Votre question
Résolu

PC Infecte Trojan Win32 Patched AP

Tags :
  • PC
  • Trojan
  • Sécurité
  • DNS
  • Adware
Dernière réponse : dans Sécurité et virus
4 Octobre 2015 11:10:41

Bonjour
Depuis 2 3 jours, impossible de me connecter sur internet via Chrome et Firefox quand j essaie Windows defender me laisse un message votre pc est infecté avec le Trojan Patched AP. Impossible également de lancer mon antivirus, malwarebytes etc
Par contre, je peux me connecter via microsof edge.
Pour remédier a cela, j'ai effectuer une restauration, réinstaller Chrome et Firefox, sans succes puisque le PC m'indique qu'il y a pas de connexion internet (Pbs DNS)
Merci pour votre aide

Autres pages sur : infecte trojan win32 patched

a c 628 8 Sécurité
4 Octobre 2015 18:54:59

Bonsoir,

à faire depuis Edge donc :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

Clique ici pour la version 32 bits
Clique ici pour la version 64 bits


Info : comment savoir quelle version j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
  • Clique sur le bouton Analyser.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    Contenus similaires
    a c 628 8 Sécurité
    5 Octobre 2015 14:27:03

    Re,

    Grosse infection donc, faudrait être plus prudent sur le net ...

    C'est un PC pro ?
    Tu as les droits pour que j'intervienne dessus ? Avec les risques liées ? (pertes de documents, etc ...)
    Des sauvegardes sont faite régulièrement ?

    Sinon, faut me prévenir et ne pas faire la suite de la procédure !

    Citation :
    2015-10-03 19:10 - 2015-10-04 13:15 - 00015142 _____ C:\Users\Groupe&Découverte\Downloads\Tous les logiciels Adobe CC 2015 pour Windows + Patch valable pour Adobe CC 2015.htm


    Et faut pas s'étonner d'être infecté avec ce type de comportement ....

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - Trojan Remover 6.9.3 (inutile, la preuve, tu es ici)
    - Sophos Anti-Rootkit 1.5.0 (idem)
    - Wise Care 365 3.83 (peu ou pas utile, comme tous les optimiseurs)
    - Wise Force Deleter 1.21 (idem)
    - Wise Memory Optimizer 3.34 (idem)
    - Wise System Monitor 1.29 (idem)

    ~~~~~~~~~~~~~~~~~~~~~~~~~~


    2)
    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      CreateRestorePoint:
      CloseProcesses:
      HKU\S-1-5-21-4188904716-36029374-526096675-1002\...\RunOnce: [Uninstall C:\Users\Groupe&D?couverte\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Groupe&Découverte\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64"
      HKU\S-1-5-21-4188904716-36029374-526096675-1002\...\RunOnce: [Uninstall C:\Users\Groupe&D?couverte\AppData\Local\Microsoft\OneDrive\17.3.5907.0716] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Groupe&Découverte\AppData\Local\Microsoft\OneDrive\17.3.5907.0716"
      SearchScopes: HKLM -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL =
      SearchScopes: HKU\.DEFAULT -> {D944BB61-2E34-4DBF-A683-47E505C587DC} URL =
      SearchScopes: HKU\S-1-5-21-4188904716-36029374-526096675-1002 -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL =
      CHR HKU\S-1-5-21-4188904716-36029374-526096675-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
      S3 MEMSWEEP2; C:\WINDOWS\system32\4F7F.tmp [6144 2009-06-18] (Sophos Plc) [Fichier non signé]
      S0 hrkbwd; System32\drivers\bqamscpr.sys [X]
      2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Groupe&Découverte\AppData\Roaming\6EOfh1JgQ
      2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Groupe&Découverte\AppData\Roaming\IjBQbrTIoOW4xHV884spe6FJju
      2015-08-21 17:43 - 2015-08-21 17:43 - 0000187 _____ () C:\Users\Groupe&Découverte\AppData\Local\Qvojoplus.exe.config
      cmd: sfc /scannow
      cmd: ipconfig /flushdns
      Removeproxy:
      EmptyTemp:
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
    • Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction

    • Le pc va demander à redémarrer, accepte.
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
    m
    1
    l
    5 Octobre 2015 20:11:22

    Salut
    Voici le rapport http://up.security-x.fr/file.php?h=R5dde98ea123095a9f17...
    effectivement je telecharge mais honnêtement mon PC etait super protégé Avira, Malwarebytes, Firewall etc etc
    Ce nest pas la suite Adobe que tu citais qui a causer cela, le site est fiable vraiment et j'etais déjà vérolé le 04 jour de son installation
    En tout les cas merci pour ton aide, tu me diras pour la suite de la procédure et si les dégâts ne sont pas trop importants
    Le rapport faisait reference a 1.6 Go de perte de données ?
    Ps jai bien tout sauvegarder sur un disque externe avant de faire la manipulation
    m
    0
    l
    a c 628 8 Sécurité
    5 Octobre 2015 20:59:55

    Re,

    Citation :
    effectivement je telecharge mais honnêtement mon PC etait super protégé Avira, Malwarebytes, Firewall etc etc


    Et pourtant tu as été infecté.
    Pourquoi ?
    Parce que le risque majeur, c'est le risque humain.

