Se connecter / S'enregistrer
Votre question

[Résolu] suspicion de "DNS poisoning"

Tags :
  • Virus
  • dns
  • Sécurité
Dernière réponse : dans Sécurité et virus
24 Novembre 2011 14:55:00

Bonjour à tous!

J'ai un petit problème, enfin peut être, je ne sais pas trop, il faut dire que la dernière fois que j'ai eu un problème de vérole c'était il y a 10 ans. (Pour une imprudence stupide en plus)
Tout à commencé hier après midi sans raison apparente. Je me suis mise à galérer pour surfer sur le web, quelque soit le site, y compris google. J’arrêtais pas d'avoir des pages plantées avec des erreurs DNS.
Au début j'ai maudit ma nouvelle connexion internet (je viens de déménager) et le débit pourri de ma bbox (je pleure pour DL les clients de mmo). Puis je me suis aperçue que mon conjoint naviguait au même moment sans aucun problème.

J'ai commencé quelques recherches et il se pourrait que mes dns soient pourris d'une manière ou d'une autre, j'ignore comment ça a pu survenir (je suis une utilisatrice avertie et prudente), mais à un moment, au milieu des ipconfig et de l'exploration de currports, nous avons vu avast tourner en boucle sur l'ip local avec des hôtes distant en chine (xxokoriq.cn), idem pour qql processus, et là damned, après vérification entre les 2 becanes j'avais 1meg de maj avast de retard et pouf le résident d'avast a décidé de se couper. (Je me disais aussi qu'aujourd'hui j'avais pas beaucoup entendu madame avast beugler qu'elle venait de faire une maj)

On fait un flush dns, ce qui nous permet de remettre avast a jour (au passage un reboot un peu violent de winwin m'a proposé une restauration alors que je cherchais a démarrer sans echec...bon... Chose qui fut faite. En même temps à part un client mmo, j'avais rien installer ou exécuter depuis plus d'un mois).
Donc une fois avast à jour, gros scan au démarrage. 3h pour ne rien trouver. Bon.
Le flush dns semblait toutefois avoir résolu le soucis et mon net remarchait correctement.

Ce matin, je me connecte. Mon net marche bien, puis d'un coup, ça repart en vrille.
Je m'attèle encore sur google pour trouver quoi faire. Evidemment rien en français, et le cumul anglais plus demandes incompréhensibles d'informaticiens plus cumul de ligne de log encore plus imbitable ont eu raison de ma santé mentale.
Je connais la plupart des outils de diagnostique mais je suis foutrement infichue de les interpreter. Et pour le coup j'y connais rien en dns, si mon conjoint n'en avait pas quelque connaissance, je serais surement en train de c:/format. Mais là on arrive à la limite de ces connaissances

Je me suis donc résolue a vous écrire pour que vous puissiez me dire quel log vous fournir et ce que vous y voyiez :) 

Pour commencer en info générales
Je suis sur win7 64b pro
Nettoyage ccleneaner complet datant de ce we, toute la suite auslogic est aussi passé ce we sur toute la becane, c'était prop' comme un sous neuf (quand on a pas encore le net, c'est l'occasion de prendre le temps de bien nettoyer les coins)
J'ai Avast, qui tourne en résident. J'ai également spybot mais qui ne tourne plus en résident depuis des années, il est gourmand et un scan a la semaine me suffit. Dernier maj / vaccination et scan faites ce matin. (rien trouvé)
Scan Mbam fait aussi (rien trouvé)
J'ai fais qql scan AV en ligne aussi, sans grande conviction
Un autre dnsflush
J'ai fait un hijackthis, mais j'y comprend rien

Mais j'ai tjs des trucs bizarres que je regarde via ipconfig, netstat ou le logiciel currport

Alors, que voulez vous voir? Quelle infos complémentaires vous faut-il?

Merci d'avance!! :) 

PS: ne soyez pas trop obscurs sur les trucs de dns, connexion & cie, c'est vraiment un domaine où je suis un peu perdue. Je ne suis pas très forte en commande msdos non plus :)  (je n'ai pas connu le glorieux temps du "tout en ligne de commande" :) )


Autres pages sur : suspicion dns poisoning

24 Novembre 2011 16:48:41

Bonjour shad35
Je n'ai pas tout regardé de ton roman mais en gros tu as un problème de DNS donc tu vas faire ce qui suit si tu veux bien!

Télécharge sur le bureau RogueKiller (par tigzy)
Quitte tous tes programmes en cours
Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur[/b]
Lance RogueKiller.exe.
Lorsque demandé, tape 2 et valide
Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
Reboot ton PC

Ensuite tu le relances et cette fois tu passes l'option "5" et reboot encore une fois



24 Novembre 2011 18:12:17

Voila. Merci d'avance pour l’interprétation.

Citation :
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Shad [Droits d'admin]
Mode: Suppression -- Date : 24/11/2011 17:08:11

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]


[Mode Roman ON]
Spoiler
Merci de ne pas avoir lu mon "roman", j'ai déjà été dans le rôle de l'assistant sur des forums dans des domaines divers et variés et s'il y avait bien un truc qui m’agaçait comme tout les autres "aideurs" c'était les message de 3 mots, évasifs au possible (au titre inspiré de "jé 1 problaim!), et quémandant à grand cri de l'aide.

Donc quand je suis dans le role du "demandeur", je me fend le fion à faire un message aussi détaillé que possible parce que je SUPPUTE qu'il s'agit d'un problème de DNS mais précisant ne rien connaitre au DNS.
Je m'efforce de donner un topo le plus précis possible des circonstances du soucis, sa nature et le tests déjà effectué pour ne pas induire en erreur sur le problème et que vous n'aviez pas à me seriner les grands classiques, ce qui est d'abord désagréable pour vous (répéter matin et soir les bases), mais également pour l'utilisateur "avancé".

Nous sommes partis peut être d'une mauvaise piste parce que je eu le malheur de supposer une piste pour le soucis alors que je n'en sais rien, c'est peut être un soucis avec mon fichier host (ma 1ere idée mais que je n'ai pas poussée puisque mon homme m'a soufflé DNS)

J'ai été DL Roguekiller, que j'avais déjà vu passé sur quelques topics mais que je ne connaissais pas.

Je pense avoir compris son utilité en lisant le site de l'auteur, les commande puis les logs. Ce que nous venons de faire avec le /2 c'est juste faire le tour des processus pour chercher les malicieux, le tour de clés registre et un oeil sur le fichier host. Or ces check là ont déjà été fait.
Le /5 n'est qu'un dnsflush, ça aussi ça a déjà été fait.

Si Roguekiller fait plus que ça sur ces 2 commandes, j'aimerai assez en savoir plus pour jauger de son utilité à l'avenir ou s'il va faire doublons avec mes utilitaires habituel et les quelques commandes dos que je pratique



Contenus similaires
24 Novembre 2011 18:43:32

Hello,

Je regarde toujours les postes rapidement une ligne sur deux mais oui ton expo est impec et lisible rapidement et tu as raison a l'inverse de certaines personnes qui viennent demander de l'aide sans même une petite formule de politesse et qui te balancent un rapport dans la figure sans aucune explication avec l'impression d'avoir un robot en face d'eux!

Citation :
Si Roguekiller fait plus que ça sur ces 2 commandes, j'aimerai assez en savoir plus pour jauger de son utilité à l'avenir ou s'il va faire doublons avec mes utilitaires habituel et les quelques commandes dos que je pratique

Il vaut mieux éviter de s'en servir ! Maintenant il est utilisable en mode seul comme tu as vu sur le site du dev,
Mais faire une petite sauvegarde de la BDR avant son utilisation

Je pense que tu n'as pas d'amélioration ?

On va regarder ce qui peut y avoir de louche sur ton PC

Désactive ton Antivirus

Télécharge OTL sur ton Bureau.

  • Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
  • Double-clique sur OTL.exe pour le lancer.Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
  • L'écran principal de OTL s'affiche:



    (1) Si ce n'est déjà fait, dans le paragraphe Registre: Approfondi, cocher le bouton-radio Avec liste blanche

    (2) Coche (en haut) la case située devant Tous les utilisateurs

    (3) Coche également les cases à côté de Recherche Lop et Recherche purity.

    (4) Sélectionne très précisément tout ce qui est dans le cadre ci dessous avec la souris et copie/colle le contenu dans la zone Personnalisation de la fenêtre OTL

    netsvcs
    %SYSTEMDRIVE%\*.*
    %systemroot%\*. /mp /s
    %systemroot%\System32\config\*.sav
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system32\*.dll /lockedfiles
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
    /md5start
    explorer.exe
    winlogon.exe
    Userinit.exe
    svchost.exe
    iexplore.exe
    /md5stop


    (5) Puis cliquer sur le bouton Analyse

    - Laisser l'outil travailler sans l'interrompre.

  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

    Utilise le site http:// pour envoyer tes rapports, et poste le lien dans ta prochaine réponse.


    24 Novembre 2011 23:16:34

    voila les log!

    J'ai eu du mal a les faire en début de soirée parce que le problème est revenu.

    http://imageshack.us/f/268/capturemdy.jpg/

    J'ai du le faire en parallèle du pc voisin (qui n'a pas ce problème) pour suivre les instructions et m'envoyer les lignes a copier-coller par le réseau.
    Entre temps mon net est revenu donc je peux poster les log depuis ma bécane.

    Je n'aurais pas un pc en parfaite connexion à coté, je serais persuadée que c'est une question de surcharge,suivant les horaires, du web pourri de mon quartier sinistré numérique . C'est super aléatoire comme soucis

    http://pjjoint.malekal.com/files.php?id=20111124_x10r13...
    http://pjjoint.malekal.com/files.php?id=20111124_c9o15p...

    Je te joint également 1 screen de ce qui m'a alerté spécifiquement:

    http://imageshack.us/f/839/capture2as.jpg/
    Spoiler
    WHOIS information for xxokoriq.cn :
    [Querying whois.cnnic.net.cn]
    [whois.cnnic.net.cn]
    Domain Name: xxokoriq.cn
    ROID: 20111123s10001s75297790-cn
    Domain Status: pendingVerification
    Registrant ID: dnbz_orbissearch
    Registrant Organization: ORBIS SEARCH
    Registrant Name: WangXin
    Registrant Email: orbissearch@gmail.com
    Sponsoring Registrar: Dnbiz Limited
    Name Server:ns31.dnbiz.com
    Name Server:ns32.dnbiz.com
    Registration Date: 2011-11-23 13:47:57
    Expiration Date: 2012-11-23 13:47:57
    Dnssec Deployment: N


    bizarrement mes soucis ont commencé hier vers 15-16h
    25 Novembre 2011 07:04:05

    Bonjour shad35

    As tu fait un essai avec firefox pour voir ?

    Je te suggère de:
    - Désinstaller "Spybot - Search & Destroy" pour gain de ressources et d'espace disque.
    Désactiver TeaTimer de spybot qui ne sert à rien et peut faire échouer une désinfection:!
    Affiche d'abord le Mode Avancé dans Spybot
    Options Avancées :
    menu Mode
    -Mode Avancé. Une colonne de menus apparaît dans la partie gauche :
    clique sur Outils
    clique sur Résident
    -Dans Résident :
    décoche Résident "TeaTimer" pour le désactiver.

    Si dans Spybot S&D tu as vacciné
    Sur l'onglet "vaccination"
    Clique sur "Vaccination" dans la colonne sur la gauche :
    Clique sur annuler (la flèche bleue) pour annuler la vaccination.

    IMPORTANT Il faut aussi savoir que Spybot utilise une technologie dépassée.
    Si vous ajoutez à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection.....


    Désactive ton antivirus

    Relance OTL.exe

    Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    Ouvre le lien ci-dessous

    http://dl.free.fr/dUl3m1576

    Copie-colle l'ensemble de son contenu dans le cadre Personnalisation d'OTL en bas à gauche.

    Puis clique sur le bouton Correction en haut à gauche
    Si le pc demande à redémarrer accepte.
    Poste le rapport de suppression.






























    25 Novembre 2011 13:16:25

    Salut!

    J'ai le même soucis avec firefox.
    Quand chrome ne veut pas, lui non plus (idem IE)
    Par contre à ces moments T, les téléchargements du type "launcher de SW", EAstore ou Steam ne semblent souffrir d'aucun problème.
    Là ce matin, ça marche tranquille pour l'instant, je n'ai pas encore eu de problème.

