DNS Fugueur

[blackspirit1]

Bonjour à tous,
Nouveau sur le site je donne ma config : iMac 20' Léopard 10.5.5 avec 3Go de Ram. Sur ce mac je fais tourner un conteneur VmWare avec Windows XP Pro SP2 avec 2Go de Ram.

Ce qui devait arriver est arrivé, j'ai chopé le virus Zlog DNS Changer qui re-dirige vers les DNS 85.255.114.66,85.255.112.157 et cela malgré la présence de Bitdefender. La Hotline bitdefender m'a aidé à nettoyer mon conteneur et il semble que tout soit OK.

Mais ô surprise, lorsque j'ouvre les préférences du mac (Vmware quitté) je découvre avec stupeur que les DNS viraux sont là et en grisé ce qui fait que je ne peux pas y toucher :rateau: C'est y pas beau tout ça. :mad: :mad:

Comme je n'aime pas me laisser emm.... par une machine,

je supprime donc mes connexions réseau (Airport et Ethernet) et les recrée en config auto DHCP avec les DNS 212.27.32.176,212.27.32.177 qui sont ceux de mon FAI (Free). Là grosse surprise quand je tente la connexion Internet (Safari), il s'affiche un message de Free (enfin soit-disant) qui m'indique que les DNS de Free que je dois valider sont 212.27.40.241,212,27,40,240. Ok... Bon garçon Je les valide et verrouille le cadenas....
Victoire ça marche.
Je jette un oeil sur mes DNS et coucou me revoilou les DNS en 85 sont à nouveau là en grisé :rateau: :rateau: :mouais:
Je refais la manip complète en choisissant DHCP avec adresse manuelle. Même topo.​

Donc j'en déduis que le virus s'est aussi installé sur mon iMAC. Et là je sais plus faire
AU SECOOOOOUUUUURS !!!!!!!!

 

[schwebb]

Hello,

As-tu essayé de ne pas cliquer sur le soi-disant message de Free à l'ouverture de Safari?

 

[blackspirit1]

Bonjour schwebb.
En fait il ne s'agit pas d'un message, mais d'une page Html et dès que l'on met les DNS demandés hop ça se débloque, mais pouf revoilà les DNS pourris qui s'installent (Il y en a des pages et des pages sur les forums Windaube).
Donc pas le choix que de valider les dns si on veut surfer.

 

[schwebb]

Bizarre.

Je ne connais pas la Freebox, mais j'imagine que tu peux aller changer à la main les dns, non? Peut-être que ça résoudrait le truc.

Sinon, même si ce problème me paraît étrange, on peut essayer de lui appliquer les solutions habituelles:

- teste sur une autre session, session à problème fermée
Si tout est ok sur l'autre session, le problème est déjà moins grave.

Ensuite:
- réparation des autorisations

Si ça n'a pas marché:
- supprimer ta connexion actuelle
- déplacer les fichiers .plist liés à cette connexion sur le bureau (ne pas les jeter tout de suite)
- refaire une toute nouvelle connexion

 

[blackspirit1]

hOP hOP hOP
on risque de sortir de mon champ de compétences :rateau: . Changer les DNS à la main je sais pas faire.
Par contre sur le site de Free, ils donnent les DNS à utiliser (212.27.53.252, 212.27.54.252) que j'ai essayé mais les DNS sqatteurs (je préfère à fugueur) réapparaissent.
Pour ce qui est du test sur autre session, je vais tester, mais par contre la suppression des connexions, j'ai fait (mon message initial) sans succès.

Euh au fait où sont les fichiers .plist dont tu parles ??? Sorry mais je connais moins bien Mac que Windaube.
Merci en tout cas de l'intérêt que tu portes à mon topic.

 

[schwebb]

la suppression des connexions, j'ai fait (mon message initial) sans succès. Euh au fait où sont les fichiers .plist dont tu parles ???

En fait, supprimer une connexion sans en supprimer les fichiers .plist correspondants revient à enlever une mauvaise herbe sans enlever les racines: ça repousse vite et pareil!

Tu trouveras les fichiers .plist correspondants ici:

disque dur → bibliothèque → preferences → SystemConfiguration. Là, je crois bien que ce sont les trois suivants: com.apple.airport.preferences, com.apple.network.identification, et Networkinterfaces.

Tu les déplaces (sur le bureau, par exemple), de façon à ce que Mac OS X perde le chemin vers ces fichiers. Ainsi, il va en créer de nouveaux, sains. Normalement.

Ensuite, tu crées ta nouvelle connexion avec les bons paramètres.
Si tout fonctionne à nouveau correctement après ça, tu pourras les jeter sans crainte.



EDIT: tu avais réparé les autorisations, déjà?

 

[blackspirit1]

Je suis d'accord avec tes bases de jardinage. Je vais donc mettre en pratique pour les plist..

Par contre pour les autorisations ??????? Euh bon voilà. si tu peux me donner un peu de lumière.
Merci

 

[schwebb]

Je suis d'accord avec tes bases de jardinage. Je vais donc mettre en pratique pour les plist..

Par contre pour les autorisations ??????? Euh bon voilà. si tu peux me donner un peu de lumière.
Merci

Voilà.

Applications → Utilitaires → Utilitaire de disque → sélectionner le volume concerné → cliquer sur "réparer les autorisations du disque" (pas besoin de cliquer sur "vérifier" avant, direct "réparer") → attendre; ça peut prendre pas mal de temps.

 

[blackspirit1]

Bon décidément, c'est à s'arracher les cheveux.
Je viens de faire le déplacement puis j'ai créé les connexions avec les bons paramètres. Je ferme les Préférences réseau". Puis je rouvre et là que vois-je dans l'onglet DNS du Airport les DNS squatters qui réapparaissent.

Déjà tout petit on m'appelait le paratonnerre à emmerdements....

 

[da capo]

Salut.

Le comportement que tu décris me fait penser à un troyen...

Pour en être sur :

Lance le Terminal (Applications/Utilitaires/Terminal)
tape :

sudo crontab -l

ton mot de passe administrateur va être demandé. tape le (en aveugle) et valide

dis nous si quelque chose apparaît et quoi.

 

[blackspirit1]

Voici la recopie de l'échange
Last login: Fri Dec 12 12:59:05 on console
Spartacus:~ albertruffe$ su crontab -l
Password:
su: Sorry
Spartacus:~ albertruffe$ sudo crontab -l

WARNING: Improper use of the sudo command could lead to data loss
or the deletion of important system files. Please double-check your
typing when using sudo. Type "man sudo" for more information.

To proceed, enter your password, or type Ctrl-C to abort.

Password:
* * * * * "/Library/Internet Plug-Ins/QuickTime.xpt">/dev/null 2>&1
Spartacus:~ albertruffe$

 

[da capo]

Ok.

Dans un cas normal, tu aurais du n'avoir aucune ligne affichée.

J'imagine que tu as installé récemment ce qui était annoncé comme étant un plug-in pour lire des vidéos... Dommage, ce n'en était pas un…

On va nettoyer ça à la main :

Va dans le dossier /Library/Internet Plug-Ins/ et place le fichier nommé QuickTime.xpt à la corbeille. Puis vide la.

Ensuite, relance le terminal et fais :

sudo contrab -r

Ceci va éliminer l'appel à ce fichier malicieux.

Ensuite, tu redémarres et cela devrait rentrer dans l'ordre.


(A l'avenir n'installe pas n'importe quoi, a fortiori quand ça provient de sites douteux)

 

[Aliboron]

Oui, selon toute évidence, tu as installé le troyen DNSChanger (ou assimilé) sur ta machine.

Tu peux télécharger l'outil de nettoyage par ici. Ça doit faire le même chose que ce que décrit da capo, mais tout seul (et c'est gratuit).

 

[blackspirit1]

MERCI MILLE FOIS MERCI;
Effectivement DNS Changer fait tout tout seul et le fait mieux que moi. Juste un truc. Une fois le nettoyage fait, on supprime les connexions réseau (Ethernet et Wifi) on redémarre et on recrée les connxxions et tout va bien.

PS je ne sais pas comment fermer un topic.:rateau:

 

[sasadam]

En fait, Il exite 2 version de DNS changer :
La V2 téléchargeable facilement (recherche google et les liens de téléchargement viennent),
La V1 difficile à télécharger. Le problème est que jusque 10.3.9, il faut la V1.
Donc, pour ceux qui ont galèré comme moi, voici un lien :

http://macscan.securemac.com/files/DNSChangerRemovalTool_1.0.zip

Pourvu que ça dure
@+