Supprimer Trojan-DNS-k / Troj/DNSBust-L /  Trojan.Flush.G / Trojan.Win32.Alureon/Trojan.TDSS


Trojan-DNS-k / Troj/DNSBust-L / Trojan.Flush.G est une infection qui modifie vos serveur DNS afin de vous rediriger vers des sites de publicités.

Ces infections s'attrapent soit par exploits sur des sites WEB en général pornographiques, soit par de faux codecs pour visualiser des vidéos pornographiques.
Le symptôme principal de ces infections sont des Redirections lors des recherches Google, vous cliquez sur un lien de recherche sur Google et atterrirez sur un lien tout autre que celui attendu.

2008/2009 l'infection change avec un driver et une .dll basée sur Trojan.Win32.Alureon/Trojan.TDSS, la modification des DNS n'est plus systématiques.
Une vidéo de l'infection est disponible depuis ce lien : http://forum.malekal.com/trojan-dnschanger-trojan-win32-alureon-trojan-tdss-t11252.html#p174824
Voir informations supplémentaires plus bas.

Détection Trojan-DNS-k / Troj/DNSBust-L /  Trojan.Flush.G

Exemple de log avec HijackThis :

Les serveurs DNS sont modifiés en 85.255 comme le font les infections de type Wareout :
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameServer = 85.255.114.106,85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B851CF3-A736-4F53-9479-1CE483306363}: NameServer = 85.255.114.106,85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\..\{D989E2A6-F89D-44B9-8CE5-5B1A20ED329E}: NameServer = 85.255.114.106 85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9FD5BA7-E0EA-48C1-A489-E1AA230FEFB3}: NameServer = 85.255.114.106,85.255.112.123
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.106 85.255.112.123
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameServer = 85.255.114.106,85.255.112.123
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.106 85.255.112.123
O17 - HKLM\System\CS2\Services\Tcpip\..\{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameServer = 85.255.114.106,85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.106 85.255.112.123
Attention l'infection peut modifier les serveurs DNS de certains routeurs dans le cas où le mot de passe par défaut n'a pas été modifié.
Il peut être conseillé dans ce cas après avoir désinfecté les PC de faire un reset du routeur et de le reconfigurer.

2008/2009 l'infection est modifiée : Trojan.Win32.Alureon/Trojan.TDSS

L'infection est maintenant capable de se propager par disques amovibles en créant un dossier :
C:\resycled
et bien sûr les fichiers autorun.inf pointant dessus.

L'infection installe maintenant un rootkit avec un driver dans le dossier system32\drivers accompagné d'un fichier DLL, exemple :
"msqpdxserv"="\\?\globalroot\systemroot\system32\drivers\msqpdxryaatxqp.sys"
"msqpdxl"="\\?\globalroot\systemroot\system32\msqpdxkhcnuukf.dll"

Sous Windows Vista un service est ajouté :O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdfta.exe

Suppression Trojan-DNS-k / Troj/DNSBust-L /  Trojan.Flush.G

Nettoyez ses disques amovibles (Clefs USB, disque dur externe etc) :

Autres Liens

Pour plus d'informations, sur le fo

Procédure de désinfection des Trojans/Backdoornctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)


flux rss malekal.com - Sitemap - Geekeden - OxygenePC.com - Les partenaires du site McAfee you Suck