Se connecter / S'enregistrer
Votre question
Résolu

Appel à l'aide PC infecté par win32:Patched-AWK

Tags :
  • Windows 10
  • Adware
  • Sécurité
Dernière réponse : dans Sécurité et virus
12 Mai 2016 15:05:52

Bonjour à tous,
Depuis 3 jours je cherche à éradiquer l'infection sur le PC de mon fils. Avast a détecté C:\windows\system32\dnsapi.dll infecté par win32: Patched-AWK[Trj]
Je pense qu'il a été infecté soit en surfant sur des sites louches ou en téléchargeant des logiciels gratuits. d'habitude j'arrive à le remettre en état mais là impossible. L'infection se répand, le seul accès internet possible maintenant c'est par Avast SafeZone Browser et même la réinitialisation systeme de Windows 10 ne marche plus. Si l'un des spécialistes du sujet peut m'aider merci d'avance mille fois.

Autres pages sur : appel aide infecte win32 patched awk

Meilleure solution

a c 287 8 Sécurité
12 Mai 2016 19:00:11

Bonjour,


1/

  • Télécharge et lance AdwCleaner (d'Xplode), choisis l'option "Scanner".

  • Une fois le scan terminé, choisis l'option Nettoyer.

  • Redémarre le PC comme demandé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ta réponse. Le rapport est enregistré dans C:\AdwCleaner sous le nom d'AdwCleaner[C?].



  • 2/

    • Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

      Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.

      32 ou 64 bits - Comment savoir ?

    • Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).

    • Coche la case Addition.txt.

    • Clique sur le bouton Analyser.

    • Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.

    • Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.
    partage
    Contenus similaires
    12 Mai 2016 20:25:58

    je pense que je dois coller le rapport ici,


    ~ RepairDNS v2016.3.24.1 Nicolas Coolman (2016/03/24)
    ~ Run by Portable (Administrator) (2016/05/12 20:22:40)
    ~ Site : http://www.nicolascoolman.fr
    ~ Windows 10 Pro,X86 (Build 10586)

    =======[ Microsoft Windows Defender Service ]
    Le service est arrêté

    =======[ Recherche des ressources dynamiques 32/64bits (DLL) ]
    TROUVÉ: C:\WINDOWS\System32\dnsapi.dll [535080] =>Hijacker.DNS.Hosts

    =======[ Recherche de copie de ressource dynamique ]
    TROUVÉ: C:\WINDOWS\winsxs\x86_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_a69641f9c9b72d32\dnsapi.dll [535080] Microsoft Windows® =>Sain
    TROUVÉ: C:\WINDOWS\winsxs\x86_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_c5f2b095151f5be1\dnsapi.dll [17764] =>Hijacker.DNS.Hosts

    =======[ Sélection de copie de ressource (Saine ---> Infectée) ]
    EQUIV: [535080] C:\WINDOWS\winsxs\x86_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_a69641f9c9b72d32\dnsapi.dll --> C:\WINDOWS\System32\dnsapi.dll

    =======[ Ressource désenregistrée ]
    DESENREGISTRÉ: C:\WINDOWS\System32\dnsapi.dll

    =======[ Reparation de la ressource dynamique (32/64Bits) ]
    REPARÉ: C:\WINDOWS\System32\dnsapi.dll WITH C:\WINDOWS\winsxs\x86_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.212_none_a69641f9c9b72d32\dnsapi.dll

    =======[ Ressource enregistrée ]
    ENREGISTRÉ: C:\WINDOWS\System32\dnsapi.dll

    =======[ Vérification de la nouvelle ressource ]
    TROUVÉ: C:\WINDOWS\System32\dnsapi.dll [535080] Microsoft Windows® =>Désintecté

    =======[ Veuillez redémarrer votre ordinateur ]

    =======[ Fin de traitement ]
    m
    0
    l
    12 Mai 2016 20:29:01

    Est-ce que je dois redémarrer l'ordi comme l'indique le rapport?
    J'attends ta confirmation
    m
    0
    l
    a c 287 8 Sécurité
    12 Mai 2016 20:43:44

    Oui, le fichier dnsapi.dll est désinfecté.
    m
    0
    l
    12 Mai 2016 21:17:22

    Génial Edge fonctionne et l'ordi a l'air de se comporter normalement.
    Une dernière question; est-ce que je dois purger les points de restauration?
    Merci mille fois vous êtes vraiment extraordinaire, je ne m'en serai jamais sorti sans votre aide.
    m
    0
    l
    a c 287 8 Sécurité
    12 Mai 2016 23:50:25

    Ok ;) 

    On va le faire avec DelFix à la fin.

