TDSSKiller
TDSSKiller de
Kaspersky Labs est un outil qui permet de supprimer certains
rootkits comme Rootkit.Win32.TDSS, Tidserv, TDSServ, Alureon, ZeroAccess, ainsi que certains
bootkits.
Compatible Windows XP, Vista, 7, 8 (32 et 64 bits)
L'outil peut être lancé en mode normal ou en mode sans échec
****
- Télécharger TDSSKiller de Kaspersky et l'enregistrer sur le Bureau
- Double-clic sur TDSSKiller.exe
pour lancer l'outil
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Cliquer sur Change parameters
- Cocher la case Loaded modules. Le message Reboot is required s'affiche.
Il faut le valider en cliquant sur Reboot now.
- Le système redémarre. Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
L'outil TDSSKiller se relance.
- Cliquer de nouveau sur Change parameters.
Cocher dans Additionnal options, les cases Verify file digital signatures et Detect TDLFS file system.
Valider par OK
- Cliquer sur Start scan pour lancer l'analyse. Laisser travailler l'outil sans l'interrompre.
- Laisser l'outil finir son analyse.
- Si l'outil n'a trouvé aucun élément, l'écran No threats found s'affiche
- Si l'outil a trouvé des éléments suspects ou malicieux, laisser les options indiquées par l'outil pour l'action à effectuer
- Si TDSS.tdl2 est détecté, l'option par défaut est delete
- Si TDSS.tdl3 est détecté, l'option par défaut est Cure
- Si TDSS.tdl4 (mbr) est détecté, l'option par défaut est Cure
- Si Suspicious object est indiqué, l'option par défaut est Skip

- Cas particuliers - à n'appliquer qu'avec l'aide d'un Helper dans le forum de désinfection
- Si un fichier de ce type C:\windows\123456789:987654321.exe (c:\windows\chiffres aléatoires:chiffres aléatoires.exe), sélectionner l'option Delete
- Si TDSS File System est détecté, sélectionner l'option Delete
- Cliquer ensuite sur Continue, puis cliquer sur Reboot computer
- Au redémarrage, un rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:
Poster le rapport si vous êtes suivis sur un forum de désinfection ou en cas de doute.
****
Liste des détections
Rootkit.Win32.TDSS,
Rootkit.Win32.Stoned.d,
Rootkit.Boot.Cidox.a,
Rootkit.Boot.SST.a,
Rootkit.Boot.Pihar.a,b,c,
Rootkit.Boot.CPD.a,
Rootkit.Boot.Bootkor.a,
Rootkit.Boot.MyBios.b,
Rootkit.Win32.TDSS.mbr,
Rootkit.Boot.Wistler.a,
Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k,
Rootkit.Boot.SST.b,
Rootkit.Boot.Fisp.a,
Rootkit.Boot.Nimnul.a,
Rootkit.Boot.Batan.a,
Rootkit.Boot.Lapka.a,
Rootkit.Boot.Goodkit.a,
Rootkit.Boot.Clones.a,
Rootkit.Boot.Xpaj.a,
Rootkit.Boot.Yurn.a,
Rootkit.Boot.Prothean.a,
Rootkit.Boot.Plite.a,
Rootkit.Boot.Geth.a,
Rootkit.Boot.CPD.b,
Rootkit.Boot.Backboot.a
Rootkit.Win32.PMax.gen
Rootkit.Boot.Xkit.a
Bootkit Sawlam
Backdoor.Win32.Trup.a,b,
Backdoor.Win32.Sinowal.knf,kmy,
Backdoor.Win32.Phanta.a,b,
Virus.Win32.TDSS.a,b,c,d,e,
Virus.Win32.Rloader.a,
Virus.Win32.Cmoser.a,
Virus.Win32.Zhaba.a,b,c,
Trojan-Clicker.Win32.Wistler.a,b,c,
Trojan-Dropper.Boot.Niwa.a,
Trojan-Ransom.Boot.Mbro.d, e,
Trojan-Ransom.Boot.Siob.a,
Trojan-Ransom.Boot.Mbro.f.
****
Infecté ? Une question avant de faire des manipulations ?
Venez poster un
nouveau sujet dans ce forum :
http://forum.security-x.fr/desinfections/ en prenant soin de suivre la procédure
http://forum.security-x.fr/desinfections/procedure-preliminaire/[/list]
Edit du 02/10 : actualisation image 4