Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2945 connectés 

  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  megapowerpills

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Précédente
Auteur Sujet :

megapowerpills

n°1970736
vseblfr
vseblfr
Posté le 23-03-2005 à 10:31:50  profilanswer
 

Bonjour,
 
Aujourd'hui mon client m'appelle car 5 machines de son reseau ont un comportement bisare :
 
quand ils vont sur un site (chaque poste un autre  site) exemple www.msn.fr et ils se retrouve sur un site qui fait de la pub pour megapowerpills.com
le pire c que c arrivé au meme moment. et qu'en plus sur le meme pc ca peut changer de site.
aidez moi merci
l'adresse c 222.47.183.18


Message édité par vseblfr le 23-03-2005 à 10:33:24

---------------
vseblfr pour vous servir :-)
mood
Publicité
Posté le 23-03-2005 à 10:31:50  profilanswer
 

n°1970799
Alana
Amiga for ever.
Posté le 23-03-2005 à 11:14:35  profilanswer
 

Demande leur d'essayer un autre navigateur :)

n°1970875
vseblfr
vseblfr
Posté le 23-03-2005 à 12:19:26  profilanswer
 

ce n'est pas un pb de navigateur
 ca change aléatoirement les adresse ip
comme si il y avait un host mobile


---------------
vseblfr pour vous servir :-)
n°1970878
vseblfr
vseblfr
Posté le 23-03-2005 à 12:21:42  profilanswer
 

c hyper urgent


---------------
vseblfr pour vous servir :-)
n°1970941
Alana
Amiga for ever.
Posté le 23-03-2005 à 13:09:07  profilanswer
 

c'est a dire ?
si tu tape ping www.msn.fr et que ca te donne une ip autre que celle d'un serveur microsoft, la je suis d'accord, le navigateur n'y ai pour rien. Dans le cas contraire, je regrette, le responsable est IE ou un malware déstiné a IE.
dans les deux cas tu resoud le pb en utilisant autre chose.

n°1970948
vseblfr
vseblfr
Posté le 23-03-2005 à 13:14:18  profilanswer
 

oui c ca
quand je fais ping www.msn.fr j'ai 222.47.183.18 au lieu de la bonne ip
mais le pire c que cela tourne dans le pc c dynamique
unefois c msn une fois c autre chose


---------------
vseblfr pour vous servir :-)
n°1970954
minipouss
un mini mini
Posté le 23-03-2005 à 13:16:30  profilanswer
 

y a quoi dans leurs fichiers hosts?


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1970955
com21
real men don't click
Posté le 23-03-2005 à 13:16:36  profilanswer
 
n°1970958
Alana
Amiga for ever.
Posté le 23-03-2005 à 13:18:18  profilanswer
 

ah, la c'est un peu plus grave.. a ta place je re-instalerai toute la couche tcp/ip. Maintenant meme si ca resoud le probleme ca risque de pas le resoudre longtemps, donc la je crois que t'es bon pour utiliser toute la panoplie de logiciel anti malware and co. Evidement le formatage ca sera beaucoup, beaucoup, beaucoup plus rapide.
 
Edit : grillé par com21 :)
Edit2: si tu ne choisit pas l'option formatage, je te conseil de commencer par installer avast qui a souvant fait des miracles chez de nombreuses connaissances.  
Edit3: Toujours si tu ne choisit pas l'option formatage, oubli la notion d'urgence, tu peux tout de suite dire a ta hirerarchie que ca va prendre du temps...


Message édité par Alana le 23-03-2005 à 13:21:32
n°1970961
minipouss
un mini mini
Posté le 23-03-2005 à 13:18:50  profilanswer
 

à mon avis c'est plus un virus qu'un spyware je pense
 
(mais ça fait pas de mal de lire les deux tutos de toute façon :D)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
mood
Publicité
Posté le 23-03-2005 à 13:18:50  profilanswer
 

n°1970994
vseblfr
vseblfr
Posté le 23-03-2005 à 13:34:00  profilanswer
 

voici le hidjathis
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
c:\bti\winnt\bin\ntmkde.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\System32\sfmsvc.exe
C:\WINNT\System32\sfmprint.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\RsFsa.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\RsSub.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\System32\lserver.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINNT\System32\internat.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINNT\system32\RsEng.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\UltraVNC\winvnc.exe
C:\WINNT\System32\mdm.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\config\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: BTI Microkernel Engine - Unknown owner - c:\bti\winnt\bin\ntmkde.exe
O23 - Service: Cegid App Serveur (CegidService) - CEGID - C:\CEGIDSRV\CegidServices.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Cegid eAGL Service (PGIService) - Unknown owner - C:\CEGIDSRV\PGIService.exe (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\winvnc.exe" -service (file missing)


Message édité par vseblfr le 23-03-2005 à 13:47:55

---------------
vseblfr pour vous servir :-)
n°1971012
com21
real men don't click
Posté le 23-03-2005 à 13:44:10  profilanswer
 

comme le montre http://www.hijackthis.de/index.php?langselect=french
 
vérifié que 172.17.10.2 et 194.2.0.50  soient bien tes serveurs dns


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°1971014
vseblfr
vseblfr
Posté le 23-03-2005 à 13:44:47  profilanswer
 

oui oui c bien mes DNS


---------------
vseblfr pour vous servir :-)
n°1971022
vseblfr
vseblfr
Posté le 23-03-2005 à 13:49:59  profilanswer
 

je trouve vraiment pas
l'anti virus (symantec) mise a jour ne trouve rien non plus


---------------
vseblfr pour vous servir :-)
n°1971028
minipouss
un mini mini
Posté le 23-03-2005 à 13:52:15  profilanswer
 

ça bloque aussi vers des sites de sécurité, style symantec, kaspersky ou  autre?
 
et le fichiers hosts y a quoi dedans?


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1971030
vseblfr
vseblfr
Posté le 23-03-2005 à 13:53:06  profilanswer
 

une question?
si cela touche aussi les machines dans le reseau ca paeut pas etre les dns.
exemple : imaginez que dans mon reseau interne j'ai une machine srvnat et que quand je fais ping srvnat je me retrouve avec le 222...... et non le 192.168.2.2 c forcerment au niveau de la machine pas des dns?


---------------
vseblfr pour vous servir :-)
n°1971032
whiteburne​r
make love not war !
Posté le 23-03-2005 à 13:53:32  profilanswer
 

c:\bti\winnt\bin\ntmkde.exe  
 
C quoi ce truc louche ?
Et sinon , dans ton fichier host , tu as quoi ?
 
WB.


---------------
"Never been much better than at 127.0.0.1"
n°1971033
vseblfr
vseblfr
Posté le 23-03-2005 à 13:53:46  profilanswer
 

dans le hosts il n'y a rien c la 1ere chose que j'ai verifé
non j'arive a faire des mise a jour d'antivirus


---------------
vseblfr pour vous servir :-)
n°1971045
whiteburne​r
make love not war !
Posté le 23-03-2005 à 13:59:07  profilanswer
 

tu as passé un coup de spybot et un coup d'ad-aware ?
 
WB.


---------------
"Never been much better than at 127.0.0.1"
n°1971082
vseblfr
vseblfr
Posté le 23-03-2005 à 14:13:16  profilanswer
 

oui sur l'un des postes "infecté" il etait niquel imaginé spybot a retrouvé qu'un seul spy et encore ct un cookies


---------------
vseblfr pour vous servir :-)
n°1971087
whiteburne​r
make love not war !
Posté le 23-03-2005 à 14:15:41  profilanswer
 

heuuu question a la con , les pcs sont en réseaux je suppose , donc tu as tenté de mettre a jour tes antivirus , anti spy etc et de te mettre ensuite hors du réseau (vire le cable réseau carrément) et ensuite de relancer les différents programmes , voir meme en mode sans échecs ?
 
WB.


---------------
"Never been much better than at 127.0.0.1"
n°1971089
morganno
oui oui, toi aussi.
Posté le 23-03-2005 à 14:16:36  profilanswer
 

comment est fait leur réseau et leur connexion internet? Il y a un poste qui dispatche le réseau? ou un routeur?
 
a mon avis ca ne se joue pas sur les postes clients mais en amont...

n°1971113
whiteburne​r
make love not war !
Posté le 23-03-2005 à 14:29:40  profilanswer
 

MegaPowerPills.com
Score = 1
================================
MegaPowerPills.com
http://222.47.183.20/  
http://cflabbergastgood.com
http://outregood.com/
Host: 222.47.183.20
============================
MegaPowerPills.com
http://222.47.122.201/
http://www.affiliategood.com/  
Name............ Alfred Bester  
Email........... Kitty_send@163.com  
Name Server.......... ns2.bizwebb.us  
Name Server.......... ns1.affiliategood.com
 
 
Voila les infos que j'ai trouvé au sujet de notre ami megamachinchose , pas brillant..
 
WB.


---------------
"Never been much better than at 127.0.0.1"
n°1971119
vseblfr
vseblfr
Posté le 23-03-2005 à 14:32:35  profilanswer
 

et on doit faire quoi alors?


---------------
vseblfr pour vous servir :-)
n°1971120
vseblfr
vseblfr
Posté le 23-03-2005 à 14:32:43  profilanswer
 

ou plutot ca veut dire quoi


---------------
vseblfr pour vous servir :-)
n°1971134
minipouss
un mini mini
Posté le 23-03-2005 à 14:42:44  profilanswer
 

whiteburner a écrit :

c:\bti\winnt\bin\ntmkde.exe
 
C quoi ce truc louche ?
Et sinon , dans ton fichier host , tu as quoi ?
 
WB.


Nique Ta Mère KDE :D
 
edit : comment peut-on rediriger sans toucher au fichier hosts?


Message édité par minipouss le 23-03-2005 à 14:43:31

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1971138
whiteburne​r
make love not war !
Posté le 23-03-2005 à 14:44:36  profilanswer
 

ben avec un gros spyware pourri , mais la j'en vois pas trace comme ca...
 
WB.


---------------
"Never been much better than at 127.0.0.1"
n°1971142
minipouss
un mini mini
Posté le 23-03-2005 à 14:47:21  profilanswer
 

à part ntmkde.exe y a rien dans le log HJ c'est clair


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1971143
vseblfr
vseblfr
Posté le 23-03-2005 à 14:47:32  profilanswer
 

bon je vais continuer a chercher (vous aussi je suis sur)
en tout cas je vous remercie tous de votre aide.
sébastien


---------------
vseblfr pour vous servir :-)
n°1971330
vseblfr
vseblfr
Posté le 23-03-2005 à 17:05:00  profilanswer
 

whiteburner a écrit :

c:\bti\winnt\bin\ntmkde.exe  
 
C quoi ce truc louche ?
Et sinon , dans ton fichier host , tu as quoi ?
 
WB.


 
 
en fait j'ai fait un hijacthis sur une autre becane qui a le meme symptome et j'ai pas le ntmkde.exe
donc c pas ca la piste
 je me sens demuni.
il y a une chose qui est sur c que c pas un hots car le hots fonctionne j'ai du rentrer 2 lignes pour qu'ils puissent travailler.
mais ce qui me chifonne c que cela vient aléatoirement.


---------------
vseblfr pour vous servir :-)
n°1971335
zoran8000
Juste quelques hommes...justes
Posté le 23-03-2005 à 17:09:40  profilanswer
 

Si tu utilise un pare-feu logiciel qui filtre les connexions ou eventuellement si tu NAT c'est peut etre la lasource du probleme (verifier le pc responsable du filtrage et/ou du Nat). :)

n°1971336
zoran8000
Juste quelques hommes...justes
Posté le 23-03-2005 à 17:11:07  profilanswer
 

Un autre point : tes 5 PC sont dans le meme sous réseau ? Ils sont seul dans ce reseau ? Comment sont-ils connectés au Net ?

n°1971363
vseblfr
vseblfr
Posté le 23-03-2005 à 17:36:37  profilanswer
 

non non pare feu materiel ils sont dans le meme reseau mais toutes les machines du réseau ne sont pas affecté (encore) a premiere vue.
c'est un reseau avec un domaine administratif,
ils passent par une passerelle materiel.


---------------
vseblfr pour vous servir :-)
n°1971368
minipouss
un mini mini
Posté le 23-03-2005 à 17:41:10  profilanswer
 

fait un log HijackThis sur une des machines pour voir qd même


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1971385
vseblfr
vseblfr
Posté le 23-03-2005 à 17:55:30  profilanswer
 

j'ai fait et tout est cool a premiere vu


---------------
vseblfr pour vous servir :-)
n°1971800
AlainTech
Pas trouvé? Cherche encore!
Posté le 23-03-2005 à 23:48:35  profilanswer
 

Les PC passent-ils par un proxy?

n°1971972
whiteburne​r
make love not war !
Posté le 24-03-2005 à 09:52:48  profilanswer
 

Passerelle matérielle infectée ??
 
WB.


---------------
"Never been much better than at 127.0.0.1"
n°1972002
vseblfr
vseblfr
Posté le 24-03-2005 à 10:09:10  profilanswer
 

oui mais alors explique moi pourquoi les adresses interne aussi sont touchés et aussi que c aléeatoire suivant les machines?
c vraiment vicieux ce truc


---------------
vseblfr pour vous servir :-)
n°1972033
com21
real men don't click
Posté le 24-03-2005 à 10:25:05  profilanswer
 

serveur dns vérolé ?
 
et en ce mettant sur la machine faisant dns et en faisant les nslookup  tu trouve quoi ?


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°1972035
zoran8000
Juste quelques hommes...justes
Posté le 24-03-2005 à 10:27:39  profilanswer
 

Un conseil : commencer par réinstaller une ou plousieurs machines infectées. Si le probleme est résolu c'est donc que ca vient de la machine, sinon c'est que c'est au niveau de l'accès au net qu'il y a un souci (et la faut vérifier, NAT, proxy, firewall ...)  :pt1cable:

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  megapowerpills

 

Sujets relatifs
Plus de sujets relatifs à : megapowerpills


Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)