Page 1 sur 1

Rootkit TDSS, qu'est-ce que c'est ? Comment s'en débarrasser

Posté : sam. 9 juil. 2011 18:28
par 2011N2
Bonjour
  • Définition:
    Un rootkit est un malware très difficile à désinfecter et à repérer car, généralement, il se greffe dans le "noyau" (cœur) de Windows. Il s'approprie tous les droits du système et, de ce fait, tous les programmes doivent passer par lui pour s’exécuter (y compris les antivirus )
  • But:
    L'un des but principaux du rootkit est de se greffer sur le système et, surtout, de cacher d'autres programmes malveillant, d'autres pirates... qui seront tout aussi invisibles.
  • Symptômes:
    Un rootkit est très discret. Les principaux symptômes sont les suivants : ralentissements globaux du système, redirection lors de recherches google, logiciels de sécurité bloqués...
  • Détection:
    Si vous avez les symptômes ci-dessus et que vous pensez que votre système est atteint par un rootkit, suivez la procédure suivante.
  1. Téléchargez ZHPDiag (de Nicolas Coolman) sur votre bureau.
  2. Un fois le téléchargement terminé, double cliquez sur ZHPDiag.exe et suivez les instructions d'installation. (Clic droit/Exécuter en tant qu'administrateur pour Vista/7).
  3. Cochez la case Créer une icône sur le bureau lors de l'installation.
  4. A la fin de l'installation, ZHPDiag va se lancer tout seul.
  5. Cliquez sur l'icône représentant une loupe.
  6. En fin de scan, un rapport apparaît.



  • Dans le rapport, recherchez les lignes suivantes.
    ---\\ Internet Feature Controls (O81)
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe


    Un rootkit TDSS est souvent reconnaissable grâce à ces lignes.
    Suivant la variante, il peut aussi y avoir une ligne du genre :

    Warning: possible TDL3 rootkit infection !

    A la fin du rapport.
  • Méthode de désinfection:
    Plusieurs méthodes s'offrent à vous pour essayer de supprimer un rootkit TDSS. Voici les plus courantes.
  • Méthode N°1: TDSSKiller
  1. Téléchargez TDSSKiller sur votre bureau et pas à un autre endroit.
  2. Faites un clic droit sur le fichier précédemment téléchargé, puis cliquez sur Extraire Tout, Suivant, Suivant et enfin cliquez sur Terminer.

    /!\ Déconnectez-vous d'internet /!\
  3. Lancez le fichier TDSSKiller (Clic droit/Exécuter en tant qu'administrateur pour Vista/7).
    Image
  4. Cliquez sur Start scan.
  5. Si des fichiers infectés sont trouvés, une nouvelle fenêtre va s'ouvrir.
    Image
  6. Laissez les options par défaut.
  7. Cliquez sur Continue puis sur Reboot now pour redémarrer le PC si des infections ont été trouvées.
  8. Postez le rapport situé dans C:\TDSSKillerVersion_Date_Time_log.txt

  • Méthode N°2: TDSSRemover
  1. Téléchargez TDSSRemover
  2. Extrayez-le sur votre bureau dans un dossier nommé TDSSRemover (avec 7-zip par exemple)
  3. Double cliquez sur le fichier remover.exe présent dans le dossier TDSSRemover (Clic droit/Exécuter en tant qu'administrateur pour Vista/7)
  4. Si un message apparaît, cliquez sur Yes.
  5. Si des éléments apparaissent, cliquez sur Select All puis sur Delete/Repair Selected.
  6. Cliquez sur Yes.
  7. L'ordi va redémarrer.

  • Méthode 3: Malwarebytes Anti-Malware
  1. Téléchargez-le Malwarebytes sur votre bureau.
  2. Lancez-le. Laissez les options par défaut lors de l'installation. A la fin, il va se mettre à jour, laissez-le faire.
  3. Branchez toutes vos sources de données externes à votre PC. (Clés USB...)
  4. Rendez-vous dans l'onglet Recherche, cliquez sur Exécuter un examen complet puis cliquez sur Rechercher.
  5. Sélectionnez vos disques durs et disques amovibles puis cliquez sur Rechercher.
  6. A la fin du scan, un rapport s'ouvre. Cliquez sur Fichier puis Enregistrer sous. Cliquez sur Bureau et mettez le nom Malwarebytes.
  7. Si MalwareBytes détecte des infections, cliquez sur Afficher les résultats, puis sur Supprimer la sélection.
  8. Si Malwarebytes vous demande de redémarrer ton pc, cliquez sur Oui.