FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

[résolu]Tuto rootkit TDSS

Règles du forum : Catégorie concernant le forum en lui-même. Permet de proposer l'ajout, la modification ou la mise à jour d'une astuce quelconque, proposer des suggestions pour améliorer le forum (fonctions, design, organisation...), demander de l'aide en cas de difficultés à naviguer sur le forum, remonter un bug...
Les annonces faites par le staff concernant FEI seront également placées ici.
Merci de lire et de respecter la charte générale du forum.

Répondre

Afin d’empêcher la création automatisée de comptes, nous vous demandons de réussir le défi ci-contre.
Smileys
:D :) :-) ;) :| :( :cry: :cheers: :hourra: :mv: :lol: :mdr: :bonjour: :hello: :jap: :siffle: :bisou: :P :o :x :roll: :good: :bad: :super: :reflexion: :suspect: :? :oops: :peur: :zen: :boude: :bug:

Revue du sujet : [résolu]Tuto rootkit TDSS Étendre la vue

Re: [résolu]Tuto rootkit TDSS

par 2011N2 » sam. 9 juil. 2011 18:29
Salut,

Excellent !
Posté : http://www.forum-entraide-informatique. ... asser#2722

Merci

Gabriel.

[résolu]Tuto rootkit TDSS

par roro04 » sam. 9 juil. 2011 18:00
Salut!

Voilà le tuto sur les rootkit TDSS.
___________________________________________________________________________

Salut!

Voilà mon premier tuto sur les rootkits TDSS.
  • Définition:
    Un rootkit est tout d'abord un malware. Un rootkit est un malware très difficile à désinfecter et à repérer car généralement, il se greffe dans le "noyau" (coeur) de Windows. Il s'approprie tous les droits du système et de ce fait, tout les programmes doivent passer par lui pour s’exécuter (y compris les antivirus )
  • But:
    L'un des but principaux du rootkit est donc de se greffer sur le système et surtout de cacher d'autres programmes malveillant, d'autres pirates... et qui seront aussi invisibles.
  • Symptômes:
    Un rootkit est très discret. Les principaux symptômes sont donc les suivants: ralentissements globaux du système, redirection lors de recherches google, Logiciels de sécurité bloqués...
  • Détection:
    Si vous avez les mêmes symptômes que ci-dessus et que vous pensez que votre système est atteint par un rootkit, suivez la procédure suivant.
    • Téléchargez ZHPDiag (de Nicolas coolman) sur ton bureau.
    • Un fois le téléchargement terminé, double cliquez sur ZHPDiag.exe et suivez les instructions d'installation. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
    • Cochez la case Créer une icône sur le bureau lors de l'installation.
    • A la fin de l'installation, ZHPDiag va se lancer tout seul.
    • Cliquez sur l'icône représentant une loupe.
    • En fin de scan, un rapport apparait.
    Dans le rapport recherchez les lignes suivantes.
    ---\\ Internet Feature Controls (O81)
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe


    Un rootkit TDSS est souvent reconnaissable grave à ces lignes.
    Suivant la variante, il peut aussi y avoir une ligne du genre

    Warning: possible TDL3 rootkit infection !

    A la fin du rapport.

    [*]Méthode de désinfection:
    Plusieurs méthodes s'offrent à vous pour essayer de supprimer un rootkit TDSS. Voici les plus courantes.
      [*]Méthode N°1: TDSSKiller
        [*]Téléchargez TDSSKiller sur ton bureau et pas à un autre endroit.
        [*]Faites un clique droit sur le fichier précédemment téléchargé puis cliquez sur Extraire Tout, Suivant, Suivant et enfin cliquez sur Terminer.

        /!\ Déconnecte toi d'internet /!\

        [*]Lancez le fichier TDSSKiller (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
        Image
        [*]Cliquez sur Start scan.
        [*]Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir.
        Image
        [*]Laissez les options par défaut.
        [*]Cliquez sur Continue puis sur Reboot now pour redémarrer le PC si des infections ont été trouvées.
        [*]Postez le rapport situé dans C:\TDSSKillerVersion_Date_Time_log.txt

        [*]Méthode N°2: TDSSRemover
          [*]Télécharge TDSSRemover
          [*]Extrait-le sur ton bureau dans un dossier nommé TDSSRemover (avec 7-zip par exemple)
          [*]Double clique sur le fichier remover.exe présent dans le dossier TDSSRemover (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
          [*]Si un message apparait, clique sur Yes.
          [*]Si des éléments apparaissent, clique sur Select All puis sur Delete/Repair Selected.
          [*]Clique sur Yes.
          [*]L'ordi va redémarrer.

          [*]Méthode 3: Malwarebytes Anti-Malware
            [*]Télécharges Malwarebytes sur ton bureau.
            [*]Lance le. Laisse les options par défaut lors de l'installation. A la fin, il va se mettre à jour, laisse-le faire.
            [*]Branche toutes tes sources de données externes à ton PC. (Clés USB...)
            [*]Rends-toi dans l'onglet Recherche, clique sur Exécuter un examen complet puis clique sur Rechercher.
            [*]Sélectionnes tes disques durs et disques amovibles puis clique sur Rechercher.
            [*]A la fin du scan, un rapport s'ouvre. Clique sur Fichier puis Enregistrer sous. Clique sur Bureau et met le nom Malwarebytes.
            [*]Si MalwareBytes détecte des infections, clique sur Afficher les résultats, puis sur Supprimer la sélection.
            [*]Si Malwarebytes te demande de redémarrer ton pc, clique sur Oui.


            [*]Conclusion
            En conclusion, les rootkit sont des malwares très puissant et discret. Donc faites attention à ce que vous faites sur le web. En cas de problèmes, je pas hésiter à poster dans la section désinfection.

            Salut!

            Voilà mon premier tuto sur les rootkits TDSS.
            • Définition:
              Un rootkit est tout d'abord un malware. Un rootkit est un malware très difficile à désinfecter et à repérer car généralement, il se greffe dans le "noyau" (coeur) de Windows. Il s'approprie tous les droits du système et de ce fait, tout les programmes doivent passer par lui pour s’exécuter (y compris les antivirus :( )
            • But:
              L'un des but principaux du rootkit est donc de se greffer sur le système et surtout de cacher d'autres programmes malveillant, d'autres pirates... et qui seront aussi invisibles.
            • Symptômes:
              Un rootkit est très discret. Les principaux symptômes sont donc les suivants: ralentissements globaux du système, redirection lors de recherches google, Logiciels de sécurité bloqués...
            • Détection:
              Si vous avez les mêmes symptômes que ci-dessus et que vous pensez que votre système est atteint par un rootkit, suivez la procédure suivant.
              • Téléchargez ZHPDiag (de Nicolas coolman) sur ton bureau.
              • Un fois le téléchargement terminé, double cliquez sur ZHPDiag.exe et suivez les instructions d'installation. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
              • Cochez la case Créer une icône sur le bureau lors de l'installation.
              • A la fin de l'installation, ZHPDiag va se lancer tout seul.
              • Cliquez sur l'icône représentant une loupe.
              • En fin de scan, un rapport apparait.
              Dans le rapport recherchez les lignes suivantes.
              ---\\ Internet Feature Controls (O81)
              O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
              O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe


              Un rootkit TDSS est souvent reconnaissable grave à ces lignes.
              Suivant la variante, il peut aussi y avoir une ligne du genre

              Warning: possible TDL3 rootkit infection !

              A la fin du rapport.
            • Méthode de désinfection:
              Plusieurs méthodes s'offrent à vous pour essayer de supprimer un rootkit TDSS. Voici les plus courantes.
              • Méthode N°1: TDSSKiller
                • Téléchargez TDSSKiller sur ton bureau et pas à un autre endroit. 
                • Faites un clique droit sur le fichier précédemment téléchargé puis cliquez sur Extraire Tout, Suivant, Suivant et enfin cliquez sur Terminer

                  /!\ Déconnecte toi d'internet /!\
                • Lancez le fichier TDSSKiller (Clique droit/Exécuter en tant qu'administrateur pour Vista/7). 
                  Image
                • Cliquez sur Start scan
                • Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir.
                  Image
                • Laissez les options par défaut.
                • Cliquez sur Continue puis sur Reboot now pour redémarrer le PC si des infections ont été trouvées.
                • Postez le rapport situé dans C:\TDSSKillerVersion_Date_Time_log.txt
              • Méthode N°2: TDSSRemover
                • Télécharge TDSSRemover
                • Extrait-le sur ton bureau dans un dossier nommé TDSSRemover (avec 7-zip par exemple)
                • Double clique sur le fichier remover.exe présent dans le dossier TDSSRemover (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
                • Si un message apparait, clique sur Yes.
                • Si des éléments apparaissent, clique sur Select All puis sur Delete/Repair Selected.
                • Clique sur Yes.
                • L'ordi va redémarrer.
              • Méthode 3: Malwarebytes Anti-Malware
                • Télécharges Malwarebytes sur ton bureau.
                • Lance le. Laisse les options par défaut lors de l'installation. A la fin, il va se mettre à jour, laisse-le faire. 
                • Branche toutes tes sources de données externes à ton PC. (Clés USB...)
                • Rends-toi dans l'onglet Recherche, clique sur Exécuter un examen complet puis clique sur Rechercher.
                • Sélectionnes tes disques durs et disques amovibles puis clique sur Rechercher.
                • A la fin du scan, un rapport s'ouvre. Clique sur Fichier puis Enregistrer sous. Clique sur Bureau et met le nom Malwarebytes.
                • Si MalwareBytes détecte des infections, clique sur Afficher les résultats, puis sur Supprimer la sélection.
                • Si Malwarebytes te demande de redémarrer ton pc, clique sur Oui.
            • Conclusion
              En conclusion, les rootkit sont des malwares très puissant et discret. Donc faites attention à ce que vous faites sur le web. En cas de problèmes, je pas hésiter à poster dans la section désinfection.


            @+
            Problème de téléchargement

            Bonjour Suivez les indications de KAV, si vous n'[…]

            Présentation

            Hello :hello: , Merci pour l'accueil

            New crash game Plinko

            Oh, great. Crash games are a good choice if you wa[…]

            Site officiel du casino Vavada

            C'est un vieux casino, ce n'est pas du tout int&ea[…]