    Pour SB. Il n'est plus en résident depuis longtemps (trop gourmand sur ma bécane vieillissante). J'ai lu également au travers de mes recherches le fait qu'il ne soit plus aussi bien que ça, je suis en train de fureter pour lui trouver un remplaçant. Mbam (que j'ai déjà) est conseillé mais en free version il n'a pas de protection résidente. Si tu as autre chose à me conseiller je suis preneuse. J'avais ad aware a une époque, est ce qu'il est toujours intéressant?

    Je vais donc virer SB après avoir bien nettoyé ces vaccinations & cie. un coup de ccleaner pour bien récurer et je relance OTL.
    Log d'ici qql minutes.

    Merci


    25 Novembre 2011 14:31:08

    et voila le log.

    http://pjjoint.malekal.com/files.php?id=20111125_k10l13...

    Concrètement qu'a t-il fait? J'ai vu que ccweb était passé a la trappe, ça ne m'étonnes pas vu qu'il a toujours fait couiner tout le monde, mais ça fait un bail que je l'ai sans soucis, suis a peu près sure que ça viens pas de la. Bon vu ce que je m'en servais en même temps...

    Je ne peux pas te dire pour l'instant si quelque chose est résolu ou pas, il faut que j'attende un peu pour voir si le problème reviens ou pas. Je vais lancer quelques pages toutes les heures jusqu'à demain pour voir.
    25 Novembre 2011 16:34:54

    Bonjour shad35

    Ok ça tombe bien car c'est moi qui ai un détournement sur mon autre PC plus de Mozilla ni IE

    Donc a demain
    25 Novembre 2011 20:10:44

    ah mince, pas de bol. De mon coté rien de neuf. Habituellement j'ai des soucis à cette heure mais pour l'instant rien.
    Je viens de jeter un oeil a currports et c'est plutôt rassurant, mon avast ne tourne plus en local avec un remote host name en chine, ni aucun de mes processus. Et il est bien sur la dernière version à jour. Je vais guetter sagement et te souhaite bon courage de ton coté. Je ne clos pas le sujet de suite, j'attends de voir si ça reviens ou pas.
    26 Novembre 2011 07:22:35

    Bonjour shad35

    Citation :
    ah mince, pas de bol.

    Non mais chez moi c'est voulu , a force de télécharger des véroles pour voir le comportement voila ce qui arrive , mais ce n'est pas grave !:no: 

    Excuse moi je ne t'ai pas répondu ici :
    Citation :
    J'avais ad aware a une époque, est ce qu'il est toujours intéressant?

    Non il est obsolète !
    Pour les antispywares gratuits regarde cette page:
    http://forum.malekal.com/antispyware-gratuit-sert-rien-...
    Mais MBAM en gratuit est très bien tu le passes après mise a jour et selon ta façon de naviguer autant de fois que tu veux , autrement il faut investir la somme de 22,95 € pour le pro!

    Citation :
    Je vais guetter sagement et te souhaite bon courage de ton coté. Je ne clos pas le sujet de suite, j'attends de voir si ça reviens ou pas.

    Ok et si c'est bon tu fais ceci:

    Télécharge Delfix sur ton bureau

    Pour Xp : Double clique sur l'icône Delfix
    Pour Vista et Seven: Clique droit sur l'icône de Delfix puis sélectionne 'Exécuter en tant qu'administrateur'.
    clic sur le bouton [Suppression]
    Poste le rapport


    26 Novembre 2011 19:47:50

    Bonsoir

    Désolée du temps de réponse, j'ai eu une journée bricolage désastreuse.

    Très intéressant l'article sur les anti-spy. Comme quoi niveau sécurité, c'est vrai que je suis restée 10 ans en arrière. Je savais déjà que le double antivirus c'était comme la double capote, mais j'ignorais que les anti-spy &cie faisaient maintenant également double emploi avec les antivirus actuels.

    Je n'ai pas eu de nouveau le problème de web depuis qu'on a virer SB et nettoyé un coup. Est-il possible qu'il soit le responsable.
    Étrange tout de même, je l'avais depuis des années, à jour avec vaccins régulier et c'est la première fois que j'ai (avais) ce problème de web...

    Voilà le log!


    Citation :
    # DelFix v8.6 - Rapport créé le 26/11/2011 à 19:39:37
    # Mis à jour le 13/10/11 à 18h par Xplode
    # Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
    # Nom d'utilisateur : Shad - SHAD-PC (Administrateur)
    # Exécuté depuis : C:\Users\Shad\Desktop\delfix.exe
    # Option [Suppression]


    ~~~~~~ Dossiers(s) ~~~~~~


    ~~~~~~ Fichier(s) ~~~~~~


    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
    Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis

    ~~~~~~ Autres ~~~~~~

    -> Prefetch Vidé

    *************************

    DelFix[R1].txt - [664 octets] - [26/11/2011 19:39:27]
    DelFix[S1].txt - [622 octets] - [26/11/2011 19:39:37]

    ########## EOF - C:\DelFix[S1].txt - [745 octets] ##########
    26 Novembre 2011 21:17:37

    bonsoir
    Citation :
    Désolée du temps de réponse, j'ai eu une journée bricolage désastreuse.

    Pas grave du moment que tu as fait du bricolage :D 

    Citation :
    Je n'ai pas eu de nouveau le problème de web depuis qu'on a virer SB et nettoyé un coup.

    Voir plutôt de ce côté cacaotruc machin
    http://blog.alldebrid.com/

    Avant de terminer quelques conseils en vracs!
    Il faut toujours mettre à jour Internet Explorer. : IE 8 pour XP IE 9 pour Vista et Seven Même si tu utilises Firefox

    Il faut modifier tous les mots de passe importants.
    De nos jours, la plupart des nuisibles sont créés dans le seul but de voler des informations personnelles et/ou des mots de passe.
    Je te conseille de modifier tous les mots de passe importants comme ceux concernant la banque, les sites marchands, les réseaux sociaux, etc...
    Il est très important de créer des mots de passe solides et d'utiliser un mot de passe différent pour chaque site.

    Il faut sécuriser Firefox: Certaines extensions me semblent presque indispensables:

    Adblock Plus https://addons.mozilla.org/fr/firefox/addon/1865
    NoScript https://addons.mozilla.org/fr/firefox/addon/722
    WOT https://addons.mozilla.org/fr/firefox/addon/3456

    Proscrire l'utilisation de cracks, keygens et autres warez!
    Proscrire l'utilisation de P2P illicite!
    Azureus, BitTorrent, uTorrent:

    Tu peux Ajoutez [Résolu] au titre. Pour cela :
    * Clique, dans ton premier message, sur le bouton "Modifier" (en bas)

    *Ajoute ensuite "résolu" à coté de ton titre et valide.
    * Clique ensuite sur "Mettre à jour"

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    Il ne me reste plus qu'à te souhaiter une bonne fin de soirée et un bon surf!!!

    26 Novembre 2011 23:17:03

    Pfeuu tu parles, j'aurais préféré me "bricoler" une nouvelle tour que de "bricoler" ma cuisine. Quel enfer :) 

    Mauvaise nouvelle pour cacao, dommage c'était pratique pour visionner les anime pas encore licenciée. Va falloir que je procède à l'ancienne et les DL d'avance, ou trouver des sites qui les mettent sur youtube plutôt que MV. J'en mourrai pas, c'est mieux ainsi.

    Bonne idée pour IE. Je tiens toujours tous mes logiciels à jour (mise à jour auto ou utilisation récurrente faisant que) mais IE je l'exècre tellement que j'y pense jamais.
    D'ailleurs je me sers de moins en moins de FF mais je vais aller chercher les plugs mentionnés. As-tu le même genre pour Chrome qui est devenu mon navigateur par défaut?

    Pas de pb sur les mdp, sont tous d'une complexité jugée suffisante à l'heure actuelle (lettres, maj, chiffre) et d'une diversité qui me fait parfois passer 5 min à les retrouver :)  Ca serait raisonnable de les changer après ce petit problème en effet (siiiic! Encore plein à retenir...!)

    L’évidence même quant au cracks et autres. uT est sur ma bécane parce que nombreux sont les logiciels tout a fait legit qui se téléchargent en bittorent maintenant (open office par ex) et que c'est biiiien plus pratique par cette passerelle. Le P2P licite existe également, je viens de finir de DL le client SW de beta de cette manière, et dieu merci heureusement 20go+ autrement, je me serait pendue avec les autres betatesteur.

    Sur ce, bonne soirée également à toi aussi. Et merci pour l'analyse et le fix!




    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS