Virus ou autre change la résolution DNS GOOGLE [Résolu/Fermé]

Signaler
-
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
-
Bonjour,

Un problème incompréhensible sauf virus ou autre.

Je suis en entreprise, sur un domaine Local NT (W2003) qui fourni par DHCP mes DNS locaux dont j'ai besoin pour les applis locales et extérieure.

Sur UN SEUL poste (les autres de la boite fonctionnent) un appel DNS sur www.google.fr ou www.google.com tombent en timeout.
Sur ce poste (comem tout les autres du LAN) les autres sites fonctionnent (facebook, yahoo ...) Ce qui est très étrange c'est que c'est essentiellement Google (et tous ses sites afférents comme www.google-analytics.com)

si je met dans le fichier hosts les adresses www.google.fr ou .com cela fonctionne évidement.

Sur les autres PC du LAN (heureusement) les sites Google sont résolus par mon DNS local.


J'ai fait un diagnostic avancé :
Dans le DNS cache de mon serveur NT Local ces sites sont bien renseignés (les autres postes du réseau accèdent bien à Google)

nslookup depuis mon PC sur un site autre réponds dans les temps mais pour www.google.fr j'ai la réponse
DNS request timed out.
timeout was 2 seconds.
*** Le délai de la requête sur Local.domain.com est dépassé


Toujours dans nslookup si je change de serveur par
server 8.8.8.8 (au hasard ;))
le résultat est bon ==> j'ai ouvert temporairement le FW pour laisser passer les trames UDP 53


J'ai tracé par wireShark les trame sur mon PC et là je suis tombé sur le C.....
Sur un site normal 2 paquets de trames puisqu'il lance une première résolution avec l'extension de mon domaine NT local par défaut et la seconde sans donc une bonne réponse de la part de mon DNS local .

Lorsque je lance la trace en faisant mon nslookup vers www.google.fr
Le premier paquet de trames part vers mon DNS local avec l'extension de mon domaine NT (donc erreur mais normal)
mais le second paquet de trames part vers un serveur Inconnu 80.90.48.89 ???

J'ai cherché sur le net mais pas trouvé de satané virus détournant Google !

je pense en effet qu'il y a sur ce PC un problème de une dll ou un exe infecté, mais aucun Scan virus ou malware ne m'en donne l'origine.
Car sinon je ne vois pas pourquoi le nslookup lui meme se fait berner.

J'ai évidemment balancé des scan virus et Adware, rien. Hihjack , rien. Scan de la base de registre toujours rien !!!!
Aucune référence Google exotique ou à 80.90.48.89 dans le registre.
Les clés de registre SYSTEM\CurrentControlSet\Services\Tcpip\ et SYSTEM\CurrentControlSet\Services\DNScaches sont correctes.

La config TCP/IP n'est pas 'cassée', supprimée et refaite à plusieurs reprises, Ipconfig /flush dns ne résout pas le PB,


Mais bon sang pourquoi il fait appel à un serveur DNS qui n'en est pas un :??: et qui n'est pas le mien ???

Actuellement ce PC tourne avec les adresses figée dans le hosts ça dépanne


Merci de votre aide
Ingé réseau en détresse


6 réponses

Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 299
Salut,

Pour voir :

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

puis :


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Voici les rapports.

http://pjjoint.malekal.com/files.php?id=20130703_q15l8o15h8n14
http://pjjoint.malekal.com/files.php?id=20130703_t8c14s12t14g5
http://pjjoint.malekal.com/files.php?id=20130703_l14d5m11v15h13

Ne pas s'inquiéter du contenu du fichier Hosts, c'est moi qui l'ai renseigné comme indiqué au dessus.

Je suis plutôt Inquiet du résultat du
[color=#A23BEC]< nslookup www.google.fr /c >/color
Serveur : mfp-2008.mfp2003.com
Address: 172.16.13.1
Nom : WWW.GOOGLE.FR
Addresses: 173.194.34.183, 173.194.34.184, 173.194.34.191

Alors q'un COmmande DOS j'ai :
C:\>nslookup www.google.fr
Serveur : mfp-2008.mfp2003.com
Address: 172.16.13.1

DNS request timed out.
timeout was 2 seconds.
*** Le délai de la requête sur mfp-2008.mfp2003.com est dépassé

Alors que :
C:\>nslookup www.yahoo.fr
Serveur : mfp-2008.mfp2003.com
Address: 172.16.13.1

Réponse ne faisant pas autorité :
Nom : any-rc.a01.yahoodns.net
Addresses: 87.248.120.148, 77.238.178.122
Aliases: www.yahoo.fr, rc.yahoo.com, rc.g01.yahoodns.net
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 299
RogueKiller a viré du ZeroAccess (ça peux expliquer le prb de Google).
Il est possible qu'un driver soit patché.

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais Skip partout.
Donne le rapport via http://pjjoint.malekal.com

Yessss !
Il m'a trouvé et éliminé un Win32.Rloader.a
Extrait du rapport :

08:40:01.0594 2972 [ 72AA1E958055F1844A81C2B09C7038CC ] ACPI C:\WINDOWS\system32\DRIVERS\ACPI.sys
08:40:01.0610 2972 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\ACPI.sys. Real md5: 72AA1E958055F1844A81C2B09C7038CC, Fake md5: E5E6DBFC41EA8AAD005CB9A57A96B43B
08:40:01.0610 2972 ACPI ( Virus.Win32.Rloader.a ) - infected
08:40:01.0610 2972 ACPI - detected Virus.Win32.Rloader.a (0)


Après reboot et scan de vérif le Nslookup passe correctement !
C:\>nslookup www.google.fr
Serveur : mfp-2008.mfp2003.com
Address: 172.16.13.1

Réponse ne faisant pas autorité :
Nom : www.google.fr
Addresses: 173.194.34.191, 173.194.34.183, 173.194.34.184



Merci beaucoup.

Ingé réseaux rassuré.

(Pouvez mettre en résolu.)
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 299
:)

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web



~~

pis dans la mesure du possible, faudrait pas que l'utilisateur soit admin local.
Ca éviterait qu'il pourrise la machine en entier.

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Merci pour ces conseils qui sont en fait les 'Best-Practice'.

Le problèmes en entreprise est que des logiciels maisons ou même développé par des sociétés tierces pour nos applications métiers, ont besoin d'une version de Navigateur ou de Java définie.
Lorsque ce sont de petite PME qui développent ce genre de produit sur mesure, ils n'arrive pas toujours à suivre les dernières versions des softs Grand Public.

Avec un exemple c'est plus parlant : J'ai des softs qui ne marchent qu'avec IE inférieur à 10 et pas Chroem, Firefox et un autre Qui ne fonctionne qu'avec Firefox 3.6 et Java 1.6_24.

Je vous raconte pas la mise a jour automatique qui a foutue la panique chez les utilisateurs parce que l'application ne marche plus.

Il a fallut que je passe sur tous les postes pour Downgrader Java et Mozilla sans oublier d'interdire les mises à jours.

En plus je me fait pourrir quand il y a un virus (comme celui-là) parce que la direction considère qu'un Anti-virus + firewall devrais TOUT protéger.
Il n'est pas facile d'expliquer que le comportement de l'utilisateur y est pour beaucoup.
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 299
Ouaip je sais bien, on est tributaire des logiciels installés, pareil pour les droits admin.
Pour Java au moins mettre la dernière version dans la branche 1.6, doit y avoir des vulnérabilités corrigées.

Toute façon, les programmes qui utilisent les applets java; c'est un peu la merdouille :/