Auteur Sujet: Tutoriel - TDSSKiller - Nouvelle version  (Lu 10817 fois)

0 Membres et 1 Invité sur ce sujet

En ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 17693
  • Je suis Paris
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Tutoriel - TDSSKiller - Nouvelle version
« le: août 18, 2012, 19:32:53 »
    TDSSKiller

    TDSSKiller de Kaspersky Labs est un outil qui permet de supprimer certains rootkits comme Rootkit.Win32.TDSS, Tidserv, TDSServ, Alureon, ZeroAccess, ainsi que certains bootkits.

    Compatible Windows XP, Vista, 7, 8 (32 et 64 bits)

    L'outil peut être lancé en mode normal ou en mode sans échec


    ****


    • Télécharger TDSSKiller de Kaspersky et l'enregistrer sur le Bureau

    • Double-clic sur TDSSKiller.exe    pour lancer l'outil
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

    • Cliquer sur Change parameters


    • Cocher la case Loaded modules. Le message Reboot is required s'affiche.
      Il faut le valider en cliquant sur Reboot now.


    • Le système redémarre. Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
      L'outil TDSSKiller se relance.

    • Cliquer de nouveau sur Change parameters.
      Cocher dans Additionnal options, les cases Verify file digital signatures et Detect TDLFS file system.
      Valider par OK


    • Cliquer sur Start scan pour lancer l'analyse. Laisser travailler l'outil sans l'interrompre.


    • Laisser l'outil finir son analyse.
    • Si l'outil n'a trouvé aucun élément, l'écran No threats found s'affiche


    • Si l'outil a trouvé des éléments suspects ou malicieux, laisser les options indiquées par l'outil pour l'action à effectuer
      • Si TDSS.tdl2 est détecté, l'option par défaut est delete
      • Si TDSS.tdl3 est détecté, l'option par défaut est Cure
      • Si TDSS.tdl4 (mbr) est détecté, l'option par défaut est Cure
      • Si Suspicious object est indiqué, l'option par défaut est Skip



    • Cas particuliers - à n'appliquer qu'avec l'aide d'un Helper dans le forum de désinfection

      • Si un fichier de ce type C:\windows\123456789:987654321.exe (c:\windows\chiffres aléatoires:chiffres aléatoires.exe), sélectionner l'option Delete
      • Si TDSS File System est détecté, sélectionner l'option Delete



    • Cliquer ensuite sur Continue, puis cliquer sur Reboot computer


    • Au redémarrage, un rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:
      Poster le rapport si vous êtes suivis sur un forum de désinfection ou en cas de doute.
    ****


    Liste des détections

    Rootkit.Win32.TDSS,
    Rootkit.Win32.Stoned.d,
    Rootkit.Boot.Cidox.a,
    Rootkit.Boot.SST.a,
    Rootkit.Boot.Pihar.a,b,c,
    Rootkit.Boot.CPD.a,
    Rootkit.Boot.Bootkor.a,
    Rootkit.Boot.MyBios.b,
    Rootkit.Win32.TDSS.mbr,
    Rootkit.Boot.Wistler.a,
    Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k,
    Rootkit.Boot.SST.b,
    Rootkit.Boot.Fisp.a,
    Rootkit.Boot.Nimnul.a,
    Rootkit.Boot.Batan.a,
    Rootkit.Boot.Lapka.a,
    Rootkit.Boot.Goodkit.a,
    Rootkit.Boot.Clones.a,
    Rootkit.Boot.Xpaj.a,
    Rootkit.Boot.Yurn.a,
    Rootkit.Boot.Prothean.a,
    Rootkit.Boot.Plite.a,
    Rootkit.Boot.Geth.a,
    Rootkit.Boot.CPD.b,
    Rootkit.Boot.Backboot.a
    Rootkit.Win32.PMax.gen
    Rootkit.Boot.Xkit.a
    Bootkit Sawlam
    Backdoor.Win32.Trup.a,b,
    Backdoor.Win32.Sinowal.knf,kmy,
    Backdoor.Win32.Phanta.a,b,
    Virus.Win32.TDSS.a,b,c,d,e,
    Virus.Win32.Rloader.a,
    Virus.Win32.Cmoser.a,
    Virus.Win32.Zhaba.a,b,c,
    Trojan-Clicker.Win32.Wistler.a,b,c,
    Trojan-Dropper.Boot.Niwa.a,
    Trojan-Ransom.Boot.Mbro.d, e,
    Trojan-Ransom.Boot.Siob.a,
    Trojan-Ransom.Boot.Mbro.f.


    ****


    Infecté ? Une question avant de faire des manipulations ?

    Venez poster un nouveau sujet dans ce forum : http://forum.security-x.fr/desinfections/  en prenant soin de suivre la procédure http://forum.security-x.fr/desinfections/procedure-preliminaire/[/list]

    Edit du 02/10 : actualisation image 4
    « Modifié: novembre 18, 2013, 15:54:44 par chantal11 »
     

    Security-X

    Tutoriel - TDSSKiller - Nouvelle version
    « le: août 18, 2012, 19:32:53 »

    En ligne chantal11

    • Admin Formation
    • Mega Power Members
    • ****
    • Messages: 17693
    • Je suis Paris
      • Windows 10 - Windows 8 - Windows 7 - Windows Vista
    Re : Tutoriel - TDSSKiller - Nouvelle version
    « Réponse #1 le: août 18, 2012, 20:47:17 »
    Exemple de rapport


    http://pjjoint.malekal.com/files.php?read=20120818_o5m11w13o14r12


    Citer
    16:40:34.0391 3624  TDSS rootkit removing tool 2.8.6.0 Aug 13 2012 17:24:05
    16:40:36.0419 3624  ============================================================
    16:40:36.0419 3624  Current date / time: 2012/08/17 16:40:36.0419
    16:40:36.0419 3624  SystemInfo:
    16:40:36.0419 3624 
    16:40:36.0419 3624  OS Version: 6.1.7601 ServicePack: 1.0
    16:40:36.0419 3624  Product type: Workstation
    16:40:36.0419 3624  ComputerName: ASUS-CHANTAL
    16:40:36.0419 3624  UserName: Chantal
    16:40:36.0419 3624  Windows directory: C:\Windows
    16:40:36.0419 3624  System windows directory: C:\Windows
    16:40:36.0419 3624  Processor architecture: Intel x86
    16:40:36.0419 3624  Number of processors: 2
    16:40:36.0419 3624  Page size: 0x1000
    16:40:36.0419 3624  Boot type: Normal boot
    16:40:36.0419 3624  ============================================================
    16:40:42.0269 3624  BG loaded
    16:40:44.0619 3624  Drive \Device\Harddisk1\DR1 - Size: 0x3A38B2E000 (232.89 Gb), SectorSize: 0x200, Cylinders: 0x76C1, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000050
    16:40:44.0627 3624  Drive \Device\Harddisk2\DR2 - Size: 0x7470C06000 (465.76 Gb), SectorSize: 0x200, Cylinders: 0xED81, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
    16:40:44.0627 3624  ============================================================
    16:40:44.0627 3624  \Device\Harddisk1\DR1:
    16:40:44.0637 3624  MBR partitions:
    16:40:44.0637 3624  \Device\Harddisk1\DR1\Partition1: MBR, Type 0x7, StartLBA 0x800, BlocksNum 0xD94A800
    16:40:44.0637 3624  \Device\Harddisk1\DR1\Partition2: MBR, Type 0x7, StartLBA 0xD94B6A7, BlocksNum 0xAA59159
    16:40:44.0637 3624  \Device\Harddisk1\DR1\Partition3: MBR, Type 0x7, StartLBA 0x183A4800, BlocksNum 0x4E20000
    16:40:44.0637 3624  \Device\Harddisk2\DR2:
    16:40:44.0637 3624  MBR partitions:
    16:40:44.0637 3624  \Device\Harddisk2\DR2\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x3A384C02
    16:40:44.0637 3624  ============================================================
    16:40:44.0779 3624  C: <-> \Device\Harddisk1\DR1\Partition1
    16:40:45.0075 3624  E: <-> \Device\Harddisk1\DR1\Partition3
    16:40:45.0528 3624  H: <-> \Device\Harddisk2\DR2\Partition1
    16:40:45.0949 3624  D: <-> \Device\Harddisk1\DR1\Partition2
    16:40:45.0949 3624  ============================================================
    16:40:45.0949 3624  Initialize success
    16:40:45.0949 3624  ============================================================
    16:45:23.0907 3852  ============================================================
    16:45:23.0907 3852  Scan started
    16:45:23.0907 3852  Mode: Manual; SigCheck; TDLFS;
    16:45:23.0907 3852  ============================================================
    16:45:25.0452 3852  ================ Scan services =============================
    .../...
    16:46:07.0509 3852  ================ Scan global ===============================
    16:46:07.0541 3852  (dab748ae0439955ed2fa22357533dddb) C:\Windows\system32\basesrv.dll
    16:46:07.0587 3852  (183b4188d5d91b271613ec3efd1b3cef) C:\Windows\system32\winsrv.dll
    16:46:07.0603 3852  (183b4188d5d91b271613ec3efd1b3cef) C:\Windows\system32\winsrv.dll
    16:46:07.0619 3852  (364455805e64882844ee9acb72522830) C:\Windows\system32\sxssrv.dll
    16:46:07.0681 3852  (5f1b6a9c35d3d5ca72d6d6fdef9747d6) C:\Windows\system32\services.exe
    16:46:07.0712 3852  [Global] - ok
    16:46:07.0712 3852  ================ Scan MBR ==================================
    16:46:07.0743 3852  MBR (0x1B8)     (a36c5e4f47e84449ff07ed3517b43a31) \Device\Harddisk1\DR1
    16:46:08.0196 3852  \Device\Harddisk1\DR1 - ok
    16:46:08.0633 3852  MBR (0x1B8)     (180dbde3af7ea48b3db3ac27b1ddf401) \Device\Harddisk2\DR2
    16:46:08.0757 3852  \Device\Harddisk2\DR2 - ok
    16:46:08.0757 3852  ================ Scan VBR ==================================
    16:46:08.0757 3852  Boot (0x1200)   (e3aa3455c884d9b008e7bde36681782e) \Device\Harddisk1\DR1\Partition1
    16:46:08.0773 3852  \Device\Harddisk1\DR1\Partition1 - ok
    16:46:08.0804 3852  Boot (0x1200)   (ba579e6d25affdfcd489d20b915f007f) \Device\Harddisk1\DR1\Partition2
    16:46:08.0820 3852  \Device\Harddisk1\DR1\Partition2 - ok
    16:46:08.0851 3852  Boot (0x1200)   (9ba97a7dcd4925719d183bc57840c930) \Device\Harddisk1\DR1\Partition3
    16:46:08.0867 3852  \Device\Harddisk1\DR1\Partition3 - ok
    16:46:08.0882 3852  Boot (0x1200)   (cdeb9c2c44b4e986a7105de40d051c74) \Device\Harddisk2\DR2\Partition1
    16:46:08.0898 3852  \Device\Harddisk2\DR2\Partition1 - ok
    16:46:08.0898 3852  ================ Scan active images ========================
    .../...
    16:46:11.0971 3852  ============================================================
    16:46:11.0971 3852  Scan finished
    16:46:11.0971 3852  ============================================================
    16:46:11.0971 3172  Detected object count: 0
    16:46:11.0971 3172  Actual detected object count: 0
    16:47:24.0762 3552  Deinitialize success
     

