\dnsapi.dll.mui" [ ARCHIVE | 81 Ko ]
149. TC: 10/07/2015,18:23:04 | TM: 10/07/2015,18:23:04 | DA: 10/07/2015,18:23:04
150. 
151. Hash MD5: FFAA35BE04409B641A78CCEB3A162DBD
152. 
153. CompanyName: Microsoft Corporation
154. ProductName: Système d'exploitation Microsoft® Windows®
155. InternalName: dnsapi
156. OriginalFileName: dnsapi
157. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
158. ProductVersion: 10.0.10240.16384
159. FileVersion: 10.0.10240.16384 (th1.150709-1700)
160. 
161. =========================
162. 
163. 
164. "C:\Windows\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10240.16384_none_a7e0cfc0f233a685\dnsapi.dll" [ ARCHIVE | 534 Ko ]
165. TC: 10/07/2015,13:00:30 | TM: 10/07/2015,13:00:30 | DA: 10/07/2015,13:00:30
166. 
167. Hash MD5: BB5BBD0E4D04047585E4ED0F07AA51E7
168. 
169. CompanyName: Microsoft Corporation
170. ProductName: Système d'exploitation Microsoft® Windows®
171. InternalName: dnsapi
172. OriginalFileName: dnsapi
173. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
174. ProductVersion: 10.0.10240.16384
175. FileVersion: 10.0.10240.16384 (th1.150709-1700)
176. 
177. =========================
178. 
179. 
180. =========================
181. 
182. Fin à: 22:03:01 le 04/10/2015
183. 426615 Éléments analysés
184. 
185. =========================
186. E.O.F


Une indication peut-être utile, le fichier dnsapi.dll de l'ordinateur infecté datait du 17/09/2015 alors que tous les autres fichiers "dns*.*" dataient du 10/07/2015. Sur mon ordi (théoriquement non infecté, lui...), tous les fichiers dns* (y compris le dnsapi.dll) datent du 10/07/2015.
C'est pour ça que je l'avais remplacé dans system32 (pas de trace de ce fichier ailleurs).

juju666 · Answer

Oui mais non :p

Moi je mettrais celui-ci :

164. "C:\Windows\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10240.16384_none_a7e0cfc0f233a685\dnsapi.dll" [ ARCHIVE | 534 Ko ]
165. TC: 10/07/2015,13:00:30 | TM: 10/07/2015,13:00:30 | DA: 10/07/2015,13:00:30
166.
167. Hash MD5: BB5BBD0E4D04047585E4ED0F07AA51E7
168.
169. CompanyName: Microsoft Corporation
170. ProductName: Système d'exploitation Microsoft® Windows®
171. InternalName: dnsapi
172. OriginalFileName: dnsapi
173. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
174. ProductVersion: 10.0.10240.16384
175. FileVersion: 10.0.10240.16384 (th1.150709-1700) 
 
Dans C:\Windows\System32 & C:\Windows\SysWOW64

Avant de remplacer, renomme les dnsapi.dll présents dans ces dossiers en dnsapi.old par précaution.
Redémarre.

Tiens moi au jus.

ObiFreD · Answer

Ok... je vais essayer ça.
Je te tiens au jus demain en fin d'aprem'.
Merci encore pour ton aide.

juju666 · Answer

Ok, bonne nuit, à demain :)

ObiFreD · Answer

Bonjour Juju666,

Je viens de faire la manip'... et je suis heureux de t'annoncer que ça marche !!!
C'est super : le logiciel de messagerie a refonctionnait tout de suite après le redémarrage, j'ai pu réinstaller Chrome, et l'ordi a même reçu une mise à jour.
De plus, il est super rapide !..
Bon... je te remercie énormément, bien sûr, et je ne ferais plus l'erreur de copier des fichiers comme ça, sans savoir.
Et oui, nous ne sommes plus sous DOS, Windows 3.1, Win95 ou Win98 ;-) (j'ai 49 ans et j'ai commencé l'informatique en 1981) !..

D'après toi, dois-je repasser un petit coup de ADWCleaner ou d'un autre programme (ZHPCleaner, ZHPDiag,...) et un petit coup de Windows Defender, histoire de s'assurer que tout est OK ?

Encore merci.

juju666 · Answer

Salut,

Je suis super content pour toi :)
En fait tu n'avais pas replacé une bonne version du dnsapi.dll, tout simplement.
J'ai 22 ans, et ai commencé il y a 10 ans sur Windows XP avec le Spider Solitaire :p

Pour la désinfection, c'est OK à mon avis. 
Pour les programmes comme AdwCleaner ou ZHPCleaner, il faut les comparer à des antibiotiques. Utilisation sur recommandation d'un expert (les contributeurs sécurités ici sur ccm, comme moi) et les rapports d'outils de diagnostic tels que ZHPDiag ou FRST à comparer à des protocoles médicaux, à soumettre à analyse au médecin (encore une fois, les contrib' sécu sur ce site par exemple).

tu peux désinstaller tous les logiciels utilisé lors de la désinfection ou utiliser Delfix qui le fera à ta place : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

Pour ne plus que l'utilisateur de l'ordi en question se fasse avoir, lui faire lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

Bonne soirée, prudence et bon surf :)

ObiFreD · Answer

Tu m'as évité une réinstall complète, et c'est mieux ainsi.

En tout cas, je suis content de vérifier le vieil adage : "La valeur n'attend pas le nombre des années". ;-)
Encore un immense merci de ma part et de la part de l'utilisateur de l'ordi.

Nous allons être très prudents et c'est bon pour toute la famille !!! ;-)
J'ai trouvé la lecture PUPs/LIPs très intéressante...

Mille mercis et longue vie à ce forum ainsi qu'aux bénévoles qui l'animent.

Bonne soirée.

juju666 · Answer

Je clos le sujet :)

Have fun o/

Suite désinfection virus, DNS semble ne plus fonctionner

12 réponses

Discussions similaires

Newsletters