accès impossible aux moteurs de recherche

Modérateur: Modérateurs et Modératrices

accès impossible aux moteurs de recherche

Messagede cramto » 09 Juin 2014, 01:20

Bonjour,
Après décontamination, l'accès aux moteurs de recherche reste impossible sous IE et Google chrome

j'ai uploadé le rapport ZHPDiag ici http://pjjoint.malekal.com/files.php?id ... 36g7v11v13

j'ai cru comprendre que le problème viendrait d'une modification du fichier hosts, mais je n'arrive pas à trouver comment le corriger

si quelqu'un a une idée, elle sera la bienvenue

Merci
cramto
 
Messages: 2
Inscription: 09 Juin 2014, 01:12

Re: accès impossible aux moteurs de recherche

Messagede Vazkor » 09 Juin 2014, 04:01

Bonjour,

D'après ce que je vois de votre fichiers Hosts, toutes les recherches Google, Bing et Yahoo sont redirigées vers deux adresses IP suspectes :
178.17.165.3
78.46.249.76


Pour moi la solution la plus simple est de supprimer purement et simplement le fichier HOSTS existant et éventuellement de le remplacer par un fichier HOSTS propre.

J'ai la chance d'avoir le même OS que vous, Windows 7 Home Premium.
Voici le chemin du fichier HOSTS :
C:\Windows\System32\drivers\etc\HOSTS

Si vous essayez de l'éditer cela vous sera refusé, mais vous pouvez le déplacer vers le Bureau par exemple ou le supprimer froidement.

Cela étant fait pour pouvez le remplacer par un fichier hosts décent tel que celui de MVPS :
http://winhelp2002.mvps.org/hosts.htm


Juste pour info, voici le résultat des commandes tracert des deux IP suspectes :

C:\Windows\system32>tracert 178.17.165.3

Détermination de l'itinéraire vers 178-17-165-3.ip.as43289.net [178.17.165.3]
avec un maximum de 30 sauts :

1 1 ms <1 ms <1 ms 192.168.1.1
2 19 ms 20 ms 19 ms 1.0-134-109.adsl-dyn.isp.belgacom.be [109.134.0.1]
3 * * 344 ms lag-88-100.iarmar3.isp.belgacom.be [91.183.242.110]
4 * * 22 ms lag-14-1000.ibrmar3.isp.belgacom.be [91.183.246.178]
5 22 ms 24 ms 22 ms 80.84.23.94
6 22 ms 22 ms 21 ms 94.102.162.83
7 48 ms 211 ms 208 ms 80.84.18.106
8 30 ms 28 ms 29 ms i00par-005-ten2-5.bb.ip-plus.net [193.5.122.140]
9 35 ms 35 ms 35 ms te0-0-0-4.ccr21.par04.atlas.cogentco.com [130.117.14.117]
10 35 ms 34 ms 35 ms be2310.mpd21.par01.atlas.cogentco.com [154.54.73.249]
11 35 ms 36 ms 35 ms be2279.ccr41.fra03.atlas.cogentco.com [154.54.62.82]
12 41 ms 41 ms 41 ms be2228.ccr21.muc01.atlas.cogentco.com [154.54.38.50]
13 49 ms 49 ms 59 ms be2224.ccr21.bts01.atlas.cogentco.com [154.54.36.10]
14 73 ms 79 ms 79 ms te7-1.ccr01.kbp01.atlas.cogentco.com [130.117.49.134]
15 75 ms 75 ms 75 ms te2-2.ccr01.ods01.atlas.cogentco.com [154.54.57.10]
16 78 ms 78 ms 78 ms te2-1.ccr01.kiv01.atlas.cogentco.com [154.54.75.202]
17 74 ms 81 ms 73 ms in-cogent.ch.md.trabia.net [149.14.58.6]
18 73 ms 73 ms 73 ms 178-17-165-3.ip.as43289.net [178.17.165.3]

Itinéraire déterminé.
-----------------------------------------
C:\Windows\system32>tracert 78.46.249.76

Détermination de l'itinéraire vers static.76.249.46.78.clients.your-server.de [78.46.249.76]
avec un maximum de 30 sauts :

1 1 ms <1 ms <1 ms 192.168.1.1
2 19 ms 19 ms 19 ms 1.0-134-109.adsl-dyn.isp.belgacom.be [109.134.0.1]
3 107 ms 22 ms * lag-88-100.iarmar3.isp.belgacom.be [91.183.242.110]
4 * * * Délai d'attente de la demande dépassé.
5 * 23 ms 29 ms 80.84.23.94
6 34 ms 22 ms 22 ms 94.102.160.9
7 35 ms 36 ms 35 ms 94.102.162.201
8 35 ms 46 ms 35 ms r1lon1.core.init7.net [77.109.135.245]
9 40 ms 40 ms 40 ms r1nue1.core.init7.net [77.109.140.254]
10 41 ms 45 ms 44 ms gw-hetzner.init7.net [77.109.135.102]
11 46 ms 41 ms 40 ms core11.hetzner.de [213.239.203.137]
12 44 ms 43 ms 43 ms core22.hetzner.de [213.239.245.226]
13 43 ms 43 ms 43 ms juniper2.rz14.hetzner.de [213.239.245.126]
14 44 ms 44 ms 46 ms hos-tr3.ex3k1.rz14.hetzner.de [213.239.224.194]
15 44 ms 43 ms 43 ms static.145.52.4.46.clients.your-server.de [46.4.52.145]
16 * * * Délai d'attente de la demande dépassé.
...
30 * * * Délai d'attente de la demande dépassé.
Le tracert n'aboutit pas, pas plus qu'un Ping)

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9804
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Re: accès impossible aux moteurs de recherche

Messagede cramto » 09 Juin 2014, 09:15

Merci Vazkor pour cette explication détaillée et cette suggestion quasi "sanitaire"
J'ai du mal à comprendre pourquoi ce fichier n'est pas systématiquement tenu à jour par les éditeurs d'OS
dans un premier temps, je m'étais contenté de vider le fichier hosts de tout contenu (à l'exception de localhosts)

Ce problème est pour moi résolu.
s'il peut servir à d'autres...

Bonne journée
cramto
 
Messages: 2
Inscription: 09 Juin 2014, 01:12

Re: accès impossible aux moteurs de recherche

Messagede shl » 09 Juin 2014, 16:35

Bonsoir,

Le Hosts est vide par défaut sur tous les OS. Il a 3 utilisations possibles :

- Accélérer l'accès aux sites web en stockant sur le PC la correspondance nom de domaine / IP, sans avoir besoin d'interroger les serveurs DNS d'internet. C'était son rôle au départ.

- Détournement par des parasites : utiliser le hosts pour mettre une fausse correspondance entre un nom de domaine et une IP. C'est ce qui t'est arrivé (redirection de Google vers une IP louche).

- Utilisation pour la sécurité : lister les sites malfaisants et les rediriger vers une adresse bidon (0.0.0.0 ou 127.0.0.1). C'est ce que fait le Hosts dont Vazkor a donné le lien.


Pourquoi Microsoft ne met pas d'office un Hosts rempli et verrouillé ? Parce que ce serait un outil de censure d'internet, n'importe quel site pourrait théoriquement être bloqué et l'internaute n'y aurait plus accès. :)

Hosts - Le fichier Hosts - Qu'est-ce que c'est ?
La vie privée n'est pas réservée à ceux qui ont des choses à se reprocher.
Ma config détaillée
Assiste.com
Avatar de l’utilisateur
shl
Modérateur
 
Messages: 3614
Inscription: 30 Oct 2004, 23:06
Localisation: Suivez mon regard...

Re: accès impossible aux moteurs de recherche

Messagede pierre » 10 Juin 2014, 02:11

Bonjour Cramto, bonjour Vazkor,

Le serveur 178.17.165.3
Je n'ai pas trouvé de domaine sur ce serveur ni sur aucun des 8 serveurs de son intervalle
Géolocalisation : Moldova, Republic Of Chisinau I.c.s. Trabia-network S.r.l.
Exploitant : AS43289 TRABIA-NETWORK I.C.S. Trabia-Network S.R.L.,MD (registered Jul 09, 2007), qui dispose d'un intervalle de 8 machines dans le subnet 178.17.165.0 - 178.17.165.255.
inetnum: 178.17.165.0 - 178.17.165.7
netname: MAGIC-NET
descr: S.C. Magic-Net S.R.L.
country: MD
admin-c: VV2411-RIPE
tech-c: VV2411-RIPE
status: ASSIGNED PA
mnt-by: TRABIA-MNT
source: RIPE # Filtered

person: Vladimir Vieru
address: S.C. Magic-Net S.R.L.
address: MD-2001 Chisinau
address: Republic of Moldova
phone: +373 (22) 928696
fax-no: +373 (22) 542103
nic-hdl: VV2411-RIPE
mnt-by: TRABIA-MNT
source: RIPE # Filtered

route: 178.17.165.0/24
descr: Trabia-Network Data Center
org: ORG-ITS10-RIPE
origin: AS43289
mnt-by: TRABIA-MNT
source: RIPE # Filtered

organisation: ORG-ITS10-RIPE
org-name: I.C.S. Trabia-Network S.R.L.
org-type: LIR
address: str. V. Pircalab 52
address: 2012
address: Chisinau
address: MOLDOVA, REPUBLIC OF
phone: +37322994994
fax-no: +37322844509
admin-c: TNET-RIPE
tech-c: TNET-RIPE
abuse-c: TNET-RIPE
mnt-ref: TRABIA-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

Cette machine est classée "Malware site" d'après Kaspersky et Sophos

De nombreux parasites, injectés dans les machines des utilisateurs, communiquent avec ce serveur dont :
Backdoor:Win32/Simda.A (également appelé Backdoor:Win32/Simda.A )
Détection/Nombre d'antivirus : 32/45 - Analyse VirusTotal
Détection/Nombre d'antivirus : 31/45 - Analyse VirusTotal
Détection/Nombre d'antivirus : 30/45 - Analyse VirusTotal
Détection/Nombre d'antivirus : 33/45 - Analyse VirusTotal
Détection/Nombre d'antivirus : 28/45 - Analyse VirusTotal
Détection/Nombre d'antivirus : 36/44 - Analyse VirusTotal
Détection/Nombre d'antivirus : 29/45 - Analyse VirusTotal
Détection/Nombre d'antivirus : 30/45 - Analyse VirusTotal
Détection/Nombre d'antivirus : 31/45 - Analyse VirusTotal
Détection/Nombre d'antivirus : 30/45 - Analyse VirusTotal
Détection/Nombre d'antivirus : 31/43 - Analyse VirusTotal
Détection/Nombre d'antivirus : 33/45 - Analyse VirusTotal
Détection/Nombre d'antivirus : 32/45 - Analyse VirusTotal
Détection/Nombre d'antivirus : 28/44 - Analyse VirusTotal
Détection/Nombre d'antivirus : 35/45 - Analyse VirusTotal
Détection/Nombre d'antivirus : 38/46 - Analyse VirusTotal
Détection/Nombre d'antivirus : 34/46 - Analyse VirusTotal
Détection/Nombre d'antivirus : 37/46 - Analyse VirusTotal
Détection/Nombre d'antivirus : 35/45 - Analyse VirusTotal
Détection/Nombre d'antivirus : 32/46 - Analyse VirusTotal
Détection/Nombre d'antivirus : 34/46 - Analyse VirusTotal
Détection/Nombre d'antivirus : 33/46 - Analyse VirusTotal
Détection/Nombre d'antivirus : 31/46 - Analyse VirusTotal
Détection/Nombre d'antivirus : 31/47 - Analyse VirusTotal
Détection/Nombre d'antivirus : 33/45 - Analyse VirusTotal
Détection/Nombre d'antivirus : 35/46 - Analyse VirusTotal
Détection/Nombre d'antivirus : 33/46 - Analyse VirusTotal
Détection/Nombre d'antivirus : 32/46 - Analyse VirusTotal
Détection/Nombre d'antivirus : 31/46 - Analyse VirusTotal
Détection/Nombre d'antivirus : 40/46 - Analyse VirusTotal
Détection/Nombre d'antivirus : 32/47 - Analyse VirusTotal
Détection/Nombre d'antivirus : 26/47 - Analyse VirusTotal
Détection/Nombre d'antivirus : 35/47 - Analyse VirusTotal

http://google.com/safebrowsing/diagnostic?site=178.17.165.3/
http://safeweb.norton.com/report/show?url=178.17.165.3
http://www.avgthreatlabs.com/domain-not-found/domain/178.17.165.3/
https://www.mywot.com/en/scorecard/178.17.165.3
https://www.virustotal.com/fr/ip-address/178.17.165.3/information/

Le serveur 78.46.249.76
Je n'ai pas trouvé de domaine sur ce serveur ni sur aucun des 8 serveurs de son intervalle
Géolocalisation : Germany Falkenstein Retinatik Beyoglu Vd
Exploitant : AS24940 HETZNER-AS Hetzner Online AG,DE (registered Jun 03, 2002), qui dispose d'un intervalle de 8 machines dans le subnet 78.46.249.0 - 78.46.249.255
inetnum: 78.46.249.72 - 78.46.249.79
netname: RETINATIK-BEYOGLU-VD-25879046652
descr: Retinatik Beyoglu VD 25879046652
country: DE
admin-c: OEE7-RIPE
tech-c: OEE7-RIPE
status: ASSIGNED PA
mnt-by: HOS-GUN
source: RIPE # Filtered

person: Osman Emre Erkmen
address: Retinatik Beyoglu VD 25879046652
address: Omer Avni Mah. Molla Bayiri Sk. Deniz Han Daire 9
address: 34427 Istanbul
address: TURKEY
phone: +905326938881
nic-hdl: OEE7-RIPE
mnt-by: HOS-GUN
source: RIPE # Filtered

route: 78.46.0.0/15
descr: HETZNER-RZ-NBG-BLK5
origin: AS24940
org: ORG-HOA1-RIPE
mnt-by: HOS-GUN
source: RIPE # Filtered

organisation: ORG-HOA1-RIPE
org-name: Hetzner Online AG
org-type: LIR
address: Hetzner Online AG
address: Attn. Martin Hetzner
address: Industriestrasse 25
address: 91710
address: Gunzenhausen
address: GERMANY
phone: +49 9831 610061
fax-no: +49 9831 610062
admin-c: TF2013-RIPE
admin-c: MF1400-RIPE
admin-c: GM834-RIPE
admin-c: HOAC1-RIPE
admin-c: MH375-RIPE
admin-c: SK2374-RIPE
admin-c: SK8441-RIPE
mnt-ref: HOS-GUN
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
abuse-c: HOAC1-RIPE
source: RIPE # Filtered


http://google.com/safebrowsing/diagnostic?site=78.46.249.76/
http://safeweb.norton.com/report/show?url=78.46.249.76
http://www.avgthreatlabs.com/domain-not-found/domain/78.46.249.76/
https://www.mywot.com/en/scorecard/78.46.249.76
https://www.virustotal.com/fr/ip-address/78.46.249.76/information/


Le fichier hosts
Bonne solution proposée par Vazkor avec la liste hosts des MVPS
MVP (MS MVP) - Quid ?


Autre solution : pas de fichier hosts (restaurer hosts à son contenu par défaut)
Hosts - Comment restaurer un fichier hosts corrompu

Comprendre hosts
Hosts - Le fichier Hosts - Qu'est-ce que c'est ?
Hosts et DNS : Schéma de principe de la résolution des noms de domaine
Hosts et DNS - Un peu d'histoire
WWW - Naissance du Web

Plus généralement : Dossier : Hosts et DNS

Recommandation
Je ne sais pas si le log ZHP que vous nous communiquez est un nouveau log, après votre première désinfection, ou s'il s'agit de celui précédant votre désinfection (et qui vous aurait assisté dans votre désinfection). Est-ce que la désinfection a été effectuée car, pour l'instant, dans ce log :

  • Vous êtes infecté par Better-Surf
  • Vous êtes infecté par Offerbox
    C'est un Pup - Potentially Unwanted Program qui, dans Internet Explorer, pratique un Hijack en installant un proxy. Si vous n'utilisez pas, normalement, de proxy (c'est votre machine personnelle et non pas un machine dans un réseau d'un entreprise), il faut, après désinfection, supprimer le paramétrage de ce proxy (si cela est fait avant désinfection, le proxy sera rétablis inlassablement par l'infection) :
    Cliquez sur > Démarrer > Panneau de configuration > Connexion réseau et Internet > Options Internet
    Onglet " Connexions "
    Dans Paramètres du réseau local, cliquez sur le bouton " Paramètres réseau "
    Décochez la case " Utiliser un serveur proxy pour votre réseau local "
    Cliquez sur OK
    Cliquez de nouveau sur OK
    C'est terminé - il n'y a plus de proxy dans Internet Explorer.
  • Vous êtes infecté par Qvo6
  • Vous êtes infecté par 22Find, un Hijacker. C'est sans doute lui qui a modifié votre DNS local (le fichier hosts).
  • Vous êtes infecté par Lollipop, qui est un Adware - Les gestionnaires de publicités
  • Vous êtes infecté par OptimizerPro
  • Easybits - Software update notification (Easybits Magic Desktop for HP) est un inutilitaire livré en standard avec certains systèmes HP. Il fait partie de ces trucs qualifiés de Bloatware.



Procédez à une décontamination avec
Décontamination anti-malwares

Bloquer les mécanismes publicitaires, dont de nombreux sont utilisés pour faire pénétrer des malveillances
Bloquer tous les mécanismes publicitaires et toute la publicité sur le Web

Maintenez votre système à jour :
Nous sommes le mardi 10 juin 2014, soit le second mardi du mois. Dès trois heure du matin, il y a eu une mise à jour de Windows comme tous les second mardi de chaque mois.
Procédure de mise à jour périodique d'un l'ordinateur sous Windows (complément à Windows Update)


Bonne journée

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26517
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: accès impossible aux moteurs de recherche

Messagede pierre » 10 Juin 2014, 02:19

Grillé par SHL à propos de hosts.
J'avais commencé cette réponse lundi matin puis je suis revenu dessus vers 2h du mat, mardi !
:wink:
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26517
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: accès impossible aux moteurs de recherche

Messagede pierre » 12 Juin 2014, 23:16

Bonjour,

Au fait, l'attaque du DNS local pour détourner des domaines vers d'autres domaines s'appelle :

Pharming

Cette forme d'attaque peu viser à pratiquer du Phishing ou a détourner l'argent du Web (rémunération des liens publicitaires, des affiliations, etc. ...)
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26517
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Internet (tous navigateurs - navigation) et moi

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités