TDSSKiller
TDSSKiller de Kaspersky Labs est un outil qui permet de supprimer certains rootkits comme Rootkit.Win32.TDSS, Tidserv, TDSServ, Alureon, ZeroAccess, ainsi que certains bootkits.
Compatible Windows XP, Vista, 7, 8 (32 et 64 bits)
L'outil peut être lancé en mode normal ou en mode sans échec
****
- Télécharger TDSSKiller (http://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe) de Kaspersky et l'enregistrer sur le Bureau
- Double-clic sur TDSSKiller.exe (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FTDSSKiller%2F1-tdsskiller.jpg&hash=0a3e9c30530708aa1c4e266858f55fc1b1729aa1) pour lancer l'outil
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Cliquer sur Change parameters
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FTDSSKiller%2F2-tdsskiller.jpg&hash=45acfbed7eae03575abf9ff21becf1430f248b67)
- Cocher la case Loaded modules. Le message Reboot is required s'affiche.
Il faut le valider en cliquant sur Reboot now.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FTDSSKiller%2F3-tdsskiller.jpg&hash=084e0ba9bb182a911491dc1445db2d4e5523e036)
- Le système redémarre. Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
L'outil TDSSKiller se relance.
- Cliquer de nouveau sur Change parameters.
Cocher dans Additionnal options, les cases Verify file digital signatures et Detect TDLFS file system.
Valider par OK
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FTDSSKiller%2F4bis-tdsskiller.jpg&hash=f37ee268927ab6de235902a29d2158cdb9a37ed7)
- Cliquer sur Start scan pour lancer l'analyse. Laisser travailler l'outil sans l'interrompre.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FTDSSKiller%2F5-tdsskiller.jpg&hash=d9dcddc339467deab55551cf8609942ff18fd577)
- Laisser l'outil finir son analyse.
- Si l'outil n'a trouvé aucun élément, l'écran No threats found s'affiche
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FTDSSKiller%2F6-tdsskiller.jpg&hash=acec919a3edfb063232fdadb9680f9f6a3ddb4f5)
- Si l'outil a trouvé des éléments suspects ou malicieux, laisser les options indiquées par l'outil pour l'action à effectuer
- Si TDSS.tdl2 est détecté, l'option par défaut est delete
- Si TDSS.tdl3 est détecté, l'option par défaut est Cure
- Si TDSS.tdl4 (mbr) est détecté, l'option par défaut est Cure
- Si Suspicious object est indiqué, l'option par défaut est Skip
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FTDSSKiller%2F8-tdsskiller.jpg&hash=2b98576b5d4aa8c06e189f3907c83d5ed6787617)
- Cas particuliers - à n'appliquer qu'avec l'aide d'un Helper dans le forum de désinfection
- Si un fichier de ce type C:\windows\123456789:987654321.exe (c:\windows\chiffres aléatoires:chiffres aléatoires.exe), sélectionner l'option Delete
- Si TDSS File System est détecté, sélectionner l'option Delete
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FTDSSKiller%2F7-tdsskiller.jpg&hash=c67e6dcf90f168d227f8ea2d8e90b23685f64e55)
- Cliquer ensuite sur Continue, puis cliquer sur Reboot computer
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FTDSSKiller%2F9-tdsskiller.jpg&hash=1713e3a032ffa88aeeb938b7c21055fd02f516df)
- Au redémarrage, un rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:
Poster le rapport si vous êtes suivis sur un forum de désinfection ou en cas de doute.
****
Liste des détections
Rootkit.Win32.TDSS,
Rootkit.Win32.Stoned.d,
Rootkit.Boot.Cidox.a,
Rootkit.Boot.SST.a,
Rootkit.Boot.Pihar.a,b,c,
Rootkit.Boot.CPD.a,
Rootkit.Boot.Bootkor.a,
Rootkit.Boot.MyBios.b,
Rootkit.Win32.TDSS.mbr,
Rootkit.Boot.Wistler.a,
Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k,
Rootkit.Boot.SST.b,
Rootkit.Boot.Fisp.a,
Rootkit.Boot.Nimnul.a,
Rootkit.Boot.Batan.a,
Rootkit.Boot.Lapka.a,
Rootkit.Boot.Goodkit.a,
Rootkit.Boot.Clones.a,
Rootkit.Boot.Xpaj.a,
Rootkit.Boot.Yurn.a,
Rootkit.Boot.Prothean.a,
Rootkit.Boot.Plite.a,
Rootkit.Boot.Geth.a,
Rootkit.Boot.CPD.b,
Rootkit.Boot.Backboot.a
Rootkit.Win32.PMax.gen
Rootkit.Boot.Xkit.a
Bootkit Sawlam
Backdoor.Win32.Trup.a,b,
Backdoor.Win32.Sinowal.knf,kmy,
Backdoor.Win32.Phanta.a,b,
Virus.Win32.TDSS.a,b,c,d,e,
Virus.Win32.Rloader.a,
Virus.Win32.Cmoser.a,
Virus.Win32.Zhaba.a,b,c,
Trojan-Clicker.Win32.Wistler.a,b,c,
Trojan-Dropper.Boot.Niwa.a,
Trojan-Ransom.Boot.Mbro.d, e,
Trojan-Ransom.Boot.Siob.a,
Trojan-Ransom.Boot.Mbro.f.
****
Infecté ? Une question avant de faire des manipulations ?
Venez poster un nouveau sujet dans ce forum : http://forum.security-x.fr/desinfections/ en prenant soin de suivre la procédure http://forum.security-x.fr/desinfections/procedure-preliminaire/[/list]
Edit du 02/10 : actualisation image 4
Démarrage de TDSSKiller.exe en ligne de commande
-l <nom_du_fichier> : sauvegarder le rapport dans un fichier.
-qpath <chemin_d’accès_au_dossier> : sélectionner l’emplacement du dossier de la quarantaine (s’il n’existe pas, il sera créé).
-h : afficher l’aide selon les clés.
-sigcheck : détecter tous les pilotes sans signature numérique comme suspects.
-tdlfs : détecter la présence du système de fichiers TDLFS, créé par les rootkits TDL 3/4 dans les derniers secteurs du disque dur pour le stockage de leurs fichiers. L’utilitaire permet de copier tous ces fichiers dans la quarantaine.
En cas d’utilisation des clés suivantes, les confirmations ne seront pas demandées avant les opérations :
-qall : copier tous les objets (y compris non suspects) dans la quarantaine.
-qsus : copier uniquement les objets suspects dans la quarantaine.
-qmbr : copier tous les MBR dans la quarantaine.
-qcsvc <nom_du_service> : copier le service indiqué dans la quarantaine.
-dcsvc <nom_du_service> : supprimer le service indiqué.
-silent : mode d’analyse silencieux (aucune fenêtre n’est affichée à l’utilisateur), permettant de démarrer l’utilitaire de manière centralisé dans le réseau.
-dcexact : réparation/suppression automatique des menaces connues (utile avec la clé « -silent » pour la réparation de plusieurs ordinateurs dans le réseau).
Par exemple, pour effectuer une analyse de l’ordinateur et sauvegarder le rapport détaillé dans le fichier report.txt (le fichier est créé dans le dossier où se trouve l’utilitaire TDSSKiller.exe), utilisez la commande suivante :
TDSSKiller.exe -l report.txt
Source : Support Kaspersky (http://support.kaspersky.com/fr/faq/?qid=208280685)