Supprimer Trojan-DNS-k / Troj/DNSBust-L /  Trojan.Flush.G


Trojan-DNS-k / Troj/DNSBust-L /  Trojan.Flush.G est un faux-codec qui modifie vos serveur DNS afin de vous rediriger vers des sites de publicités.

Ces infections s'attrapent soit par exploits sur des sites WEB en général pornographiques, soit par de faux codecs pour visualiser des vidéos pornographiques.
Le symptôme principal de ces infections sont des Redirections lors des recherches Google, vous cliquez sur un lien de recherche sur Google et atterrirez sur un lien tout autre que celui attendu.

Détection Trojan-DNS-k / Troj/DNSBust-L /  Trojan.Flush.G

Exemple de log avec HijackThis :

Ajouter les clefs et fichiers suivants :
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe


Les serveurs DNS sont modifiés en 85.255 comme le font les infections de type Wareout :
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameServer = 85.255.114.106,85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B851CF3-A736-4F53-9479-1CE483306363}: NameServer = 85.255.114.106,85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\..\{D989E2A6-F89D-44B9-8CE5-5B1A20ED329E}: NameServer = 85.255.114.106 85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9FD5BA7-E0EA-48C1-A489-E1AA230FEFB3}: NameServer = 85.255.114.106,85.255.112.123
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.106 85.255.112.123
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameServer = 85.255.114.106,85.255.112.123
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.106 85.255.112.123
O17 - HKLM\System\CS2\Services\Tcpip\..\{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameServer = 85.255.114.106,85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.106 85.255.112.123

L'infection installe le codec dans C:\Program Files\Trojan-DNS-k / Troj/DNSBust-L /  Trojan.Flush.G
Enfin l'infection créé un fichier rootkité (donc invisible pour l'utilisateur et les antivirus) de ce type : C:\Windows\system32\kd???.exe où ? est une lettre aléatoire.

Suppression Trojan-DNS-k / Troj/DNSBust-L /  Trojan.Flush.G

Vous trouverez deux procédures, l'une avec l'utilitaire FixWareout l'autre avec l'utilitaire F-Secure BlackLight.
Il se peut que FixWareout ne fonctionne pas, dans ce cas passez à la procédure avec F-Secure BlackLight
Procédure 1 - avec FixWareout
Redémarrez votre ordinateur en mode normal, si le spyware est encore là, rescannez votre ordinateur avec SpyBot et Ad-Aware.

Consulter le forum malware-complaints et créez votre message selon votre type d'infection, plus vous serez nombreux, plus nous aurons de poids pour faire réagir les autorités face aux malwares !

Cela prend 5 minutes!

Autres Liens

Pour plus d'informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)