Besoin d'aide pour DNS hijack

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Besoin d'aide pour DNS hijack

Messagede khalifa » 27 Oct 2008, 15:52

Édité: désactivation des liens.

Bonjour à tous,

J'ai eut quelques problèmes avec mon PC sur Vista, il a été infécté par le famauex malaware antispywareXP 2009, ce spyware qui fait planter le pc et qui le fait redemarer de temps à autres.

D'autres part il me bloque ou me reroute sur certaines adresses, par exemple, impossible de me connecter sur le site de symantec, ou lavasoft...

Autre problème, je subissais avant la venue de ce spyware (antispywareXP 2009) un DNS hijack qui quand je me trompe en tappant une page internet qui n'existe pas, au lieu d'avoir erreur DNS classique de windows je me retrouve sur http://www.searchathand.com/.


J'ai pris la descion de tout reformater, jusque là no problème, j'erradique ce satané antispywareXP 2009. Par contre, toujour ce satané problème avec http://www.searchathand.com/ et des popups qui sortent de temps à autres...

Quelqu'un aurait une idée? Je vais poster mon log hijackthis:






Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:06:46, on 27.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
C:\Windows\system32\prevhost.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL

--
End of file - 3977 bytes
khalifa
 
Messages: 3
Inscription: 27 Oct 2008, 15:38

Messagede nardino » 28 Oct 2008, 10:09

Bonjour.

Ton rapport Hijackthis est incomplet.
Peux-tu en poster un nouveau ?

Il n'y a aucune trace d'antivirus installé sur ce pc , est-ce normal ?

Télécharge et installe Malwarebyte's Anti-Malware de RubbeR DuckY
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée. Clique sur "Terminer"
Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau.
Au premier lancement, une fenêtre t'annonce que la version est Free, clique sur OK.
Laisse les Mises à jour se télécharger et referme le programme.

Redémarre en "Mode sans échec"
http://www.malekal.com/modesansechec.php

Lance Malwarebyte's Anti-Malware par clic droit sur l'icône du bureau et "Exécuter en tant qu'administrateur"
Onglet "Recherche", coche "Exécuter un examen complet" et "Rechercher"
Sélectionne ton disque dur et clique sur Lancer l'examen

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection
Redémarre en mode normal et poste le rapport.
Il se trouve dans l'onglet Rapports/Logs avec la date et l'heure d'exécution


@+
nardino
 
Messages: 377
Inscription: 31 Juil 2006, 14:34

Messagede khalifa » 28 Oct 2008, 14:36

J'ai instalé Avast version gratuite, fait un scan avant le démarrage de Vista et ca a enlevé quelques trojans.

Voilà le log mbam qui a été crée lors du mode sans échec:

Malwarebytes' Anti-Malware 1.30
Database version: 1332
Windows 6.0.6001 Service Pack 1

28.10.2008 14:31:11
mbam-log-2008-10-28 (14-31-07).txt

Scan type: Quick Scan
Objects scanned: 42688
Time elapsed: 1 minute(s), 23 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 4
Folders Infected: 1
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.5 85.255.112.65 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{df9bd441-0667-4ebf-8b02-85d54825127b}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.5 85.255.112.65 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.5 85.255.112.65 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{df9bd441-0667-4ebf-8b02-85d54825127b}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.5 85.255.112.65 -> No action taken.

Folders Infected:
C:\resycled (Trojan.DNSChanger) -> No action taken.

Files Infected:
(No malicious items detected)



Merci de votre aide.
khalifa
 
Messages: 3
Inscription: 27 Oct 2008, 15:38

Messagede khalifa » 28 Oct 2008, 17:15

Je viens de voir que TOUT les pcs de mon réseau sont infectés !!!!! MEME UN VIEU PENTIUM SOUS WINDOWS 98, il me redirige sur searchathand.com !!!!!!!

Ca peux venir de mon isp ? de mon routeur ??? Help je peux pas bosser comme ca :(
khalifa
 
Messages: 3
Inscription: 27 Oct 2008, 15:38

Messagede nardino » 30 Oct 2008, 09:29

Bonjour,

Infection par Wareout.

Tu ne m'as pas posté le nouveau rapport Hijackthis comme demandé et pour Malwarebytes, je t'avais demandé ceci :

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection


Cela a-t-il bien été effectué ?

Par ailleurs, nous nous occuperons d'un pc à la fois.
Mais tu peux faire un scan avec Malwarebytes Antimalware sur chacun d'eux.

Pour celui qui nous préoccupe actuellement, tu postes donc :

-Le rapport Malwarebytes après suppression.
-Un rapport Hijackthis, fraichement établi.
-Des informations sur l'évolution de la situation.


@+
nardino
 
Messages: 377
Inscription: 31 Juil 2006, 14:34

Messagede nardino » 30 Oct 2008, 19:45

Bonsoir.
NickW va prendre la relève.
@+
nardino
 
Messages: 377
Inscription: 31 Juil 2006, 14:34


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 10 invités