Virus ou autre change la résolution DNS GOOGLE

Résolu
teddy65 -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Un problème incompréhensible sauf virus ou autre.

Je suis en entreprise, sur un domaine Local NT (W2003) qui fourni par DHCP mes DNS locaux dont j'ai besoin pour les applis locales et extérieure.

Sur UN SEUL poste (les autres de la boite fonctionnent) un appel DNS sur www.google.fr ou www.google.com tombent en timeout.
Sur ce poste (comem tout les autres du LAN) les autres sites fonctionnent (facebook, yahoo ...) Ce qui est très étrange c'est que c'est essentiellement Google (et tous ses sites afférents comme www.google-analytics.com)

si je met dans le fichier hosts les adresses www.google.fr ou .com cela fonctionne évidement.

Sur les autres PC du LAN (heureusement) les sites Google sont résolus par mon DNS local.

J'ai fait un diagnostic avancé :
Dans le DNS cache de mon serveur NT Local ces sites sont bien renseignés (les autres postes du réseau accèdent bien à Google)

nslookup depuis mon PC sur un site autre réponds dans les temps mais pour www.google.fr j'ai la réponse
DNS request timed out.
timeout was 2 seconds.
*** Le délai de la requête sur Local.domain.com est dépassé


Toujours dans nslookup si je change de serveur par
server 8.8.8.8 (au hasard ;))
le résultat est bon ==> j'ai ouvert temporairement le FW pour laisser passer les trames UDP 53

J'ai tracé par wireShark les trame sur mon PC et là je suis tombé sur le C.....
Sur un site normal 2 paquets de trames puisqu'il lance une première résolution avec l'extension de mon domaine NT local par défaut et la seconde sans donc une bonne réponse de la part de mon DNS local .

Lorsque je lance la trace en faisant mon nslookup vers www.google.fr
Le premier paquet de trames part vers mon DNS local avec l'extension de mon domaine NT (donc erreur mais normal)
mais le second paquet de trames part vers un serveur Inconnu 80.90.48.89 ???

J'ai cherché sur le net mais pas trouvé de satané virus détournant Google !

je pense en effet qu'il y a sur ce PC un problème de une dll ou un exe infecté, mais aucun Scan virus ou malware ne m'en donne l'origine.
Car sinon je ne vois pas pourquoi le nslookup lui meme se fait berner.

J'ai évidemment balancé des scan virus et Adware, rien. Hihjack , rien. Scan de la base de registre toujours rien !!!!
Aucune référence Google exotique ou à 80.90.48.89 dans le registre.
Les clés de registre SYSTEM\CurrentControlSet\Services\Tcpip\ et SYSTEM\CurrentControlSet\Services\DNScaches sont correctes.

La config TCP/IP n'est pas 'cassée', supprimée et refaite à plusieurs reprises, Ipconfig /flush dns ne résout pas le PB,

Mais bon sang pourquoi il fait appel à un serveur DNS qui n'en est pas un :??: et qui n'est pas le mien ???

Actuellement ce PC tourne avec les adresses figée dans le hosts ça dépanne

Merci de votre aide
Ingé réseau en détresse

6 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Pour voir :

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.
    [*] Clic sur Suppression.
    Poste le rapport ici.

    !!! Je répète bien faire Suppression à droite et poster le rapport. !!!

    puis :

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    services.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    * Clique sur le bouton Analyse.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  2. teddy65
     
    Voici les rapports.

    http://pjjoint.malekal.com/files.php?id=20130703_q15l8o15h8n14
    http://pjjoint.malekal.com/files.php?id=20130703_t8c14s12t14g5
    http://pjjoint.malekal.com/files.php?id=20130703_l14d5m11v15h13

    Ne pas s'inquiéter du contenu du fichier Hosts, c'est moi qui l'ai renseigné comme indiqué au dessus.

    Je suis plutôt Inquiet du résultat du
    [color=#A23BEC]< nslookup www.google.fr /c >/color
    Serveur : mfp-2008.mfp2003.com
    Address: 172.16.13.1
    Nom : WWW.GOOGLE.FR
    Addresses: 173.194.34.183, 173.194.34.184, 173.194.34.191

    Alors q'un COmmande DOS j'ai :
    C:\>nslookup www.google.fr
    Serveur : mfp-2008.mfp2003.com
    Address: 172.16.13.1

    DNS request timed out.
    timeout was 2 seconds.
    *** Le délai de la requête sur mfp-2008.mfp2003.com est dépassé

    Alors que :
    C:\>nslookup www.yahoo.fr
    Serveur : mfp-2008.mfp2003.com
    Address: 172.16.13.1

    Réponse ne faisant pas autorité :
    Nom : any-rc.a01.yahoodns.net
    Addresses: 87.248.120.148, 77.238.178.122
    Aliases: www.yahoo.fr, rc.yahoo.com, rc.g01.yahoodns.net
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    RogueKiller a viré du ZeroAccess (ça peux expliquer le prb de Google).
    Il est possible qu'un driver soit patché.

    Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
    Fais Skip partout.
    Donne le rapport via http://pjjoint.malekal.com

    0
  4. teddy65
     
    Yessss !
    Il m'a trouvé et éliminé un Win32.Rloader.a
    Extrait du rapport :

    08:40:01.0594 2972 [ 72AA1E958055F1844A81C2B09C7038CC ] ACPI C:\WINDOWS\system32\DRIVERS\ACPI.sys
    08:40:01.0610 2972 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\ACPI.sys. Real md5: 72AA1E958055F1844A81C2B09C7038CC, Fake md5: E5E6DBFC41EA8AAD005CB9A57A96B43B
    08:40:01.0610 2972 ACPI ( Virus.Win32.Rloader.a ) - infected
    08:40:01.0610 2972 ACPI - detected Virus.Win32.Rloader.a (0)

    Après reboot et scan de vérif le Nslookup passe correctement !
    C:\>nslookup www.google.fr
    Serveur : mfp-2008.mfp2003.com
    Address: 172.16.13.1

    Réponse ne faisant pas autorité :
    Nom : www.google.fr
    Addresses: 173.194.34.191, 173.194.34.183, 173.194.34.184

    Merci beaucoup.

    Ingé réseaux rassuré.

    (Pouvez mettre en résolu.)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    :)

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

    ~~

    pis dans la mesure du possible, faudrait pas que l'utilisateur soit admin local.
    Ca éviterait qu'il pourrise la machine en entier.

    ~~

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  7. teddy65
     
    Merci pour ces conseils qui sont en fait les 'Best-Practice'.

    Le problèmes en entreprise est que des logiciels maisons ou même développé par des sociétés tierces pour nos applications métiers, ont besoin d'une version de Navigateur ou de Java définie.
    Lorsque ce sont de petite PME qui développent ce genre de produit sur mesure, ils n'arrive pas toujours à suivre les dernières versions des softs Grand Public.

    Avec un exemple c'est plus parlant : J'ai des softs qui ne marchent qu'avec IE inférieur à 10 et pas Chroem, Firefox et un autre Qui ne fonctionne qu'avec Firefox 3.6 et Java 1.6_24.

    Je vous raconte pas la mise a jour automatique qui a foutue la panique chez les utilisateurs parce que l'application ne marche plus.

    Il a fallut que je passe sur tous les postes pour Downgrader Java et Mozilla sans oublier d'interdire les mises à jours.

    En plus je me fait pourrir quand il y a un virus (comme celui-là) parce que la direction considère qu'un Anti-virus + firewall devrais TOUT protéger.
    Il n'est pas facile d'expliquer que le comportement de l'utilisateur y est pour beaucoup.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Ouaip je sais bien, on est tributaire des logiciels installés, pareil pour les droits admin.
      Pour Java au moins mettre la dernière version dans la branche 1.6, doit y avoir des vulnérabilités corrigées.

      Toute façon, les programmes qui utilisent les applets java; c'est un peu la merdouille :/
      0