Supprimer Trojan-DNS-k / Troj/DNSBust-L / Trojan.Flush.G

Ces infections et malwares s’attrapent soit par exploits sur des sites WEB en général pornographiques, soit par de faux codecs pour visualiser des vidéos pornographiques et a été active de 2006 à 2011.
Le symptôme principal de ces infections sont des Redirections lors des recherches Google, vous cliquez sur un lien de recherche sur Google et atterrirez sur un lien tout autre que celui attendu.

Trojan-DNS-k / Troj/DNSBust-L / Trojan.Flush.G est une infection qui modifie vos serveur DNS afin de vous rediriger vers des sites de ublicités.2008/2009 l’infection change avec un driver et une .dll basée sur Trojan.Win32.Alureon/Trojan.TDSS, la modification des  serveurs de noms/DNS n’est plus systématique.
Une vidéo de l’infection est disponible depuis ce lien : http://forum.malekal.com/trojan-dnschanger-trojan-win32-alureon-trojan-tdss-t11252.html#p174824

Les serveurs de noms/DNS du Trojan.DNSChanger ont été suspendu en 2011.
D’autres malwares depuis effectuent des redirections DNS comme notamment : DNS Unlocker
La page 
Réinitialiser les serveurs de noms/DNS explique comment remettre ses serveurs DNS en automatiques.

Détection Trojan-DNS-k / Troj/DNSBust-L / Trojan.Flush.G

Exemple de log avec HijackThis :

Les serveurs DNS sont modifiés en 85.255 comme le font les infections de type Wareout :
O17 – HKLM\System\CCS\Services\Tcpip\..{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameServer = 85.255.114.106,85.255.112.123
O17 – HKLM\System\CCS\Services\Tcpip\..{5B851CF3-A736-4F53-9479-1CE483306363}: NameServer = 85.255.114.106,85.255.112.123
O17 – HKLM\System\CCS\Services\Tcpip\..{D989E2A6-F89D-44B9-8CE5-5B1A20ED329E}: NameServer = 85.255.114.106 85.255.112.123
O17 – HKLM\System\CCS\Services\Tcpip\..{F9FD5BA7-E0EA-48C1-A489-E1AA230FEFB3}: NameServer = 85.255.114.106,85.255.112.123
O17 – HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.106 85.255.112.123
O17 – HKLM\System\CS1\Services\Tcpip\..{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameServer = 85.255.114.106,85.255.112.123
O17 – HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.106 85.255.112.123
O17 – HKLM\System\CS2\Services\Tcpip\..{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameServer = 85.255.114.106,85.255.112.123
O17 – HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.106 85.255.112.123
Attention l’infection peut modifier les serveurs DNS de certains routeurs dans le cas où le mot de passe par défaut n’a pas été modifié.
Il peut être conseillé dans ce cas après avoir désinfecté les PC de faire un reset du routeur et de le reconfigurer.

2008/2009 l’infection est modifiée : Trojan.Win32.Alureon/Trojan.TDSS

L’infection est maintenant capable de se propager par disques amovibles en créant un dossier :
C:\resycled
et bien sûr les fichiers autorun.inf pointant dessus.

L’infection installe maintenant un rootkit avec un driver dans le dossier System32\drivers accompagné d’un fichier DLL, exemple :
« msqpdxserv »= »\\?globalrootsystemroot\System32\\drivers\msqpdxryaatxqp.sys »
« msqpdxl »= »\\?globalrootsystemroot\System32\\msqpdxkhcnuukf.dll »

Sous Windows Vista un service est ajouté : O23 – Service: Windows Tribute Service – Unknown owner – C:\Windows\System32\\kdfta.exe

Suppression Trojan-DNS-k / Troj/DNSBust-L / Trojan.Flush.G

Nettoyez ses disques amovibles (Clefs USB, disque dur externe etc) avec USBFix

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 39 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *