Tutoriel - TDSSKiller - Nouvelle version

[chantal11]

TDSSKiller

TDSSKiller de Kaspersky Labs est un outil qui permet de supprimer certains rootkits comme Rootkit.Win32.TDSS, Tidserv, TDSServ, Alureon, ZeroAccess, ainsi que certains bootkits.

Compatible Windows XP, Vista, 7, 8 (32 et 64 bits)

L'outil peut être lancé en mode normal ou en mode sans échec

****

• Télécharger TDSSKiller de Kaspersky et l'enregistrer sur le Bureau
  
  
• Double-clic sur TDSSKiller.exe    pour lancer l'outil
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
  
• Cliquer sur Change parameters
  
  
  
  
  
• Cocher la case Loaded modules. Le message Reboot is required s'affiche.
  Il faut le valider en cliquant sur Reboot now.
  
  
  
  
  
• Le système redémarre. Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
  L'outil TDSSKiller se relance.
  
  
• Cliquer de nouveau sur Change parameters.
  Cocher dans Additionnal options, les cases Verify file digital signatures et Detect TDLFS file system.
  Valider par OK
  
  
  
  
  
• Cliquer sur Start scan pour lancer l'analyse. Laisser travailler l'outil sans l'interrompre.
  
  
  
  
  
• Laisser l'outil finir son analyse.
• Si l'outil n'a trouvé aucun élément, l'écran No threats found s'affiche
  
  
  
  
  
• Si l'outil a trouvé des éléments suspects ou malicieux, laisser les options indiquées par l'outil pour l'action à effectuer
• Si TDSS.tdl2 est détecté, l'option par défaut est delete
  
• Si TDSS.tdl3 est détecté, l'option par défaut est Cure
  
• Si TDSS.tdl4 (mbr) est détecté, l'option par défaut est Cure
  
• Si Suspicious object est indiqué, l'option par défaut est Skip
  
  

• Cas particuliers - à n'appliquer qu'avec l'aide d'un Helper dans le forum de désinfection
  
  
  • Si un fichier de ce type C:\windows\123456789:987654321.exe (c:\windows\chiffres aléatoires:chiffres aléatoires.exe), sélectionner l'option Delete
    
  • Si TDSS File System est détecté, sélectionner l'option Delete
    
    
  
  
  
  
• Cliquer ensuite sur Continue, puis cliquer sur Reboot computer
  
  
  
  
  
• Au redémarrage, un rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:
  Poster le rapport si vous êtes suivis sur un forum de désinfection ou en cas de doute.

****

Liste des détections

Rootkit.Win32.TDSS,
Rootkit.Win32.Stoned.d,
Rootkit.Boot.Cidox.a,
Rootkit.Boot.SST.a,
Rootkit.Boot.Pihar.a,b,c,
Rootkit.Boot.CPD.a,
Rootkit.Boot.Bootkor.a,
Rootkit.Boot.MyBios.b,
Rootkit.Win32.TDSS.mbr,
Rootkit.Boot.Wistler.a,
Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k,
Rootkit.Boot.SST.b,
Rootkit.Boot.Fisp.a,
Rootkit.Boot.Nimnul.a,
Rootkit.Boot.Batan.a,
Rootkit.Boot.Lapka.a,
Rootkit.Boot.Goodkit.a,
Rootkit.Boot.Clones.a,
Rootkit.Boot.Xpaj.a,
Rootkit.Boot.Yurn.a,
Rootkit.Boot.Prothean.a,
Rootkit.Boot.Plite.a,
Rootkit.Boot.Geth.a,
Rootkit.Boot.CPD.b,
Rootkit.Boot.Backboot.a
Rootkit.Win32.PMax.gen
Rootkit.Boot.Xkit.a
Bootkit Sawlam
Backdoor.Win32.Trup.a,b,
Backdoor.Win32.Sinowal.knf,kmy,
Backdoor.Win32.Phanta.a,b,
Virus.Win32.TDSS.a,b,c,d,e,
Virus.Win32.Rloader.a,
Virus.Win32.Cmoser.a,
Virus.Win32.Zhaba.a,b,c,
Trojan-Clicker.Win32.Wistler.a,b,c,
Trojan-Dropper.Boot.Niwa.a,
Trojan-Ransom.Boot.Mbro.d, e,
Trojan-Ransom.Boot.Siob.a,
Trojan-Ransom.Boot.Mbro.f.

