Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1296 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  [Virus?] Reboot auto des parametres DNS (ipv4)

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Virus?] Reboot auto des parametres DNS (ipv4)

n°3137897
v4mpir3
Total mandingue
Posté le 01-09-2014 à 19:03:55  profilanswer
 

Bonjour à la communauté !

 

J'expérimente actuellement un problème gênant sur mon PC (HFR Power Gaming de 2012 [:o_doc]), edition Win 7 64 (familiale)

 

Quand je suis rentré chez moi tout à l'heure je n'avais plus acces à internet. Après quelques recherches j'ai remarqué que le DNS principal de mon IPV4 était passé à 127.0.0.1 ... [:klemton]

 

Bizarre. J'ai donc remis en automatique, j'ai surfé quelques minutes, puis tout d'un coup ca n'a plus fonctionné. Retour dans les parametres de la carte ,de nouveau 127.0.0.1 en DNS [:dakans]

 

J'ai passé un scan, j'ai trouvé un fichier suspect mais ca n'a pas résolu le problème. J'ai désinstallé / réinstallé les drivers, même topo. Là je suis en train de faire un scan complet avant démarrage mais je voulais savoir si de votre expérience vous aviez expérimenté cela , ou si vous connaissiez un virus qui ferait cet effet là.

 

J'ai trouvé des infos sur DNSChanger mais apparemment c'est un peu différent ...

 

Merci :jap:


Message édité par v4mpir3 le 01-09-2014 à 19:21:56

---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
mood
Publicité
Posté le 01-09-2014 à 19:03:55  profilanswer
 

n°3137900
v4mpir3
Total mandingue
Posté le 01-09-2014 à 19:22:05  profilanswer
 

Update : Le scan au redémarrage n'a rien donné. Par acquis de conscience j'ai lancé Ccleaner et Malwarebytes, mais rien de probant non plus.

 

Rien de suspect non plus dans les processus ou dans les programmes installés. J'avoue que je sèche totalement :sweat:

 

Le problème persiste ... [:dakans]


Message édité par v4mpir3 le 01-09-2014 à 19:24:02

---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
n°3137916
v4mpir3
Total mandingue
Posté le 01-09-2014 à 21:09:02  profilanswer
 

Je continue mes investigations, au cas où ca peut servir à quelqu'un .. :D
 
J'ai remarqué que le problème ne se produisait que lorsque je surfais sur le web, lorsque je joue à un jeu en ligne les paramètres réseau sont stables.
 
Je vais finir par trouver [:nozdormu]
 
Enfin j'espère [:tinostar]


---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
n°3137930
nnwldx
Posté le 01-09-2014 à 21:46:43  profilanswer
 

quelqu'un a eu le même problème sur le forum, mais on n'a pas trouvé la cause.
jete un œil sur ton fichier host, voir s'il n'est pas modifié.

n°3137941
Profil sup​primé
Posté le 01-09-2014 à 21:58:13  answer
 

Bonsoir,
 

nnwldx a écrit :

quelqu'un a eu le même problème sur le forum, mais on n'a pas trouvé la cause.
jete un œil sur ton fichier host, voir s'il n'est pas modifié.


 
Il s'agit de l'IP (DNS) pas du localhost, pas la même chose.
 
Perso, je ne vois pas trop la cause ?


Message édité par Profil supprimé le 01-09-2014 à 22:00:30
n°3137953
nnwldx
Posté le 01-09-2014 à 22:24:29  profilanswer
 

je ne dis pas que c'est la même chose.
Je pense que c'est programme malveillant qui détourne le dns.
S'il modifie le DNS, il peut aussi modifier ton fichier host.
Quand tu fais une recherche d'une adresse d'un site, ton poste va d'abord chercher dans le fichier host, s'il ne trouve pas, il regarde dans le cache puis il lance une requête au DNS.
Il vaut mieux s'assurer que le fichier host est saint.

n°3137956
Profil sup​primé
Posté le 01-09-2014 à 22:40:28  answer
 

Je ne vois pas l'intérêt qu'aurait un malware de détourner les DNS vers le réseau local
Mais bon puisque tu l'affirmes.
 