    Ton fichier Hosts a été modifié par un adware, réinitialise-le avec RstHosts :
    https://toolslib.net/downloads/viewdownload/15-rsthosts...

    • Ouvre le Bloc-notes.
    • Copie-colle le texte encadré ci-dessous dans le Bloc-notes :

      start
      CloseProcesses:
      CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
      FF DefaultSearchEngine: Default
      FF SelectedSearchEngine: Default
      FF Extension: Steel Cut 1.0.1 - C:\Users\Portable\AppData\Roaming\Mozilla\Firefox\Profiles\l0zyesio.default-1460156490395\extensions\{70a4c800-edd9-47c0-9930-cb47914564f9}.xpi [2016-04-27] [non signé]
      FF Extension: Pas de nom - C:\Users\Portable\AppData\Roaming\Mozilla\Firefox\Profiles\l0zyesio.default-1460156490395\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [non trouvé(e)]
      FF Extension: Search and New Tab by Yahoo - C:\Users\Portable\AppData\Roaming\Mozilla\Firefox\Profiles\l0zyesio.default-1460156490395\Extensions\jid1-16aeif9OQIRKxA@jetpack.xpi [2016-05-07]
      FF Extension: Search New Window - C:\Users\Portable\AppData\Roaming\Mozilla\Firefox\Profiles\l0zyesio.default-1460156490395\Extensions\{359dcfd2-d294-4de2-96a9-cf796a402d7f}.xpi [2016-04-29] [non signé]
      CHR HKLM\...\Chrome\Extension: [blmlepcapjlbgcpkdlffnhibhpecongp] - hxxps://clients2.google.com/service/update2/crx
      S2 Jawtolrhli Updater; pas de ImagePath
      S2 pdmPQjPd; pas de ImagePath
      S2 Samqi; pas de ImagePath
      C:\Users\Portable\Downloads\HDVideoPlayer [1].exe
      C:\ProgramData\msiql.exe.lnk
      C:\Program Files\MenrumtiUn
      C:\Program Files\Menrumti
      C:\Program Files\JawtolrhliUn
      C:\Users\Portable\AppData\Roaming\InstallationConfiguration.xml
      C:\Users\Portable\AppData\Roaming\Installer.dat
      C:\WINDOWS\system32\xis
      C:\WINDOWS\system32\Drivers\TAOKernelEx.sys
      C:\Users\Public\Thunder Network
      C:\ProgramData\Thunder Network
      C:\ProgramData\Lavasoft
      C:\ProgramData\Windows Update
      C:\ProgramData\xdo.zip
      C:\ProgramData\webad.xml
      C:\Users\Portable\AppData\Roaming\download
      C:\WINDOWS\systwin.exe
      C:\Users\Portable\AppData\Roaming\Dullokjydi
      C:\Users\Portable\AppData\LocalLow\Company
      C:\uninst
      C:\Users\Public\Documents\dmp
      C:\Users\Portable\AppData\Local\Tempfolder
      C:\WINDOWS\rsrcs.dll
      C:\Program Files\comoBoss
      C:\Program Files\Caster
      C:\Users\Portable\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chromium.lnk
      C:\Users\Portable\Desktop\Chromium.lnk
      C:\Users\Portable\AppData\Local\Chromium
      C:\Users\Portable\AppData\Roaming\{7DC99407-8B07-A5F9-3912-1F5F13D5E38A}
      C:\Users\Portable\AppData\Local\{9D33AB6F-B99B-C7D7-D403-E23FF06B1EA7}
      C:\Users\Portable\Downloads\format-factory [1].exe
      C:\Users\Portable\Downloads\FFInstOnline.exe
      C:\Users\Portable\Downloads\formatfactory_3-9-0-0_fr_223920.exe
      C:\Users\Portable\Downloads\FFSetup3.8.0.0.exe
      C:\ProgramData\xcgui_debug.txt
      C:\ProgramData\webad.xml
      C:\ProgramData\xdo.zip
      C:\Users\Portable\AppData\Roaming\xldl.dll
      C:\Users\Portable\AppData\Roaming\yeaplayer_51498.exe
      C:\ProgramData\a.bat
      C:\ProgramData\adb.exe
      C:\ProgramData\fastboot.exe
      Task: {70471265-798c-4b3d-ba4e-894056a719c4} - pas de chemin du fichier
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdp32.sys => ""="Driver"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdp32.sys => ""="Driver"
      FirewallRules: [{47A4B0FD-8095-49AC-9FF9-4B2903E781C1}] => (Allow) C:\Users\Portable\AppData\Local\Chromium\Application\chrome.exe
      FirewallRules: [{108F0313-4D7D-4A22-8521-0A830A244F28}] => (Allow) c:\users\portable\appdata\roaming\download\MiniThunderPlatform.exe
      FirewallRules: [{61CE7FCA-F1C9-465B-8F02-2B0B0221D240}] => (Allow) c:\users\portable\appdata\roaming\download\MiniThunderPlatform.exe
      Reg: reg delete "HKU\S-1-5-21-2756167149-1484189946-3607318380-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Chromium" /f
      Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d35e5e88-e5b8-447f-b6f4-66bc7aa638d1}" /f
      end

    • Enregistre le fichier au même endroit que le programme FRST sous le nom fixlist.txt
    • Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
    • Clique sur Corriger. Patiente le temps de la correction.

      Note : si l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement, l'outil terminera son travail.

    • Une fois la correction terminée, un rapport Fixlog.txt sera présent sur le Bureau.
    • Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
    m
    0
    l
    13 Mai 2016 12:28:29

    Bonjour Destrio5,
    Désolé je croyais que la réparation était terminée et je n'ai vu ta réponse que ce matin. Entre temps j'avais fait un passage de MalwareBytes et un scan Avast au démarrage
    J'ai fait ce matin les opérations indiquées et voici le lien vers le rapport Fixlog.txt
    m
    0
    l
    a c 287 8 Sécurité
    13 Mai 2016 13:18:53

    Si tu as des soucis avec un navigateur Internet, réinitialise-le aussi :
    http://www.commentcamarche.net/faq/26679-reinitialiser-...

    Pour finir :


    1/

    * Lance CCleaner. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures puis dans Surveillance, décoche les deux cases.
    * Va dans Nettoyeur et lance le nettoyage.


    2/

    ---> Télécharge DelFix sur ton Bureau puis lance-le.
    * Coche Purger la restauration système et laisse Supprimer les outils de désinfection coché.
    * Clique sur Exécuter.
    * Poste le rapport.


    ==Prévention==

    Désinstalle Java 8 Update 77, garde seulement la dernière version.

    Adware Prevention permet de t'entraîner à ne pas accepter de PUPs / adwares lors d'installations de logiciels :
    http://security-x.fr/~guigui0001/

    http://www.malekal.com/2011/07/27/detection-puplpi-pote...

    Un dossier sur la prévention et sécurité sur Internet est disponible ici.
    m
    0
    l
    13 Mai 2016 14:00:52

    voici le rapport. Dis moi si la réparation est terminée. Mon fils est super content il n'avait plus d'ordi. Merci pour tout
    # DelFix v1.013 - Rapport créé le 13/05/2016 à 13:54:20
    # Mis à jour le 17/04/2016 par Xplode
    # Nom d'utilisateur : Portable - PORTABLE-PC
    # Système d'exploitation : Windows 10 Pro (32 bits)

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\FRST
    Supprimé : C:\AdwCleaner
    Supprimé : C:\AdwCleaner[R1].txt
    Supprimé : C:\AdwCleaner[S1].txt
    Supprimé : C:\logFile.txt
    Supprimé : C:\logFileUI.txt
    Supprimé : C:\RstHosts.txt
    Supprimé : C:\Users\Portable\Desktop\Addition.txt
    Supprimé : C:\Users\Portable\Desktop\AdwCleaner[C3].txt
    Supprimé : C:\Users\Portable\Desktop\Fixlog.txt
    Supprimé : C:\Users\Portable\Desktop\FRST.txt
    Supprimé : C:\Users\Portable\Downloads\Addition.txt
    Supprimé : C:\Users\Portable\Downloads\adwcleaner_5.116.exe
    Supprimé : C:\Users\Portable\Downloads\Fixlog.txt
    Supprimé : C:\Users\Portable\Downloads\FRST.exe
    Supprimé : C:\Users\Portable\Downloads\FRST.txt
    Supprimé : C:\Users\Portable\Downloads\rsthosts_2.0.exe

    ~ Purge de la restauration système ...

    Supprimé : RP #14 [Windows Update | 05/13/2016 10:47:39]

    Nouveau point de restauration créé !

    ########## - EOF - ##########
    m
    0
    l
    a c 287 8 Sécurité
    13 Mai 2016 16:58:08

    Ok pour DelFix.

    De mon côté, c'est bon ;) 
    m
    0
    l
    13 Mai 2016 17:02:39

    Super encore merci et bon week end
    m
    0
    l
    a c 287 8 Sécurité
    13 Mai 2016 17:04:12

    Bon week-end à vous aussi.
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS