Forum.Informatique.Nouvelle.Téchnologie
Bonjour je vous souhaite la bienvenue sur fint-31, l'inscription est gratuite !!!
Nous vous invitons pour toute inscription d'attendre la validation de l'administrateur, une présentation est obligatoire sur le forum. Pour vous apportez un maximum un tutoriel complet pour apprendre à naviguer sur notre forum a été fait pour vous.
A tout les invités nous somme un forum ouvert et sur certaine rubrique vos avis nous intéresse n'hésitez pas à poster des réponses et merci de l’intérêt que vous nous témoignez, ce forum vous est dédié merci et bonne lecture....

Forum.Informatique.Nouvelle.Téchnologie

Forum de discussion, d'entraide, d'information sur les nouvelles technologies, actualité, jeux orienté Windows
 
PortailAccueilFAQRechercherConnexionS'enregistrerCalendrier
Bonjour. Retrouvez tous nos partenaires sur le Portail du forum, lien direct en cliquant sur le logos, et retrouver l'actualité Zebulon sur notre portail. l'Administration.

Venez voir notre nouveau forum dédier aux Antivirus et à leurs efficacités, et surtout leurs protections...
Rechercher
 
 

Résultats par :
 
Rechercher Recherche avancée
Derniers sujets
» [Test Musical] Norton Security 2017
Dim 23 Avr - 3:42 par manzai

» TEST ANTIVIRUS KASPERSKY LAB
Sam 22 Avr - 22:48 par manzai

» [Test Musical] Xvirus Anti - Malware 2017
Sam 22 Avr - 22:45 par manzai

» APPLE INTÈGRE DES EMOJIS ETHNIQUES DANS SA PROCHAINE MISE À JOUR D'IOS
Jeu 27 Oct - 1:19 par vetetistosore

» Connexion 4G ?
Jeu 13 Oct - 8:11 par Patchi

» image drole ^^
Jeu 12 Nov - 1:57 par vetetistosore

» Réalité virtuelle au service de l'apprentissage
Sam 24 Oct - 19:18 par vetetistosore

»  Micro : une imprimante 3D à moins de 300 dollars
Sam 24 Oct - 19:14 par vetetistosore

» ASRock X99E-ITX : vers des PC à la fois compacts et surpuissants
Sam 24 Oct - 13:54 par Dominique44

Heure
Reputation for fint-31.net
Rating for fint-31.net
Forum
Compteur de visite, Installé le 06/06/2011.
« like », « tweet » et Google « +1 »
Publicité PC impact
Navigation
webstatsdomain
Worth for www.fint-31.net
Langue
Freebox

Partagez | 
 

 Wareout - Trojan DNS Changer

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
le n'apache

avatar

Messages : 4
Date d'inscription : 22/01/2012
Localisation : En picardie

MessageSujet: Wareout - Trojan DNS Changer   Mar 24 Jan - 18:00

Wareout est un faux utilitaire de sécurité dont la désinstallation complète est problématique ce qui explique qu'un fix lui est dédié. Seulement pour savoir quand utiliser ce fix il faut commencer par savoir identifier la présence de Wareout.


Symptômes :

- Wareout affiche une fenètre se faisant passer pour un logiciels anti spyware comme tant d'autre sauf qu'il vous incite à acheter la licence pour désinfecter les (sois disant) infections trouvées.

- Possibilité de redirection des pages lors des recherches sur Internet voir même de redirection d'une adresse Internet du fait que Wareout configure ces propres serveurs DNS sur l'ordinateur de sa victime.

- Wareout installe parfois un serveur "Open proxy" à l'insu du propriétaire du PC.


Détection

URLs des pages de démarrage/de recherche d'Internet Explorer

    R3 - URLSearchHook: (no name) - {ECFB9A25-8AA7-2E04-8604-7E756CA5C0AC} - DCC_send.dll
    R3 - URLSearchHook: (no name) - {88A88FB0-D4E3-D4F7-3A91-4C7DED06B49D} - new32.dll
    R3 - URLSearchHook: (no name) - {51B4EC4C-6F0A-79C3-3C10-DFCE388E548B} - WTFCTF.dll
    R3 - URLSearchHook: (no name) - {4D690DD1-CCE2-2C01-FA11-3DEC633ED70C} - StatusCheck.dll
    R3 - URLSearchHook: (no name) - {BA8F12B5-3BAE-0B43-B2E6-7A4E1E7AD4F1} - qwe.dll



Redirections dans le fichier Hosts

    O1 - Hosts: localhost 127.0.0.1


Browser Helper Objects et Barres d'outils d'Internet Explorer

    O2 - BHO: SearchToolbar- {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ljnkz.dll
    O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ljnkz.dll

    O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{470B1232-32AD-4D14-8CD3-3D8F7E1FC296}.dll
    O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{470B1232-32AD-4D14-8CD3-3D8F7E1FC296}.dll



Startuplist (Liste de démarrage)

    O4 - HKCU\..\Run: [WareOut]"C:\Program Files\WareOut\WareOut.exe"
    O4 - HKCU\..\Run: [KillAndClean] "C:\Program Files\KillAndClean\KillAndClean.exe"
    O4 - HKCU\..\Run: [msag] qwe.exe
    O4 - HKCU\..\Run: [driver32] MsNetHelper.exe
    O4 - HKCU\..\Run: [atl_helper] new32.exe
    O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe
    O4 - HKLM\..\Run: [Testimonials] sbin.exe
    O4 - HKLM\..\Run: [systemdll] EXE32EXE.exe
    O4 - HKLM\..\Run: [control64] syspanel.exe
    O4 - HKLM\..\Run: [iehelper] media64.exe
    O4 - HKCU\..\Run: [Dest068] slamm.exe
    O4 - HKCU\..\Run: [sysconf16] msag.exe
    O4 - HKCU\..\Run: [br0ken] ms-its.exe
    O4 - HKCU\..\Run: [MsNetHelper] cnftips.exe
    O4 - HKCU\..\Run: [panel_its] iesetupdll.exe
    O4 - HKCU\..\Run: [SAPSTR] slamm.exe
    O4 - HKCU\..\Run: [MsNetHelper] utsgmon.exe
    O4 - HKCU\..\Run: [avpmondll] RtlFindVal.exe
    O4 - HKLM\..\Run: [typeconf] DTOURS.exe
    O4 - HKLM\..\Run: [ExchangeMaster] syspanel.exe
    O4 - HKCU\..\Run: [porka_] Preliminary.exe
    O4 - HKCU\..\Run: [wormexe] ABCXYZ.exe
    O4 - HKCU\..\Run: [media64] JAguAr.exe
    O4 - HKLM\..\Run: [Trayz] WTFCTF.exe
    O4 - HKLM\..\Run: [edyfsj] C:\WINDOWS\edyfsj.exe
    O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
    O4 - HKLM\..\Run: [Sygate Personal Firewall Start] servic.exe
    O4 - HKLM\..\Run: [ms-its] zxc.exe
    O4 - HKLM\..\Run: [dmtji.exe] C:\WINDOWS\System32\dmtji.exe
    O4 - HKLM\..\Run: [WinUpdate] C:\cmon.exe
    O4 - HKCU\..\Run: [abrek] pizda.exe
    O4 - HKCU\..\Run: [TorontoMail] iehelper.exe
    O4 - HKLM\..\Run: [jopplerg] NsCplTray.exe
    O4 - HKCU\..\Run: [ABCXYZ] XTermInit.exe
    O4 - HKCU\..\Run: [pizda] zantu.exe
    O4 - HKCU\..\Run: [systemdll] Uint32.exe



Modification Domaine/Adresses DNS (Piratage de domaine)

    O17 - HKLM\System\CCS\Services\Tcpip\..\{FE6E915A-3D61-4BB4-B3D2-69B1A4C7864D}: NameServer = 85.255.113.206,85.255.112.76
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4E4EA7DD-CDF8-49CA-A44B-D0DF5DFC80D3}: NameServer = 85.255.114.19,85.255.112.74
    O17 - HKLM\System\CCS\Services\Tcpip\..\{57FE6CC1-175A-4E86-8348-31DE0A358276}: NameServer = 195.95.218.1,195.95.219.255
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B6DDD0D8-075A-4F9E-80FB-46C742AEA73D}: NameServer = 195.225.176.37,195.225.179.255



Détournement de DNS

    O60 - DNS:Diversion Of DNS:HKLM\System\CCS\Services\Tcpip\..\{314ADD69-6D02-44A9-A02D-B4B0BA2AE4FB}\NameServer = 85.255.115.61,85.255.112.115
    O60 - DNS:Diversion Of DNS:HKLM\System\CCS\Services\Tcpip\..\{895655ED-6C78-4220-86ED-9826C82C70AE}\NameServer = 85.255.115.61,85.255.112.115
    O60 - DNS:Diversion Of DNS:HKLM\System\CCS\Services\Tcpip\..\{CA07C97E-3F76-45F4-BD78-9437F929B35B}\NameServer = 85.255.115.61,85.255.112.115
    O60 - DNS:Diversion Of DNS:HKLM\System\CS1\Services\Tcpip\..\{314ADD69-6D02-44A9-A02D-B4B0BA2AE4FB}\NameServer = 85.255.115.61,85.255.112.115
    O60 - DNS:Diversion Of DNS:HKLM\System\CS1\Services\Tcpip\..\{895655ED-6C78-4220-86ED-9826C82C70AE}\NameServer = 85.255.115.61,85.255.112.115
    O60 - DNS:Diversion Of DNS:HKLM\System\CS1\Services\Tcpip\..\{CA07C97E-3F76-45F4-BD78-9437F929B35B}\NameServer = 85.255.115.61,85.255.112.115
    O60 - DNS:Diversion Of DNS:HKLM\System\CS2\Services\Tcpip\..\{314ADD69-6D02-44A9-A02D-B4B0BA2AE4FB}\NameServer = 85.255.115.61,85.255.112.115
    O60 - DNS:Diversion Of DNS:HKLM\System\CS2\Services\Tcpip\..\{895655ED-6C78-4220-86ED-9826C82C70AE}\NameServer = 85.255.115.61,85.255.112.115



En faisant un Whois sur ces adresses IP nous donnent principalement comme propriétaire inhoster (Ukraine)





De nouvelles IPs en O17 qui ne pointent ni vers InHoster, ni vers l'Ukraine. Il y en a une qui pointe direct chez M$ (HotMail) très rare mais déjà rencontrée.

    O17 - HKLM\System\CCS\Services\Tcpip\..\{3CBC99DB-5D51-4F35-8E2A-577561F913A2}: NameServer = 207.68.160.190 194.25.2.129 208.67.222.222 ,207.68.160.190 194.25.2.129 208.67.222.222
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C9DE3F5C-16F1-455D-90FD-D728BC4BE494}: NameServer = 207.68.160.190 194.25.2.129 208.67.222.222 ,207.68.160.190 194.25.2.129 208.67.222.222
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 207.68.160.190 194.25.2.129 208.67.222.222 207.68.160.190 194.25.2.129 208.67.222.222
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3CBC99DB-5D51-4F35-8E2A-577561F913A2}: NameServer = 207.68.160.190 194.25.2.129 208.67.222.222 ,207.68.160.190 194.25.2.129 208.67.222.222


Elles sont toutes liées à un détournement. Les visiteurs semblent se plaindre de redirections vers "Jump" et "Maxifiles" notamment.

Autre trait commun : présence du rootkit kd###.exe (vu avec Wareout ou autres détournements de DNS). Ce fichier n'est pas visible dans les logs HJT par contre, mais plusieurs outils le voient et d'autres le suppriment.


Détecté lors d'un nettoyage par Fixwareout (plus utilisé)

Citation :

Post this report in the forums please
...
Prerun check
[HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="lsass.exe"

...
...
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1831AD9B7036-6A4A-8D54-50E4-435AE1FA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}998EB924E7AE-D11A-3704-FA21-4B312FBB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F8286CA6C350-448A-CBD4-AF02-EF6DF244{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}29A390DE25EF-1A0B-90A4-CE4E-36251F3F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tndmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
...

Random Runs removed from HKLM
"dmdnt.exe"=-
...
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...
C:\WINDOWS\SYSTEM32\FTP.EXE

»»»»»
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.

»»»»» Misc files.
C:\WINDOWS\System32\taskdir.exe

»»»»» Checking for older varients covered by the Rem3 tool.
...
Postrun check
[HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""


Silent runners


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = "cspxq.exe" [null data]


Fsecure Blacklight (plus utilisé) d'autres scanneurs de rootkits comme Gmer le remplacent


    04/14/06 15:08:04 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\cspxq.exe
    04/14/06 15:08:05 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\dmbsx.exe
    11/01/05 19:29:27 [Info]: Hidden file: C:\WINDOWS\system32\favme.exe
    11/01/05 19:29:29 [Info]: Hidden file: C:\WINDOWS\system32\hclean32.exe
    11/01/05 19:29:31 [Info]: Hidden file: C:\WINDOWS\system32\ntfsnlpa.exe
    11/01/05 19:29:33 [Info]: Hidden file: C:\WINDOWS\system32\cswai.exe



La présence de Wareout peut aussi être détectée lors de l'utilisation de logiciels comme par exemple :

Fixwareout (plus utilisé)
SmitfraudFix (plus utilisé)


Les outils utilisés actuellement pour lutter contre ce fléau




Attention !!!

Combofix n'est à utiliser qu'avec l'aval d'un Helper Sécurité cet outil mal utilisé peut mettre en péril l'intégrité d'un PC


Perte de connexion


Il arrive qu'une perte de connexion se produise après la suppression des IPs par l'un de ces outils, il n'y a pas d'autres solutions que de réparer les couches Winsock

* Pour un XP un outil est disponible WinsockxpFix

Où bien en ligne de commandes

Cliquez sur démarrer/exécuter

    Tapez : netsh validez par OK


Tapez les commandes suivantes en validant à chaque fois par Entrée

    interface
    winsock
    reset
    exit


Redémarrez votre PC pour que les changements soient pris en compte



Pour Vista et Windows 7 vous devez être impérativement en mode administrateur

    Cliquez sur Démarrer ==> Programmes ==> Accessoires ==> clic droit sur "Invite de commandes" ==> et Exécuter en tant qu'administrateur


Ensuite restaurez la couche Winsock utilisant la méthode suivante:

    Tapez: netsh validez par OK


- Tapez les commandes suivantes en validant à chaque fois par Entrée :

    interface
    winsock
    reset
    exit



Redémarrez votre PC pour que les changements soient pris en compte

_________________
Granmére à poréte ale passe
Revenir en haut Aller en bas
 

Wareout - Trojan DNS Changer

Voir le sujet précédent Voir le sujet suivant Revenir en haut 

 Sujets similaires

-
» Wareout - Trojan DNS Changer
» [Résolu] Trojan WIN32.TRATBHO
» [Résolu] Help : BitDefender et trojan
» Connection lente et Trojan dans Antivir ?
» trojan horse
Page 1 sur 1

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Forum.Informatique.Nouvelle.Téchnologie  :: Tutoriel sécurité créer par des Helpers ayant une formation virale-
Créer un forum | © phpBB | Forum gratuit d'entraide | Contact | Signaler un abus | Forum gratuit
les amis uniques