    En ligne chantal11

    • Admin Formation
    • Mega Power Members
    • ****
    • Messages: 17693
    • Je suis Paris
      • Windows 10 - Windows 8 - Windows 7 - Windows Vista
    Re : Tutoriel - TDSSKiller - Nouvelle version
    « Réponse #2 le: août 18, 2012, 20:55:56 »
    Démarrage de TDSSKiller.exe en ligne de commande


    Citer
    -l <nom_du_fichier> : sauvegarder le rapport dans un fichier.
    -qpath <chemin_d’accès_au_dossier> : sélectionner l’emplacement du dossier de la quarantaine (s’il n’existe pas, il sera créé).
    -h : afficher l’aide selon les clés.
    -sigcheck : détecter tous les pilotes sans signature numérique comme suspects.
    -tdlfs : détecter la présence du système de fichiers TDLFS, créé par les rootkits TDL 3/4 dans les derniers secteurs du disque dur pour le stockage de leurs fichiers. L’utilitaire permet de copier tous ces fichiers dans la quarantaine.

     

    En cas d’utilisation des clés suivantes, les confirmations ne seront pas demandées avant les opérations :

    -qall : copier tous les objets (y compris non suspects) dans la quarantaine.
    -qsus : copier uniquement les objets suspects dans la quarantaine.
    -qmbr : copier tous les MBR dans la quarantaine.
    -qcsvc <nom_du_service> : copier le service indiqué dans la quarantaine.
    -dcsvc <nom_du_service> : supprimer le service indiqué.
    -silent : mode d’analyse silencieux (aucune fenêtre n’est affichée à l’utilisateur), permettant de démarrer l’utilitaire de manière centralisé dans le réseau.
    -dcexact : réparation/suppression automatique des menaces connues (utile avec la clé « -silent » pour la réparation de plusieurs ordinateurs dans le réseau).


    Par exemple, pour effectuer une analyse de l’ordinateur et sauvegarder le rapport détaillé dans le fichier report.txt (le fichier est créé dans le dossier où se trouve l’utilitaire TDSSKiller.exe), utilisez la commande suivante :

    TDSSKiller.exe -l report.txt

    Source : Support Kaspersky
     

    En ligne chantal11

    • Admin Formation
    • Mega Power Members
    • ****
    • Messages: 17693
    • Je suis Paris
      • Windows 10 - Windows 8 - Windows 7 - Windows Vista
    Re : Tutoriel - TDSSKiller - Nouvelle version
    « Réponse #3 le: juin 16, 2013, 21:01:41 »
    Mise à jour avec les nouveaux liens de téléchargement pour la dernière version 2.8.18.0

    http://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe

    http://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.zip
     

    En ligne chantal11

    • Admin Formation
    • Mega Power Members
    • ****
    • Messages: 17693
    • Je suis Paris
      • Windows 10 - Windows 8 - Windows 7 - Windows Vista
    Re : Tutoriel - TDSSKiller - Nouvelle version
    « Réponse #4 le: août 27, 2013, 15:35:45 »
    Mise à jour de TDSSKiller version 2.9.2.0

    Citer
    - Improved low-level disk access subsystem (bypass hooks of new Cidox / Carberp).
    - Added detect & cure for Virus.Win32.Protector rootkit infector.
    - Added detect & cure for Avatar rootkit.
    - Added detect & cure for new PMax rootkit.
    - Fixed BSOD on Srizbi cure.
     

    En ligne chantal11

    • Admin Formation
    • Mega Power Members
    • ****
    • Messages: 17693
    • Je suis Paris
      • Windows 10 - Windows 8 - Windows 7 - Windows Vista
    Re : Tutoriel - TDSSKiller - Nouvelle version
    « Réponse #5 le: octobre 01, 2013, 10:11:46 »
    Mise à jour de TDSSKiller version 3.0.0.11

    Prise en charge de la technologie Kaspersky Security Network (KSN)

    « Modifié: octobre 02, 2013, 19:19:26 par chantal11 »