Virus ou autre change la résolution DNS GOOGLE
Résolu/Fermé
teddy65
-
3 juil. 2013 à 19:17
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 4 juil. 2013 à 19:48
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 4 juil. 2013 à 19:48
A voir également:
- Virus ou autre change la résolution DNS GOOGLE
- Changer dns - Guide
- Google maps satellite - Guide
- Google maps - Guide
- Google earth - Télécharger - 3D
- Google - Guide
6 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
Modifié par Malekal_morte- le 3/07/2013 à 19:23
Modifié par Malekal_morte- le 3/07/2013 à 19:23
Salut,
Pour voir :
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
puis :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Pour voir :
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
puis :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Voici les rapports.
http://pjjoint.malekal.com/files.php?id=20130703_q15l8o15h8n14
http://pjjoint.malekal.com/files.php?id=20130703_t8c14s12t14g5
http://pjjoint.malekal.com/files.php?id=20130703_l14d5m11v15h13
Ne pas s'inquiéter du contenu du fichier Hosts, c'est moi qui l'ai renseigné comme indiqué au dessus.
Je suis plutôt Inquiet du résultat du
[color=#A23BEC]< nslookup www.google.fr /c >/color
Serveur : mfp-2008.mfp2003.com
Address: 172.16.13.1
Nom : WWW.GOOGLE.FR
Addresses: 173.194.34.183, 173.194.34.184, 173.194.34.191
Alors q'un COmmande DOS j'ai :
C:\>nslookup www.google.fr
Serveur : mfp-2008.mfp2003.com
Address: 172.16.13.1
DNS request timed out.
timeout was 2 seconds.
*** Le délai de la requête sur mfp-2008.mfp2003.com est dépassé
Alors que :
C:\>nslookup www.yahoo.fr
Serveur : mfp-2008.mfp2003.com
Address: 172.16.13.1
Réponse ne faisant pas autorité :
Nom : any-rc.a01.yahoodns.net
Addresses: 87.248.120.148, 77.238.178.122
Aliases: www.yahoo.fr, rc.yahoo.com, rc.g01.yahoodns.net
http://pjjoint.malekal.com/files.php?id=20130703_q15l8o15h8n14
http://pjjoint.malekal.com/files.php?id=20130703_t8c14s12t14g5
http://pjjoint.malekal.com/files.php?id=20130703_l14d5m11v15h13
Ne pas s'inquiéter du contenu du fichier Hosts, c'est moi qui l'ai renseigné comme indiqué au dessus.
Je suis plutôt Inquiet du résultat du
[color=#A23BEC]< nslookup www.google.fr /c >/color
Serveur : mfp-2008.mfp2003.com
Address: 172.16.13.1
Nom : WWW.GOOGLE.FR
Addresses: 173.194.34.183, 173.194.34.184, 173.194.34.191
Alors q'un COmmande DOS j'ai :
C:\>nslookup www.google.fr
Serveur : mfp-2008.mfp2003.com
Address: 172.16.13.1
DNS request timed out.
timeout was 2 seconds.
*** Le délai de la requête sur mfp-2008.mfp2003.com est dépassé
Alors que :
C:\>nslookup www.yahoo.fr
Serveur : mfp-2008.mfp2003.com
Address: 172.16.13.1
Réponse ne faisant pas autorité :
Nom : any-rc.a01.yahoodns.net
Addresses: 87.248.120.148, 77.238.178.122
Aliases: www.yahoo.fr, rc.yahoo.com, rc.g01.yahoodns.net
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
3 juil. 2013 à 22:32
3 juil. 2013 à 22:32
RogueKiller a viré du ZeroAccess (ça peux expliquer le prb de Google).
Il est possible qu'un driver soit patché.
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais Skip partout.
Donne le rapport via http://pjjoint.malekal.com
Il est possible qu'un driver soit patché.
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais Skip partout.
Donne le rapport via http://pjjoint.malekal.com
Yessss !
Il m'a trouvé et éliminé un Win32.Rloader.a
Extrait du rapport :
08:40:01.0594 2972 [ 72AA1E958055F1844A81C2B09C7038CC ] ACPI C:\WINDOWS\system32\DRIVERS\ACPI.sys
08:40:01.0610 2972 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\ACPI.sys. Real md5: 72AA1E958055F1844A81C2B09C7038CC, Fake md5: E5E6DBFC41EA8AAD005CB9A57A96B43B
08:40:01.0610 2972 ACPI ( Virus.Win32.Rloader.a ) - infected
08:40:01.0610 2972 ACPI - detected Virus.Win32.Rloader.a (0)
Après reboot et scan de vérif le Nslookup passe correctement !
C:\>nslookup www.google.fr
Serveur : mfp-2008.mfp2003.com
Address: 172.16.13.1
Réponse ne faisant pas autorité :
Nom : www.google.fr
Addresses: 173.194.34.191, 173.194.34.183, 173.194.34.184
Merci beaucoup.
Ingé réseaux rassuré.
(Pouvez mettre en résolu.)
Il m'a trouvé et éliminé un Win32.Rloader.a
Extrait du rapport :
08:40:01.0594 2972 [ 72AA1E958055F1844A81C2B09C7038CC ] ACPI C:\WINDOWS\system32\DRIVERS\ACPI.sys
08:40:01.0610 2972 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\ACPI.sys. Real md5: 72AA1E958055F1844A81C2B09C7038CC, Fake md5: E5E6DBFC41EA8AAD005CB9A57A96B43B
08:40:01.0610 2972 ACPI ( Virus.Win32.Rloader.a ) - infected
08:40:01.0610 2972 ACPI - detected Virus.Win32.Rloader.a (0)
Après reboot et scan de vérif le Nslookup passe correctement !
C:\>nslookup www.google.fr
Serveur : mfp-2008.mfp2003.com
Address: 172.16.13.1
Réponse ne faisant pas autorité :
Nom : www.google.fr
Addresses: 173.194.34.191, 173.194.34.183, 173.194.34.184
Merci beaucoup.
Ingé réseaux rassuré.
(Pouvez mettre en résolu.)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
Modifié par Malekal_morte- le 4/07/2013 à 09:17
Modifié par Malekal_morte- le 4/07/2013 à 09:17
:)
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
~~
pis dans la mesure du possible, faudrait pas que l'utilisateur soit admin local.
Ca éviterait qu'il pourrise la machine en entier.
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
~~
pis dans la mesure du possible, faudrait pas que l'utilisateur soit admin local.
Ca éviterait qu'il pourrise la machine en entier.
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Merci pour ces conseils qui sont en fait les 'Best-Practice'.
Le problèmes en entreprise est que des logiciels maisons ou même développé par des sociétés tierces pour nos applications métiers, ont besoin d'une version de Navigateur ou de Java définie.
Lorsque ce sont de petite PME qui développent ce genre de produit sur mesure, ils n'arrive pas toujours à suivre les dernières versions des softs Grand Public.
Avec un exemple c'est plus parlant : J'ai des softs qui ne marchent qu'avec IE inférieur à 10 et pas Chroem, Firefox et un autre Qui ne fonctionne qu'avec Firefox 3.6 et Java 1.6_24.
Je vous raconte pas la mise a jour automatique qui a foutue la panique chez les utilisateurs parce que l'application ne marche plus.
Il a fallut que je passe sur tous les postes pour Downgrader Java et Mozilla sans oublier d'interdire les mises à jours.
En plus je me fait pourrir quand il y a un virus (comme celui-là) parce que la direction considère qu'un Anti-virus + firewall devrais TOUT protéger.
Il n'est pas facile d'expliquer que le comportement de l'utilisateur y est pour beaucoup.
Le problèmes en entreprise est que des logiciels maisons ou même développé par des sociétés tierces pour nos applications métiers, ont besoin d'une version de Navigateur ou de Java définie.
Lorsque ce sont de petite PME qui développent ce genre de produit sur mesure, ils n'arrive pas toujours à suivre les dernières versions des softs Grand Public.
Avec un exemple c'est plus parlant : J'ai des softs qui ne marchent qu'avec IE inférieur à 10 et pas Chroem, Firefox et un autre Qui ne fonctionne qu'avec Firefox 3.6 et Java 1.6_24.
Je vous raconte pas la mise a jour automatique qui a foutue la panique chez les utilisateurs parce que l'application ne marche plus.
Il a fallut que je passe sur tous les postes pour Downgrader Java et Mozilla sans oublier d'interdire les mises à jours.
En plus je me fait pourrir quand il y a un virus (comme celui-là) parce que la direction considère qu'un Anti-virus + firewall devrais TOUT protéger.
Il n'est pas facile d'expliquer que le comportement de l'utilisateur y est pour beaucoup.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
4 juil. 2013 à 19:48
4 juil. 2013 à 19:48
Ouaip je sais bien, on est tributaire des logiciels installés, pareil pour les droits admin.
Pour Java au moins mettre la dernière version dans la branche 1.6, doit y avoir des vulnérabilités corrigées.
Toute façon, les programmes qui utilisent les applets java; c'est un peu la merdouille :/
Pour Java au moins mettre la dernière version dans la branche 1.6, doit y avoir des vulnérabilités corrigées.
Toute façon, les programmes qui utilisent les applets java; c'est un peu la merdouille :/