****

Infecté ? Une question avant de faire des manipulations ?

Venez poster un nouveau sujet dans ce forum : http://forum.security-x.fr/desinfections/  en prenant soin de suivre la procédure http://forum.security-x.fr/desinfections/procedure-preliminaire/[/list]

Edit du 02/10 : actualisation image 4

[chantal11]

Exemple de rapport

http://pjjoint.malekal.com/files.php?read=20120818_o5m11w13o14r12

16:40:34.0391 3624  TDSS rootkit removing tool 2.8.6.0 Aug 13 2012 17:24:05
16:40:36.0419 3624  ============================================================
16:40:36.0419 3624  Current date / time: 2012/08/17 16:40:36.0419
16:40:36.0419 3624  SystemInfo:
16:40:36.0419 3624 
16:40:36.0419 3624  OS Version: 6.1.7601 ServicePack: 1.0
16:40:36.0419 3624  Product type: Workstation
16:40:36.0419 3624  ComputerName: ASUS-CHANTAL
16:40:36.0419 3624  UserName: Chantal
16:40:36.0419 3624  Windows directory: C:\Windows
16:40:36.0419 3624  System windows directory: C:\Windows
16:40:36.0419 3624  Processor architecture: Intel x86
16:40:36.0419 3624  Number of processors: 2
16:40:36.0419 3624  Page size: 0x1000
16:40:36.0419 3624  Boot type: Normal boot
16:40:36.0419 3624  ============================================================
16:40:42.0269 3624  BG loaded
16:40:44.0619 3624  Drive \Device\Harddisk1\DR1 - Size: 0x3A38B2E000 (232.89 Gb), SectorSize: 0x200, Cylinders: 0x76C1, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000050
16:40:44.0627 3624  Drive \Device\Harddisk2\DR2 - Size: 0x7470C06000 (465.76 Gb), SectorSize: 0x200, Cylinders: 0xED81, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
16:40:44.0627 3624  ============================================================
16:40:44.0627 3624  \Device\Harddisk1\DR1:
16:40:44.0637 3624  MBR partitions:
16:40:44.0637 3624  \Device\Harddisk1\DR1\Partition1: MBR, Type 0x7, StartLBA 0x800, BlocksNum 0xD94A800
16:40:44.0637 3624  \Device\Harddisk1\DR1\Partition2: MBR, Type 0x7, StartLBA 0xD94B6A7, BlocksNum 0xAA59159
16:40:44.0637 3624  \Device\Harddisk1\DR1\Partition3: MBR, Type 0x7, StartLBA 0x183A4800, BlocksNum 0x4E20000
16:40:44.0637 3624  \Device\Harddisk2\DR2:
16:40:44.0637 3624  MBR partitions:
16:40:44.0637 3624  \Device\Harddisk2\DR2\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x3A384C02
16:40:44.0637 3624  ============================================================
16:40:44.0779 3624  C: <-> \Device\Harddisk1\DR1\Partition1
16:40:45.0075 3624  E: <-> \Device\Harddisk1\DR1\Partition3
16:40:45.0528 3624  H: <-> \Device\Harddisk2\DR2\Partition1
16:40:45.0949 3624  D: <-> \Device\Harddisk1\DR1\Partition2
16:40:45.0949 3624  ============================================================
16:40:45.0949 3624  Initialize success
16:40:45.0949 3624  ============================================================
16:45:23.0907 3852  ============================================================
16:45:23.0907 3852  Scan started
16:45:23.0907 3852  Mode: Manual; SigCheck; TDLFS;
16:45:23.0907 3852  ============================================================
16:45:25.0452 3852  ================ Scan services =============================
.../...
16:46:07.0509 3852  ================ Scan global ===============================
16:46:07.0541 3852  (dab748ae0439955ed2fa22357533dddb) C:\Windows\system32\basesrv.dll
16:46:07.0587 3852  (183b4188d5d91b271613ec3efd1b3cef) C:\Windows\system32\winsrv.dll
16:46:07.0603 3852  (183b4188d5d91b271613ec3efd1b3cef) C:\Windows\system32\winsrv.dll
16:46:07.0619 3852  (364455805e64882844ee9acb72522830) C:\Windows\system32\sxssrv.dll
16:46:07.0681 3852  (5f1b6a9c35d3d5ca72d6d6fdef9747d6) C:\Windows\system32\services.exe
16:46:07.0712 3852  [Global] - ok
16:46:07.0712 3852  ================ Scan MBR ==================================
16:46:07.0743 3852  MBR (0x1B8)     (a36c5e4f47e84449ff07ed3517b43a31) \Device\Harddisk1\DR1
16:46:08.0196 3852  \Device\Harddisk1\DR1 - ok
16:46:08.0633 3852  MBR (0x1B8)     (180dbde3af7ea48b3db3ac27b1ddf401) \Device\Harddisk2\DR2
16:46:08.0757 3852  \Device\Harddisk2\DR2 - ok
16:46:08.0757 3852  ================ Scan VBR ==================================
16:46:08.0757 3852  Boot (0x1200)   (e3aa3455c884d9b008e7bde36681782e) \Device\Harddisk1\DR1\Partition1
16:46:08.0773 3852  \Device\Harddisk1\DR1\Partition1 - ok
16:46:08.0804 3852  Boot (0x1200)   (ba579e6d25affdfcd489d20b915f007f) \Device\Harddisk1\DR1\Partition2
16:46:08.0820 3852  \Device\Harddisk1\DR1\Partition2 - ok
16:46:08.0851 3852  Boot (0x1200)   (9ba97a7dcd4925719d183bc57840c930) \Device\Harddisk1\DR1\Partition3
16:46:08.0867 3852  \Device\Harddisk1\DR1\Partition3 - ok
16:46:08.0882 3852  Boot (0x1200)   (cdeb9c2c44b4e986a7105de40d051c74) \Device\Harddisk2\DR2\Partition1
16:46:08.0898 3852  \Device\Harddisk2\DR2\Partition1 - ok
16:46:08.0898 3852  ================ Scan active images ========================
.../...
16:46:11.0971 3852  ============================================================
16:46:11.0971 3852  Scan finished
16:46:11.0971 3852  ============================================================
16:46:11.0971 3172  Detected object count: 0
16:46:11.0971 3172  Actual detected object count: 0
16:47:24.0762 3552  Deinitialize success

[chantal11]

Démarrage de TDSSKiller.exe en ligne de commande

-l <nom_du_fichier> : sauvegarder le rapport dans un fichier.
-qpath <chemin_d’accès_au_dossier> : sélectionner l’emplacement du dossier de la quarantaine (s’il n’existe pas, il sera créé).
-h : afficher l’aide selon les clés.
-sigcheck : détecter tous les pilotes sans signature numérique comme suspects.
-tdlfs : détecter la présence du système de fichiers TDLFS, créé par les rootkits TDL 3/4 dans les derniers secteurs du disque dur pour le stockage de leurs fichiers. L’utilitaire permet de copier tous ces fichiers dans la quarantaine.

 

En cas d’utilisation des clés suivantes, les confirmations ne seront pas demandées avant les opérations :

-qall : copier tous les objets (y compris non suspects) dans la quarantaine.
-qsus : copier uniquement les objets suspects dans la quarantaine.
-qmbr : copier tous les MBR dans la quarantaine.
-qcsvc <nom_du_service> : copier le service indiqué dans la quarantaine.
-dcsvc <nom_du_service> : supprimer le service indiqué.
-silent : mode d’analyse silencieux (aucune fenêtre n’est affichée à l’utilisateur), permettant de démarrer l’utilitaire de manière centralisé dans le réseau.
-dcexact : réparation/suppression automatique des menaces connues (utile avec la clé « -silent » pour la réparation de plusieurs ordinateurs dans le réseau).


Par exemple, pour effectuer une analyse de l’ordinateur et sauvegarder le rapport détaillé dans le fichier report.txt (le fichier est créé dans le dossier où se trouve l’utilitaire TDSSKiller.exe), utilisez la commande suivante :

TDSSKiller.exe -l report.txt

Source : Support Kaspersky

[chantal11]

Mise à jour avec les nouveaux liens de téléchargement pour la dernière version 2.8.18.0

http://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe

http://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.zip

[chantal11]

Mise à jour de TDSSKiller version 2.9.2.0

- Improved low-level disk access subsystem (bypass hooks of new Cidox / Carberp).
- Added detect & cure for Virus.Win32.Protector rootkit infector.
- Added detect & cure for Avatar rootkit.
- Added detect & cure for new PMax rootkit.
- Fixed BSOD on Srizbi cure.

[chantal11]

Mise à jour de TDSSKiller version 3.0.0.11

Prise en charge de la technologie Kaspersky Security Network (KSN)