Supprimer Trojan-DNS-k / Troj/DNSBust-L / Trojan.Flush.G
Trojan-DNS-k /
Troj/DNSBust-L / Trojan.Flush.G est une infection qui modifie vos serveur DNS
afin de vous rediriger vers des sites de publicités.
Ces infections s'attrapent soit par
exploits
sur des sites WEB en général pornographiques, soit par de
faux codecs
pour visualiser des vidéos pornographiques.
Le symptôme principal de ces infections sont des
Redirections lors des recherches Google, vous cliquez sur
un lien de recherche sur Google et atterrirez sur un lien tout autre que
celui attendu.
Détection Trojan-DNS-k / Troj/DNSBust-L / Trojan.Flush.G
Exemple de log avec
HijackThis
:
Les serveurs DNS sont modifiés en 85.255
comme le font les infections de type Wareout :
O17 -
HKLM\System\CCS\Services\Tcpip\..\{4B3FE2D6-94DC-4380-B39C-46273E741177}:
NameServer = 85.255.114.106,85.255.112.123
O17 -
HKLM\System\CCS\Services\Tcpip\..\{5B851CF3-A736-4F53-9479-1CE483306363}:
NameServer = 85.255.114.106,85.255.112.123
O17 -
HKLM\System\CCS\Services\Tcpip\..\{D989E2A6-F89D-44B9-8CE5-5B1A20ED329E}:
NameServer = 85.255.114.106 85.255.112.123
O17 -
HKLM\System\CCS\Services\Tcpip\..\{F9FD5BA7-E0EA-48C1-A489-E1AA230FEFB3}:
NameServer = 85.255.114.106,85.255.112.123
O17 -
HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.106
85.255.112.123
O17 -
HKLM\System\CS1\Services\Tcpip\..\{4B3FE2D6-94DC-4380-B39C-46273E741177}:
NameServer = 85.255.114.106,85.255.112.123
O17 -
HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.106
85.255.112.123
O17 -
HKLM\System\CS2\Services\Tcpip\..\{4B3FE2D6-94DC-4380-B39C-46273E741177}:
NameServer = 85.255.114.106,85.255.112.123
O17 -
HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.106
85.255.112.123
Attention l'infection peut modifier
les serveurs
DNS de certains routeurs dans le cas où le mot de passe par défaut n'a
pas été modifié.
Il peut être conseillé dans ce cas après avoir désinfecté les PC de faire un
reset du routeur et de le reconfigurer.
L'infection est maintenant capable de se propager par
disques amovibles en créant un dossier :
C:\resycled
et bien sûr les fichiers autorun.inf pointant dessus.
L'infection installe maintenant un rootkit avec un driver dans le dossier
system32\drivers accompagné d'un fichier DLL, exemple :
"msqpdxserv"="\\?\globalroot\systemroot\system32\drivers\msqpdxryaatxqp.sys"
"msqpdxl"="\\?\globalroot\systemroot\system32\msqpdxkhcnuukf.dll"
Sous Windows Vista un service est ajouté
:O23 - Service: Windows Tribute Service -
Unknown owner - C:\Windows\system32\kdfta.exe
Suppression Trojan-DNS-k / Troj/DNSBust-L / Trojan.Flush.G
Nettoyez ses disques amovibles (Clefs USB, disque dur externe etc) :
- Ouvre le poste de travail
- Clic sur le menu outils en haut à droite puis options des dossiers
- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut
- Coche dans la liste "Afficher les fichiers cachés"
- Décoche "masquer les fichier proteger du systeme d exploitation
(recommandée)"
- Tu vas recevoir un message qui te dit que cela peut endommager le
système, n'en tiens pas compte.
- Ouvrez le poste de travail
- Faites un clic droit sur le disque dur que vous n'arrivez pas à
ouvrir
- Choisissez ouvrir dans le menu déroulant.
- Cherchez un fichier autorun.inf et dossier resycled
- Supprimez les en faisant un clic droit puis supprimer.
- Répétez l'opération sur tous les disques que vous n'arrivez pas à
ouvrir.
Autres Liens
Pour plus d'informations, sur le fo
Procédure de désinfection des Trojans/Backdoornctionnement des spywares et
les conseils à suivre :
Fonctionnement et suppression des
Vers/Spywares/Malwares sous Windows
Guide de
suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound,
etc..)
