Bonjour,
 
Aujourd'hui mon client m'appelle car 5 machines de son reseau ont un comportement bisare :
 
quand ils vont sur un site (chaque poste un autre  site) exemple www.msn.fr et ils se retrouve sur un site qui fait de la pub pour megapowerpills.com
le pire c que c arrivé au meme moment. et qu'en plus sur le meme pc ca peut changer de site.
aidez moi merci
l'adresse c 222.47.183.18

Demande leur d'essayer un autre navigateur

ce n'est pas un pb de navigateur
 ca change aléatoirement les adresse ip
comme si il y avait un host mobile

c hyper urgent

c'est a dire ?
si tu tape ping www.msn.fr et que ca te donne une ip autre que celle d'un serveur microsoft, la je suis d'accord, le navigateur n'y ai pour rien. Dans le cas contraire, je regrette, le responsable est IE ou un malware déstiné a IE.
dans les deux cas tu resoud le pb en utilisant autre chose.

oui c ca
quand je fais ping www.msn.fr j'ai 222.47.183.18 au lieu de la bonne ip
mais le pire c que cela tourne dans le pc c dynamique
unefois c msn une fois c autre chose

y a quoi dans leurs fichiers hosts?

a lire http://forum.hardware.fr/hardwaref [...] 1265-1.htm
http://forum.hardware.fr/hardwaref [...] 1913-1.htm

ah, la c'est un peu plus grave.. a ta place je re-instalerai toute la couche tcp/ip. Maintenant meme si ca resoud le probleme ca risque de pas le resoudre longtemps, donc la je crois que t'es bon pour utiliser toute la panoplie de logiciel anti malware and co. Evidement le formatage ca sera beaucoup, beaucoup, beaucoup plus rapide.
 
Edit : grillé par com21
Edit2: si tu ne choisit pas l'option formatage, je te conseil de commencer par installer avast qui a souvant fait des miracles chez de nombreuses connaissances.  
Edit3: Toujours si tu ne choisit pas l'option formatage, oubli la notion d'urgence, tu peux tout de suite dire a ta hirerarchie que ca va prendre du temps...

à mon avis c'est plus un virus qu'un spyware je pense
 
(mais ça fait pas de mal de lire les deux tutos de toute façon )

voici le hidjathis
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
c:\bti\winnt\bin\ntmkde.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\System32\sfmsvc.exe
C:\WINNT\System32\sfmprint.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\RsFsa.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\RsSub.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\System32\lserver.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINNT\System32\internat.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINNT\system32\RsEng.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\UltraVNC\winvnc.exe
C:\WINNT\System32\mdm.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\config\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: BTI Microkernel Engine - Unknown owner - c:\bti\winnt\bin\ntmkde.exe
O23 - Service: Cegid App Serveur (CegidService) - CEGID - C:\CEGIDSRV\CegidServices.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Cegid eAGL Service (PGIService) - Unknown owner - C:\CEGIDSRV\PGIService.exe (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\winvnc.exe" -service (file missing)

comme le montre http://www.hijackthis.de/index.php?langselect=french
 
vérifié que 172.17.10.2 et 194.2.0.50  soient bien tes serveurs dns

oui oui c bien mes DNS

je trouve vraiment pas
l'anti virus (symantec) mise a jour ne trouve rien non plus

ça bloque aussi vers des sites de sécurité, style symantec, kaspersky ou  autre?
 
et le fichiers hosts y a quoi dedans?

une question?
si cela touche aussi les machines dans le reseau ca paeut pas etre les dns.
exemple : imaginez que dans mon reseau interne j'ai une machine srvnat et que quand je fais ping srvnat je me retrouve avec le 222...... et non le 192.168.2.2 c forcerment au niveau de la machine pas des dns?

c:\bti\winnt\bin\ntmkde.exe  
 
C quoi ce truc louche ?
Et sinon , dans ton fichier host , tu as quoi ?
 
WB.

dans le hosts il n'y a rien c la 1ere chose que j'ai verifé
non j'arive a faire des mise a jour d'antivirus

tu as passé un coup de spybot et un coup d'ad-aware ?
 
WB.

oui sur l'un des postes "infecté" il etait niquel imaginé spybot a retrouvé qu'un seul spy et encore ct un cookies

heuuu question a la con , les pcs sont en réseaux je suppose , donc tu as tenté de mettre a jour tes antivirus , anti spy etc et de te mettre ensuite hors du réseau (vire le cable réseau carrément) et ensuite de relancer les différents programmes , voir meme en mode sans échecs ?
 
WB.

comment est fait leur réseau et leur connexion internet? Il y a un poste qui dispatche le réseau? ou un routeur?
 
a mon avis ca ne se joue pas sur les postes clients mais en amont...

MegaPowerPills.com
Score = 1
================================
MegaPowerPills.com
http://222.47.183.20/  
http://cflabbergastgood.com
http://outregood.com/
Host: 222.47.183.20
============================
MegaPowerPills.com
http://222.47.122.201/
http://www.affiliategood.com/  
Name............ Alfred Bester  
Email........... Kitty_send@163.com  
Name Server.......... ns2.bizwebb.us  
Name Server.......... ns1.affiliategood.com
 
 
Voila les infos que j'ai trouvé au sujet de notre ami megamachinchose , pas brillant..
 
WB.

et on doit faire quoi alors?

ou plutot ca veut dire quoi

Nique Ta Mère KDE
 
edit : comment peut-on rediriger sans toucher au fichier hosts?

ben avec un gros spyware pourri , mais la j'en vois pas trace comme ca...
 
WB.

à part ntmkde.exe y a rien dans le log HJ c'est clair

bon je vais continuer a chercher (vous aussi je suis sur)
en tout cas je vous remercie tous de votre aide.
sébastien

 
 
en fait j'ai fait un hijacthis sur une autre becane qui a le meme symptome et j'ai pas le ntmkde.exe
donc c pas ca la piste
 je me sens demuni.
il y a une chose qui est sur c que c pas un hots car le hots fonctionne j'ai du rentrer 2 lignes pour qu'ils puissent travailler.
mais ce qui me chifonne c que cela vient aléatoirement.

Si tu utilise un pare-feu logiciel qui filtre les connexions ou eventuellement si tu NAT c'est peut etre la lasource du probleme (verifier le pc responsable du filtrage et/ou du Nat).

Un autre point : tes 5 PC sont dans le meme sous réseau ? Ils sont seul dans ce reseau ? Comment sont-ils connectés au Net ?

non non pare feu materiel ils sont dans le meme reseau mais toutes les machines du réseau ne sont pas affecté (encore) a premiere vue.
c'est un reseau avec un domaine administratif,
ils passent par une passerelle materiel.

fait un log HijackThis sur une des machines pour voir qd même

j'ai fait et tout est cool a premiere vu

Les PC passent-ils par un proxy?

Passerelle matérielle infectée ??
 
WB.

oui mais alors explique moi pourquoi les adresses interne aussi sont touchés et aussi que c aléeatoire suivant les machines?
c vraiment vicieux ce truc

serveur dns vérolé ?
 
et en ce mettant sur la machine faisant dns et en faisant les nslookup  tu trouve quoi ?

Un conseil : commencer par réinstaller une ou plousieurs machines infectées. Si le probleme est résolu c'est donc que ca vient de la machine, sinon c'est que c'est au niveau de l'accès au net qu'il y a un souci (et la faut vérifier, NAT, proxy, firewall ...)