Bonne soirée.
 
++

n°3137957
nnwldx
Posté le 01-09-2014 à 22:44:59  profilanswer
 

On a changé le DNS sur un poste pour mettre mauellement ceux de google.
Cela fonctionne pendant 5 minutes puis le paramétrage saute et on se retrouve avec 127.0.0.1 en DNS a la place.
Ca sent le malware.
Tu peux avoir un dns en 127.0.0.1 et avoir un fonctionnement semblable à un windows serveur.
Mais dans ce cas, le programme fait pour détourner ne marche pas bien.

n°3137970
v4mpir3
Total mandingue
Posté le 02-09-2014 à 09:29:58  profilanswer
 

A priori mon fichier host est sain .. je revérifierais ce soir ( il s'agit bien du fichier hosts dans system32/drivers/etc ? )
 
Tout est en commentaire dedans, sauf erreur de ma part.
 
J'ai fait un test cette nuit, j'ai mis plusieurs fichiers à télécharger, aucun souci. J'ai désinstallé google chrome, j'ai surfé un peu avec I.E : hop, retour à 127.0.0.1 [:klemton]
 
A n'y rien comprendre [:spamafote]


---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
n°3137971
v4mpir3
Total mandingue
Posté le 02-09-2014 à 09:57:02  profilanswer
 

On dirait que je suis pas le seul en tous cas [:o_doc]
 
http://community.spiceworks.com/to [...] -127-0-0-1
http://www.bleepingcomputer.com/fo [...] resetting/
http://www.dslreports.com/forum/r2 [...] -127.0.0.1
 
Je vais essayer tout ca ce soir et je vous tiens au courant ;)
 
Encore merci :jap:


---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
mood
Publicité
Posté le 02-09-2014 à 09:57:02  profilanswer
 

n°3138013
Profil sup​primé
Posté le 02-09-2014 à 18:00:19  answer
 

Bonsoir tout le monde,
 
@ nnwldx
 

nnwldx a écrit :

On a changé le DNS sur un poste pour mettre mauellement ceux de google.
Cela fonctionne pendant 5 minutes puis le paramétrage saute et on se retrouve avec 127.0.0.1 en DNS a la place.
Ca sent le malware.
Tu peux avoir un dns en 127.0.0.1 et avoir un fonctionnement semblable à un windows serveur.
Mais dans ce cas, le programme fait pour détourner ne marche pas bien.


 
J'en apprend à ton contact à chaque fois que l'on se croise, ceci dit pas avant que tu développes tes postes. :whistle:  
Merci de m'ouvrir les yeux  :sol:  
 
Ta logique est bonne. Les Hijackers modifient la plupart du temps le proxyoverride du registre sous la forme 127.0.0.1 : un port quelconque comme 8080 par exemple.
Ce proxy est directement lié à la navigation web, on sait que sur ce pc l'IP DNS n'est modifié que quand le navigateur est sollicité donc quand l'hijacker communique avec son serveur via son proxy.
Donc ça sent effectivement le malware = hijacker !?
 
@ v4mPir3 :
 
Tu vas lancer cet outil pour vérification :
 
==> AdwCleaner - mode Scanner
 

  • Télécharge Adwcleaner (de Xplode) sur ton Bureau !
  • Sous windows vista, sept et huit, lance AdwCleaner par un clique droit puis "Exécuter en tant qu'administrateur"
  • Choisis l'option Scanner


    http://img11.hostingpics.net/pics/343274Scan.png
 

  • Un rapport va s'ouvrir, héberge le rapport sur Cjoint et envoies le lien de lecture dans ta prochaine réponse sur le forum.


Comment héberger un rapport sur ci-joint :
 

  • Clique sur ce lien : http://www.cjoint.com/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur "Créer le lien Cjoint" pour déposer le fichier.
  • Un lien de cette forme, http://cjoint.com/?CFnaaobHAob, est ajouté dans la nouvelle page.
  • Copie-colle ce lien dans ta réponse.