    Citation :
    Ce nest pas la suite Adobe que tu citais qui a causer cela, le site est fiable vraiment et j'etais déjà vérolé le 04 jour de son installation


    Là n'est pas la question :
    - C'est un comportement à risque
    - C'est illégal

    Citation :
    Le rapport faisait reference a 1.6 Go de perte de données ?


    Non, de nettoyage de fichier temporaire donc normalement inutile (restes d'installation, de suppression, etc ...)

    ~~~~~~~~~~~~~~

    Pour vérifier si c'est ok, à refaire :

    Relance FRST :

    • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
    • Coche l'option Addition.txt en bas de la fenêtre.
    • Clique sur le bouton Analyser.
    • L'outil va créer les rapports nommés FRST.txt et Addition.txt, enregistré dans le même dossier que l'outil.


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    a c 628 8 Sécurité
    6 Octobre 2015 15:31:55

    Re,

    L'infection est toujours là, la première correction n'a pas suffit à remettre les bons fichiers système.

    Par contre ce serait bien de ne pas installer d'autres programmes pendant que nous travaillons ensemble, et surtout pas d'autres outils de sécurité !
    Donc, merci de désinstaller tous les anti-virus et autres anti-trucs dont tu n'as pas l'utilité.
    Ne conserve que ton antivirus habituel

    à suivre :

    Télécharge ce dossier comprenant deux copies saines des fichiers infectés :
    http://www.petit-fichier.fr/2015/10/06/dnsapi/

    Décompresse le dossier "DNSapi" (clic-droit -> extraire tout)

    Copie respectivement :
    - le fichier DNSapi.dll du dossier "system32" dans :
    C:\WINDOWS\system32

    - le fichier DNSapi.dll du dossier "SYSWOW64" dans :
    C:\WINDOWS\SysWOW64

    Valide à chaque fois la suppression de l'ancien fichier par ce nouveau.

    ~~~~~~~~~~

    Une fois cela effectué, merci de refaire ceci :

    Relance FRST :

    • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
    • Coche l'option Addition.txt en bas de la fenêtre.
    • Clique sur le bouton Analyser.
    • L'outil va créer les rapports nommés FRST.txt et Addition.txt, enregistré dans le même dossier que l'outil.


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    6 Octobre 2015 17:22:13

    Impossible de copie colle les dll en question
    J'ai un message erreur m'indiquant cette action ne peut pas etre réalisée car le dossier ou l'un des fichiers est ouvert dans un autre programme
    m
    0
    l
    6 Octobre 2015 17:35:10

    J ai essayer de dezipper les deux dll directement sur les 2 dossiers System 32 et SysWOW64 message erreur également
    m
    0
    l
    a c 628 8 Sécurité
    6 Octobre 2015 17:39:33

    Re,

    Ok, indique-moi juste l'emplacement où tu as décompressé le dossier s'il te plait.
    (bureau, dossier "téléchargement", etc ...

    Si possible décompresse le dossier en question sur ton bureau si ce n'est pas le cas.

    m
    0
    l
    6 Octobre 2015 18:12:23

    Jai essayer en dezippant les dll sur le bureau mais j'ai le meme message d'erreur ,"Cette action ne ....."
    m
    0
    l
    a c 628 8 Sécurité
    6 Octobre 2015 18:35:33

    Re,

    Doucement, c'est moi qui fait la suite de la procédure.
    Tu m'as indiqué l'erreur et répondu à ma question, attend que je te donne la suite.

    Donc, à suivre :

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      CreateRestorePoint:
      CloseProcesses:
      Replace: C:\Users\Groupe&Découverte\Downloads\DNSapi\Sytem32\Sytem32\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
      Replace: C:\Users\Groupe&Découverte\Downloads\DNSapi\SysWOW64\SysWOW64\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll
      EmptyTemp:
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
    • Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction

    • Le pc va demander à redémarrer, accepte.
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
    m
    0
    l
    a c 628 8 Sécurité
    6 Octobre 2015 19:07:36

    Re,

    A priori, les fichiers décompressé ne sont pas dans le dossier "téléchargement" comme tu me l'as dis ...

    Refais-moi juste ça en mode normal que je vois où tu les as décompressé ...

    Relance FRST :

    • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
    • Coche l'option Addition.txt en bas de la fenêtre.
    • Clique sur le bouton Analyser.
    • L'outil va créer les rapports nommés FRST.txt et Addition.txt, enregistré dans le même dossier que l'outil.


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    a c 628 8 Sécurité
    6 Octobre 2015 19:39:49

    Re,

    Bon, mine de rien, au moins l'un des deux est déjà remplacé, c'est pas si mal ... ;) 

    J'en vois un qui a été copié, mais pas au bon endroit, pour voir :

  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

    start
    CreateRestorePoint:
    CloseProcesses:
    replace: C:\WINDOWS\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
    EmptyTemp:
    end


  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
  • Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction

  • Le pc va demander à redémarrer, accepte.
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

    /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
  • [/list]
    m
    0
    l
    a c 628 8 Sécurité
    6 Octobre 2015 20:48:55

    Re,

    Ok, on va voir si tout c'est bien passé :

    Relance FRST :

    • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
    • Coche l'option Addition.txt en bas de la fenêtre.
    • Clique sur le bouton Analyser.
    • L'outil va créer les rapports nommés FRST.txt et Addition.txt, enregistré dans le même dossier que l'outil.


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    a c 628 8 Sécurité
    7 Octobre 2015 15:08:42

    Re,

    Parfait, les fichiers sont en place.

    Pour réparer la connexion à présent :

    Télécharge Windows Repair (de Tweaking.com) sur ton bureau.

    Info : si le téléchargement ne démarre pas automatique, clique ici :
    http://www.tweaking.com/content/page/windows_repair_all...
    Puis choisi : Installer (x.xx MB) => Direct Download


  • Double-Clic dessus pour l'installer puis lance-le.
    (Utilisateur de Vista/Windows 7/8/8.1 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Va directement à l'onglet Start Repairs (à la fin)
  • Clique sur le bouton"Start"
  • Dans la fenêtre suivante, coche exactement ces options :


  • Clique enfin sur "Start" en bas à droite.
  • Redémarre le pc s'il ne le fait pas automatiquement.
    m
    0
    l
    a c 628 8 Sécurité
    7 Octobre 2015 19:13:50

    Re,

    Ok, comment se comporte ton pc à présent ?

    As-tu retrouvé la connexion ? (après redémarrage au besoin si cela n'a pas été fait depuis le passage de Windows Repair)
    m
    0
    l
    7 Octobre 2015 19:25:31

    Tres tres bien jai pu installer chrome, Firefox etc
    Je te remercie VRAIMENT du temps pris et de la clarté de tes explications
    CHAPEAU !!!
    m
    0
    l

    Meilleure solution

    a c 628 8 Sécurité
    7 Octobre 2015 21:03:40

    Re,

    Le seul souci était que les fichiers patchés par l'infection n'étaient pas présent, de manière saine sur ton système. C'est le problème sous Windows 10.

    Pour conclure :

    Télécharge DelFix (de Xplode) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Ne touche pas aux options cochées
  • Coche en plus "Purger la restauration système"
  • Clique sur le bouton "Exécuter"
  • Laisse travailler l'outil.
  • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.

    ~~~~~~~~~~

    Mise à jour du système et des logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7/8 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java 8 Update 45

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    (pense à ne pas accepter les offres comme McAfee security scan ou Chrome)


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

    ##############


    Prévention :

    Ton PC a été infecté par des adwares, à savoir des logiciels potentiellement indésirables qui se mettent en place lors des installations de logiciels.

    Il faut donc que les utilisateurs de ce PC veillent à ne pas donner leur accord pour que ceux-ci s'installent lors des installations de logiciels (en décochant par exemple les cases précochées qui autorisent l'installation d'un moteur de recherche).

    Pour éviter de te faire réinfecter par des adwares à l'avenir, entraîne-toi à ne pas tomber dans leurs pièges en utilisant cet outil :

    Télécharge Adware Prevention (de guigui0001) sur ton bureau.

    Sous IE9, IE10, IE11 et Windows 8 le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    • Lance-le en double-cliquant sur Adware_Prevention.exe
    • Cet outil va simuler une installation sponsorisée par des adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
    • A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.

      Tutoriel en images

    • Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !


  • Note : cet outil pédagogique tant à évoluer en permanence, n'hésite pas à remonter les problèmes rencontrés ou les suggestions pour son amélioration

    ~~~~~~~~~~~~~~~~~~~~

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire ! et à lire

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : Ghostery ou Scriptsafe ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux utiliser un outil comme SXCU pour vérifier occasionnellement les mises à jour disponibles pour les principaux logiciels/plugins.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !

    Tu peux indiquer ton sujet "réglé" en validant avec "Sélectionner comme meilleure solution" (en bas à gauche de ce message), ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    partage
    17 Novembre 2015 03:10:21

    bonsoir, j'ai le meme soucis, si tu pourrais m'aider.
    en fait moi la connexion existe, mais je n'arrive pas à ouvrir internet via un explorer internet
    normalement le trojan patched.ao n'est plus sur le pc. mais j'aimerai avoir ton avis d'expert.
    en te remerciant d'avance
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS