[Virus?] Reboot auto des parametres DNS (ipv4)

Reboot auto des parametres DNS (ipv4) [Virus?] - Virus/Spywares - Windows & Software

Marsh Posté le 01-09-2014 à 19:03:55    

Bonjour à la communauté !

 

J'expérimente actuellement un problème gênant sur mon PC (HFR Power Gaming de 2012 [:o_doc]), edition Win 7 64 (familiale)

 

Quand je suis rentré chez moi tout à l'heure je n'avais plus acces à internet. Après quelques recherches j'ai remarqué que le DNS principal de mon IPV4 était passé à 127.0.0.1 ... [:klemton]

 

Bizarre. J'ai donc remis en automatique, j'ai surfé quelques minutes, puis tout d'un coup ca n'a plus fonctionné. Retour dans les parametres de la carte ,de nouveau 127.0.0.1 en DNS [:dakans]

 

J'ai passé un scan, j'ai trouvé un fichier suspect mais ca n'a pas résolu le problème. J'ai désinstallé / réinstallé les drivers, même topo. Là je suis en train de faire un scan complet avant démarrage mais je voulais savoir si de votre expérience vous aviez expérimenté cela , ou si vous connaissiez un virus qui ferait cet effet là.

 

J'ai trouvé des infos sur DNSChanger mais apparemment c'est un peu différent ...

 

Merci :jap:


Message édité par v4mpir3 le 01-09-2014 à 19:21:56

---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
Reply

Marsh Posté le 01-09-2014 à 19:03:55   

Reply

Marsh Posté le 01-09-2014 à 19:22:05    

Update : Le scan au redémarrage n'a rien donné. Par acquis de conscience j'ai lancé Ccleaner et Malwarebytes, mais rien de probant non plus.

 

Rien de suspect non plus dans les processus ou dans les programmes installés. J'avoue que je sèche totalement :sweat:

 

Le problème persiste ... [:dakans]


Message édité par v4mpir3 le 01-09-2014 à 19:24:02

---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
Reply

Marsh Posté le 01-09-2014 à 21:09:02    

Je continue mes investigations, au cas où ca peut servir à quelqu'un .. :D
 
J'ai remarqué que le problème ne se produisait que lorsque je surfais sur le web, lorsque je joue à un jeu en ligne les paramètres réseau sont stables.
 
Je vais finir par trouver [:nozdormu]
 
Enfin j'espère [:tinostar]


---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
Reply

Marsh Posté le 01-09-2014 à 21:46:43    

quelqu'un a eu le même problème sur le forum, mais on n'a pas trouvé la cause.
jete un œil sur ton fichier host, voir s'il n'est pas modifié.

Reply

Marsh Posté le 01-09-2014 à 21:58:13    

Bonsoir,
 

nnwldx a écrit :

quelqu'un a eu le même problème sur le forum, mais on n'a pas trouvé la cause.
jete un œil sur ton fichier host, voir s'il n'est pas modifié.


 
Il s'agit de l'IP (DNS) pas du localhost, pas la même chose.
 
Perso, je ne vois pas trop la cause ?


Message édité par Profil supprimé le 01-09-2014 à 22:00:30
Reply

Marsh Posté le 01-09-2014 à 22:24:29    

je ne dis pas que c'est la même chose.
Je pense que c'est programme malveillant qui détourne le dns.
S'il modifie le DNS, il peut aussi modifier ton fichier host.
Quand tu fais une recherche d'une adresse d'un site, ton poste va d'abord chercher dans le fichier host, s'il ne trouve pas, il regarde dans le cache puis il lance une requête au DNS.
Il vaut mieux s'assurer que le fichier host est saint.

Reply

Marsh Posté le 01-09-2014 à 22:40:28    

Je ne vois pas l'intérêt qu'aurait un malware de détourner les DNS vers le réseau local
Mais bon puisque tu l'affirmes.
 
Bonne soirée.
 
++

Reply

Marsh Posté le 01-09-2014 à 22:44:59    

On a changé le DNS sur un poste pour mettre mauellement ceux de google.
Cela fonctionne pendant 5 minutes puis le paramétrage saute et on se retrouve avec 127.0.0.1 en DNS a la place.
Ca sent le malware.
Tu peux avoir un dns en 127.0.0.1 et avoir un fonctionnement semblable à un windows serveur.
Mais dans ce cas, le programme fait pour détourner ne marche pas bien.

Reply

Marsh Posté le 02-09-2014 à 09:29:58    

A priori mon fichier host est sain .. je revérifierais ce soir ( il s'agit bien du fichier hosts dans system32/drivers/etc ? )
 
Tout est en commentaire dedans, sauf erreur de ma part.
 
J'ai fait un test cette nuit, j'ai mis plusieurs fichiers à télécharger, aucun souci. J'ai désinstallé google chrome, j'ai surfé un peu avec I.E : hop, retour à 127.0.0.1 [:klemton]
 
A n'y rien comprendre [:spamafote]


---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
Reply

Marsh Posté le 02-09-2014 à 09:57:02    

On dirait que je suis pas le seul en tous cas [:o_doc]
 
http://community.spiceworks.com/to [...] -127-0-0-1
http://www.bleepingcomputer.com/fo [...] resetting/
http://www.dslreports.com/forum/r2 [...] -127.0.0.1
 
Je vais essayer tout ca ce soir et je vous tiens au courant ;)
 
Encore merci :jap:


---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
Reply

Marsh Posté le 02-09-2014 à 09:57:02   

Reply

Marsh Posté le 02-09-2014 à 18:00:19    

Bonsoir tout le monde,
 
@ nnwldx
 

nnwldx a écrit :

On a changé le DNS sur un poste pour mettre mauellement ceux de google.
Cela fonctionne pendant 5 minutes puis le paramétrage saute et on se retrouve avec 127.0.0.1 en DNS a la place.
Ca sent le malware.
Tu peux avoir un dns en 127.0.0.1 et avoir un fonctionnement semblable à un windows serveur.
Mais dans ce cas, le programme fait pour détourner ne marche pas bien.


 
J'en apprend à ton contact à chaque fois que l'on se croise, ceci dit pas avant que tu développes tes postes. :whistle:  
Merci de m'ouvrir les yeux  :sol:  
 
Ta logique est bonne. Les Hijackers modifient la plupart du temps le proxyoverride du registre sous la forme 127.0.0.1 : un port quelconque comme 8080 par exemple.
Ce proxy est directement lié à la navigation web, on sait que sur ce pc l'IP DNS n'est modifié que quand le navigateur est sollicité donc quand l'hijacker communique avec son serveur via son proxy.
Donc ça sent effectivement le malware = hijacker !?
 
@ v4mPir3 :
 
Tu vas lancer cet outil pour vérification :
 
==> AdwCleaner - mode Scanner
 

  • Télécharge Adwcleaner (de Xplode) sur ton Bureau !
  • Sous windows vista, sept et huit, lance AdwCleaner par un clique droit puis "Exécuter en tant qu'administrateur"
  • Choisis l'option Scanner


    http://img11.hostingpics.net/pics/343274Scan.png
 

  • Un rapport va s'ouvrir, héberge le rapport sur Cjoint et envoies le lien de lecture dans ta prochaine réponse sur le forum.


Comment héberger un rapport sur ci-joint :
 

  • Clique sur ce lien : http://www.cjoint.com/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur "Créer le lien Cjoint" pour déposer le fichier.
  • Un lien de cette forme, http://cjoint.com/?CFnaaobHAob, est ajouté dans la nouvelle page.
  • Copie-colle ce lien dans ta réponse.


Aide en image => ICI
 
 
++
 
 
 
 

Reply

Marsh Posté le 02-09-2014 à 20:17:58    

@malwarebleach
A mon avis ce problème est un malware qui ne fonctionne plus bien.
Tout cela devrait être indivisible pour l'utilisateur, le malware détourne le dns vers le poste local, le malware a installé son propre client dns qui écoute en local fait ensuite la requête vers un serveur DNS pirate.
Le DNS pirate en réponse doit renvoyer les bonnes ips pour la plus part des sites, sauf ceux intéressants comme facebook, les banques, mails...
Là, le programme renvoie vers un site de phishing identique.
Le site pirate qui faisait serveur DNS a dû se faire avoir et ne fonctionne plus. Cependant le malware continue toujours a envoyé ses requêtes vers lui même.
Et si jamais on essaye de lui mettre autre chose que 127.0.0.1, il doit le modifier de lui même.
Le malware a l'air bien foutu car le taux de détection par les anti-malware à l'air assez faible.
Je pense qu'il va falloir partir sur un nouveau profil pour s'en débarasser ou une analyse depuis un autre poste.

Reply

Marsh Posté le 02-09-2014 à 20:38:10    

nnwldx a écrit :

@malwarebleach
A mon avis ce problème est un malware qui ne fonctionne plus bien.
Tout cela devrait être indivisible pour l'utilisateur, le malware détourne le dns vers le poste local, le malware a installé son propre client dns qui écoute en local fait ensuite la requête vers un serveur DNS pirate.
Le DNS pirate en réponse doit renvoyer les bonnes ips pour la plus part des sites, sauf ceux intéressants comme facebook, les banques, mails...
Là, le programme renvoie vers un site de phishing identique.
Le site pirate qui faisait serveur DNS a dû se faire avoir et ne fonctionne plus. Cependant le malware continue toujours a envoyé ses requêtes vers lui même.
Et si jamais on essaye de lui mettre autre chose que 127.0.0.1, il doit le modifier de lui même.
Le malware a l'air bien foutu car le taux de détection par les anti-malware à l'air assez faible.
Je pense qu'il va falloir partir sur un nouveau profil pour s'en débarasser ou une analyse depuis un autre poste.


 
Difficile de donner un avis, tant que l'on ne connait pas la nature du malware. Pas sûr non plus qu'il fonctionne mal. Je ne t'apprends rien en te disant que ces bestioles sont sournoises. Quant au changement de compte c'est prématuré et l'analyse sur un autre poste inutile, c'est mieux quand le malware est actif. Il y a d'autres ressources que les anti-malwares pour désinfecter un pc.
 
la balle est dans le camps de v4mPir3

Reply

Marsh Posté le 03-09-2014 à 08:53:48    


 
Tout d'abord un grand merci pour ces instructions. Malheureusement je n'ai pas vu ce post hier, tout plongé que j'étais dans mes recherches pour tenter de corriger le problème .. j'ai tenté de multiples solutions mais rien n'y a fait, y compris un nettoyage de la base de registre ...
 
Je vais suivre cette procédure dès ce soir et ne manquerais pas de t'en tenir informé :jap:


---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
Reply

Marsh Posté le 03-09-2014 à 12:52:25    

y un topic dans la rubrique réseau public : Connecté à internet mais pas de navigation
Exactement le même problème, et c'est coriace.

Reply

Marsh Posté le 03-09-2014 à 13:51:38    

Celui là ?  
 
http://forum.hardware.fr/hfr/resea [...] 9548_1.htm
 
Effectivement ca à l'air .... vicieux :x


---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
Reply

Marsh Posté le 03-09-2014 à 17:41:35    

Voilà le rapport AdwCleaner :
 
http://cjoint.com/?DIdrQDsuuCn
 
Le scan m'a immédiatement trouvé un process lié au DNS : penwes [:klemton]
 
Je suis en train de faire des recherches pour voir de quoi il s'agit.
 
Et voilà sur quoi je tombe : http://www.penwes.com/438-faq-qu-e [...] penwes.php
 
On dirait bien que le coupable est enfin démasqué ! :D


Message édité par v4mpir3 le 03-09-2014 à 17:44:08

---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
Reply

Marsh Posté le 03-09-2014 à 17:50:59    

Exact, c'est vrai qu'il y avait eu ce programme bien pourri, bien joué.

Reply

Marsh Posté le 03-09-2014 à 18:17:57    

Bonsoir à tous,
 
C'est nnwldx qui m'a mis sur la voie, les symptômes sont caractéristiques d'un adware/Hijacker.  
 
Désinstalle Penwes de ton ordinateur comme tout programme.
 
La suite :
 
==> AdwCleaner - Mode  Nettoyage
 

  • Lance AdwCleaner par un clique droit "Exécuter en tant qu'administrateur" (sauf sous XP)
  • Clique sur  Scanner, patiente le temps du scan
  • Une fois le scan fini, clique sur Nettoyer
  • Accepte l'avertissement en cliquant sur OK


    http://img11.hostingpics.net/pics/610921Nettoyer.png
 

  • Accepte les avertissements/informations en cliquant sur OK
  • Ton pc va redémarrer et un rapport va apparaitre. Héberge le rapport sur Cjoint et copie/colle le lien dans ta prochaine réponse.


Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S0].txt
 
Un tutoriel pour t'aider à l'utiliser => ICI
 
==> ZHPDiag - programme de diagnostic
 

  • Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.


  • Laisse toi guider par le programme lors de l'installation.


  • Sous windows vista, 7/8, lance ZHPDiag,  par un clique droit puis "Exécuter en tant qu'administrateur"  


  • Clique sur Complet


    Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
 
    http://upload.sosvirus.net/images/2014/04/16/ZHPDiagc82cd.png
 

  • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPDiag.txt a été créé.


  • Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


 
 
Tu as donc 2 rapports à transmettre.

Reply

Marsh Posté le 04-09-2014 à 08:19:23    

J'avais déjà nettoyé via AdwCleaner mais j'ai conservé le rapport, bien qu'à priori le problème soit corrigé ;)
 
Je vais le transmettre tout de même et appliquer le programme de diagnostic :jap:
 
Quoi qu'il en soit vous avez ma gratitude éternelle [:o_doc]


---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
Reply

Marsh Posté le 24-09-2014 à 22:33:12    

Merci à tous !
 
il y avait le même sur l'ordi de mon père; j'avais testé spybot, avast, et 2 ou 3 autres : que dal ! toujours 127.0.0.1 qui revenait et avec adwcleaner, il est enfin parti !

Reply

Marsh Posté le 02-06-2015 à 11:06:12    

Même problème depuis plusieurs jours... Même cause (PenWes)
 
Après désinstallation c'est ok (apparemment) ! Merci !!!! :D

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed