Est ce normal que ping http://windowsupdate.microsoft.com =>127.0.0.1 ?

fox44 · Novembre 11, 2008, 11:02

Bonjour,
Est-ce normal que l:orsque que je ping windowsupdate.microsoft.com… c’est 127.0.0.1 qui reponde car je ne peut plus du tout accéder au windows upate. Message “impossible d’afficher la page” alors que le ping sur les autres sites sont ok.
De plus, plus d’acces a presque tous les sites d’antivirus (comme par hasard), hijacthis ne me trouve rien, de meme que mon antivirus kaspersky. AU SECOURS!!!

keyplus · Novembre 11, 2008, 11:29

tu as essaye a partir d’un autre navigateur d’acceder a windows update?
si tu as ie telecharge firefox ou reciproquement peut etre ca vient de la
enfin il faut ie pour avoir acces a uptade mais peut etre qu en reinstallant ie ca peut de nouveau marche
essaye avec cette adresse
update.microsoft.com…
Edité le 11/11/2008 à 11:32

janus_eloi · Novembre 11, 2008, 12:34

Dans le répertoire de windows, tu as un sous répertoire \system32\drivers\etc , dedans tu as un fichier qui s’apelle “hosts” sans extension.
Ouvres le avec le bloc note.
Si tu n’utilises pas de logiciel de séciruté qui le modifies pour blacklister les sites malveilant spybot par exemple) tu devrais avoir dedans juste le texte de description en commentaire puis la définition de “localhost” en 127.0.0.1.

Maintenant si tu as quelques autres noms dedans regardes ce que c’est, il se peut qu’il y ait des adresses de sites web liés avec 127.0.0.1, dans ce cas là ils sont en quelquesorte désactivés. Si c’est une liste insérée par un programme de sécurité et que tu vois des noms inconnus, bizarres, suspects, proches de sites connus mais avec quelquechose en plus, c’est normal.

Par contre si tu vois dans la liste des noms de sites valides dont ceux pouvant avoir un lien avec la sécurité comme ceux des antivirus et l’update de microsoft, attention danger, tu as été infecté par un malware qui a modifié le fichier host pour ne pas être éliminé.

Dans ce cas

fais un hijackthis avec log et renomme le log pour le reconnaittre.
Passes en mode sans échec, appuie sur F8 avant de ldémarrage de windows et sélectionnne le menu du haut.
Ouvres le fichier host, fais une copie quelquepart, puis supprimes toutes le lignes suspectes, si tu as des doutes gardes juste la définition de localhost.
Refais un hijacthis, avec log.
Comapares les logs, si il y a des lignes en trop ce doit être le malware.
Fais ensuite un scan avec kaspersky.

fox44 · Novembre 11, 2008, 8:04

Bonjour,
Merci pour vos réponses.
j’ai oublié de vous donner une info essentielle…Je suis technicien d’assistance en informatique…J’avais déjà fait tout ce dont vous m’avez parlé… Mais au moins, j’avais les mêmes idées que vous, ce qui me rassure sur mes compétences.

Maintenant, je fais appel à vous car vous êtes mon dernier espoir avant formatage ce qui me convient guère vu le paquet de choses que j’aurai à réinstaller.

Mon fichier host est a priori sain.

Pour infos complémentaires : Tous utilitaires de désinfection virus et spyware n’arrivent pas à se mettre à jour. Quelque chose bloque l’accès à leurs serveurs respectifs…comme par hasard. Idem pour les site de scan en ligne + le ping du windows update avec le 127.0.0.1 qui répond au lieu de l’adresse du site…C’est bizarre. J’ai bien trouvé des utilitaires sur le net mais aucun ne me trouve d’objet infecté…
Avis des experts???

janus_eloi · Novembre 12, 2008, 11:44

Est ce que tu as essayé un programme comme Gmer qui détecte les rootkits?

Parce que apparement ton virus il est bien caché.

fox44 · Novembre 13, 2008, 9:55

Bonjour,
Je ne connaissais pas cet outils.
Je vais essayer et je te tiens au jus.

Merci

fox44 · Novembre 13, 2008, 8:17

Bonsoir,
GMEr m’a mis une ligne en rouge dans les rookit. :

Module \systemroot\system32\drivers\TDSSpaxt.sys (*** hidden *** )

Fichier introuvable, pourtant je demande bien à afficher les fichier cachés et le fichiers systeme.

Comment le virer? Tout est grisé en cliquant avec le bouton de droite de la souris dans gmer sur la ligne ne question.

Que me conseille tu?

guigui14100 · Novembre 14, 2008, 12:29

Salut

Tu es infecter:

Post un log [hijackthis [/url]b[/b]](http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe)
Fait un scan Complet avec [MBAM, supprime les détection et post le rapport [url=http://guigui14100.web.officelive.com/tutorialmbam.aspx]b[/b]](http://www.malwarebytes.org/mbam/program/mbam-setup.exe)

keyplus · Novembre 14, 2008, 10:14

si tu fais un scan essaye de la faire a partir un autre dd c’est beaucoup plus efficace qu’a partir du disque infecte

janus_eloi · Novembre 14, 2008, 12:27

Une ligne rouge signifie effectivement que tu es infecté.

Le problème c’est que personnellement je n’ai pas encore eu d’infections à traiter aevc gmer.

Mais si il le détecte dans la rubrique rootkit, il doit le trouver dans la section “file”.
Tu est allé le chercher avec gmer le fichier?

fox44 · Novembre 18, 2008, 7:03

Bonsoir tout le monde.
Excusez moi pour le retard de la réponse.
Probleme réglé grace à MBAM.
Détection du virus, suppression, reboot, et d’un coup mon antivirus s’est mis à jour, et aussitot redetection de plusieurs fichiers infectés.
Apres plusieurs suppression et reboot tout est rentré dans l’ordre.
Je remercie tous ceux qui ont euvrés pour la résolution. Apres plusieurs forums, vous etes les gagnants. Encore bravo les experts!!!

Fox44