Aide en image => ICI
 
 
++
 
 
 
 

n°3138048
nnwldx
Posté le 02-09-2014 à 20:17:58  profilanswer
 

@malwarebleach
A mon avis ce problème est un malware qui ne fonctionne plus bien.
Tout cela devrait être indivisible pour l'utilisateur, le malware détourne le dns vers le poste local, le malware a installé son propre client dns qui écoute en local fait ensuite la requête vers un serveur DNS pirate.
Le DNS pirate en réponse doit renvoyer les bonnes ips pour la plus part des sites, sauf ceux intéressants comme facebook, les banques, mails...
Là, le programme renvoie vers un site de phishing identique.
Le site pirate qui faisait serveur DNS a dû se faire avoir et ne fonctionne plus. Cependant le malware continue toujours a envoyé ses requêtes vers lui même.
Et si jamais on essaye de lui mettre autre chose que 127.0.0.1, il doit le modifier de lui même.
Le malware a l'air bien foutu car le taux de détection par les anti-malware à l'air assez faible.
Je pense qu'il va falloir partir sur un nouveau profil pour s'en débarasser ou une analyse depuis un autre poste.

n°3138049
Profil sup​primé
Posté le 02-09-2014 à 20:38:10  answer
 

nnwldx a écrit :

@malwarebleach
A mon avis ce problème est un malware qui ne fonctionne plus bien.
Tout cela devrait être indivisible pour l'utilisateur, le malware détourne le dns vers le poste local, le malware a installé son propre client dns qui écoute en local fait ensuite la requête vers un serveur DNS pirate.
Le DNS pirate en réponse doit renvoyer les bonnes ips pour la plus part des sites, sauf ceux intéressants comme facebook, les banques, mails...
Là, le programme renvoie vers un site de phishing identique.
Le site pirate qui faisait serveur DNS a dû se faire avoir et ne fonctionne plus. Cependant le malware continue toujours a envoyé ses requêtes vers lui même.
Et si jamais on essaye de lui mettre autre chose que 127.0.0.1, il doit le modifier de lui même.
Le malware a l'air bien foutu car le taux de détection par les anti-malware à l'air assez faible.
Je pense qu'il va falloir partir sur un nouveau profil pour s'en débarasser ou une analyse depuis un autre poste.


 
Difficile de donner un avis, tant que l'on ne connait pas la nature du malware. Pas sûr non plus qu'il fonctionne mal. Je ne t'apprends rien en te disant que ces bestioles sont sournoises. Quant au changement de compte c'est prématuré et l'analyse sur un autre poste inutile, c'est mieux quand le malware est actif. Il y a d'autres ressources que les anti-malwares pour désinfecter un pc.
 
la balle est dans le camps de v4mPir3

n°3138100
v4mpir3
Total mandingue
Posté le 03-09-2014 à 08:53:48  profilanswer
 


 
Tout d'abord un grand merci pour ces instructions. Malheureusement je n'ai pas vu ce post hier, tout plongé que j'étais dans mes recherches pour tenter de corriger le problème .. j'ai tenté de multiples solutions mais rien n'y a fait, y compris un nettoyage de la base de registre ...
 
Je vais suivre cette procédure dès ce soir et ne manquerais pas de t'en tenir informé :jap:


---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
n°3138117
nnwldx
Posté le 03-09-2014 à 12:52:25  profilanswer
 

y un topic dans la rubrique réseau public : Connecté à internet mais pas de navigation
Exactement le même problème, et c'est coriace.

n°3138122
v4mpir3
Total mandingue
Posté le 03-09-2014 à 13:51:38  profilanswer
 

Celui là ?  
 
http://forum.hardware.fr/hfr/resea [...] 9548_1.htm
 
Effectivement ca à l'air .... vicieux :x


---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
n°3138132
v4mpir3
Total mandingue
Posté le 03-09-2014 à 17:41:35  profilanswer
 

Voilà le rapport AdwCleaner :
 
http://cjoint.com/?DIdrQDsuuCn
 
Le scan m'a immédiatement trouvé un process lié au DNS : penwes [:klemton]
 
Je suis en train de faire des recherches pour voir de quoi il s'agit.
 
Et voilà sur quoi je tombe : http://www.penwes.com/438-faq-qu-e [...] penwes.php
 
On dirait bien que le coupable est enfin démasqué ! :D


Message édité par v4mpir3 le 03-09-2014 à 17:44:08

---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
n°3138134
nnwldx
Posté le 03-09-2014 à 17:50:59  profilanswer
 

Exact, c'est vrai qu'il y avait eu ce programme bien pourri, bien joué.

n°3138137
Profil sup​primé
Posté le 03-09-2014 à 18:17:57  answer
 

Bonsoir à tous,
 
C'est nnwldx qui m'a mis sur la voie, les symptômes sont caractéristiques d'un adware/Hijacker.  
 
Désinstalle Penwes de ton ordinateur comme tout programme.
 
La suite :
 
==> AdwCleaner - Mode  Nettoyage
 

  • Lance AdwCleaner par un clique droit "Exécuter en tant qu'administrateur" (sauf sous XP)
  • Clique sur  Scanner, patiente le temps du scan
  • Une fois le scan fini, clique sur Nettoyer
  • Accepte l'avertissement en cliquant sur OK


    http://img11.hostingpics.net/pics/610921Nettoyer.png
 

  • Accepte les avertissements/informations en cliquant sur OK
  • Ton pc va redémarrer et un rapport va apparaitre. Héberge le rapport sur Cjoint et copie/colle le lien dans ta prochaine réponse.


Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S0].txt
 
Un tutoriel pour t'aider à l'utiliser => ICI
 
==> ZHPDiag - programme de diagnostic
 

  • Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.


  • Laisse toi guider par le programme lors de l'installation.


  • Sous windows vista, 7/8, lance ZHPDiag,  par un clique droit puis "Exécuter en tant qu'administrateur"  


  • Clique sur Complet


    Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
 
    http://upload.sosvirus.net/images/2014/04/16/ZHPDiagc82cd.png
 

  • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPDiag.txt a été créé.


  • Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


 
 
Tu as donc 2 rapports à transmettre.

n°3138186
v4mpir3
Total mandingue
Posté le 04-09-2014 à 08:19:23  profilanswer
 

J'avais déjà nettoyé via AdwCleaner mais j'ai conservé le rapport, bien qu'à priori le problème soit corrigé ;)
 
Je vais le transmettre tout de même et appliquer le programme de diagnostic :jap:
 
Quoi qu'il en soit vous avez ma gratitude éternelle [:o_doc]


---------------
PSN : voradz / Steam ID : voradz / Bnet :Voradz#1571 / Uplay : Voradz
n°3140666
jeflehardi
Posté le 24-09-2014 à 22:33:12  profilanswer
 

Merci à tous !
 
il y avait le même sur l'ordi de mon père; j'avais testé spybot, avast, et 2 ou 3 autres : que dal ! toujours 127.0.0.1 qui revenait et avec adwcleaner, il est enfin parti !

n°3172905
ninpg
Posté le 02-06-2015 à 11:06:12  profilanswer
 

Même problème depuis plusieurs jours... Même cause (PenWes)
 
Après désinstallation c'est ok (apparemment) ! Merci !!!! :D

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  [Virus?] Reboot auto des parametres DNS (ipv4)

 

Sujets relatifs
Impossible de supprimer le virus Allday savingComment supprimer "le virus" Smarter Power - APPL/BrowseFox.Gen/?
Virus de cléf USB mais USBfix impossible à telecharger.Virus provenant d'un mail en @Amazon.co.uk
virus USB raccourcisVirus tueur d'antivirus
Besoin d'aide virusvirus ?
Impossible de cliquer sur paramètres administrateursVirus / Spyware logiciel messenger
Plus de sujets relatifs à : [Virus?] Reboot auto des parametres DNS (ipv4)


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR