Rootkit.TDSS fait partie des RootKits avec des fonctions d’Hijacker .
TDSS est un Rootkit c’est une infections qui touche le MBR (Master Boot Record) qu’il modifie.
Il se propage via les reseaux de partage de fichier P2P (Peer To Peer).
C’est un Malware très sophistiqué qui provoque des redirections lors des recherches Google.
Il crée une connexion entrante active dans les exceptions d’application du pare-feu Windows.
Il modifie les paramètres des navigateurs pour pouvoir  rediriger le trafic Web vers ses serveurs.

 

Pour Info:

le MBR se compose du boostrap et d’une table des partitions.
Le but de ce Rootkit est de modifier le boostrap pour y ajouter son propre code qui va se charger avant le Système d’exploitation.

 


Les pilotes qu’il à installé démarrent automatiquement avec le Système.
Rootkit.TDSS crée une clé Legacy dans le Registre pointant vers le Service Malveillant.
Il démarre une tâche planifiée en automatique
.

 

Rootkit.TDSS ralentit les performances du PC et la Navigation Web.
TDSS s’installe en tant que processus pour être lancé à chaque démarrage du Système d’Exploitation.
Il s’installe dans la Base de Registres au niveau Internet Feature Controls.

 

Un script sera nécéssaire pour supprimer toutes traces de l’ infection.

 

Outils à utiliser par aprés:

Le ou les rapports de un de ces trois outils sont à poster pour une Analyse et obtenir un script de suppressions personnalisé.

 

ZHPDiag de Nicolas Coolman
* Télécharger ZHPDiag (de Nicolas coolman) sur votre bureau !!

* Cliquer Dessus >> ZHPDiag

* Une fois le téléchargement achevé,

* Double clique sur ZHPDiag.exe et suis les instructions.
* /!\Utilisateurs de Windows 8.1 /Windows 8 / Windows 7/ Windows Vista
>> Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu’Administrateur » et suivez les instructions.

* L’outil va créer 2 icônes ZHPDiag

* Laissez vous guider lors de l’installation,

* N’oublier pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

* Double clique sur sur le logo de ZHPDiag.exe,en forme de parchemin

qui se trouve sur ton bureau »

* /!\Utilisateurs de Windows 8.1 /Windows 8 / Windows 7/ Windows Vista.

Faites un clic droit sur le logo de ZHPDiag.exe,en forme de parchemin

qui se trouve sur ton bureau « exécuter en tant qu’Administrateur »

* La fenêtre de Contrôle de Compte Utilisateur s’ ouvre >> « Voulez-vous autoriser le programme…. » ,

* Cliquez sur COMPLET

 

ZHPDiag 11 Avril 2015

* L’analyse se lance alors

* Important >> Pendant l analyse de ton PC par ZHPDiag ne toucher à plus rien !!!!!

Même si c ‘est marqué  » Message ( Ne réponds pas ) tu attends

* Enregistrer le rapport sur votre Bureau

* Hébergez le rapport ZHPDiag.txt

ou

OTL de OldTimer

Télécharger OTL (de OldTimer) sur ton Bureau.

* Cliquer Dessus >> OTL.exe

* Utilisateurs Windows XP => Double clic >>sur OTL.exe pour le lancer.
* Utilisateurs Windows 8.1 /Windows 8 / Windows 7/ Windows Vista => Clic droit « [b]executer en tant que en tant qu’administrateur[/b] « sur OTL.exe pour le lancer.

* Vérifier que les cases => Tous les utilisateurs et Recherche Lop soient cochées
* Copier et coller tout le texte çi-dessous =>> dans la partie inférieure d’OTL

sous >> Personalisation :

netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

 

OTL

* Cliquer sur l’icône « Analyse » (en haut à gauche) .
* Laisser le scan aller à son terme sans vous servir du PC
* A la fin du scan un ou deux rapports vont s’ouvrir « OTL.Txt » et ( ou ) « Extras.Txt »( dans certains cas).

* Héberger le rapport >> OTL.Txt
* Faites après de même avec le rapport >> Extras.Txt

* Donc vous avez deux liens de Rapports à poster !!

ou

Farbar Recovery Scan Tool

Version pour Windows 64 Bits

* Téléchargez Farbar Recovery Scan Tool sur votre bureau pas ailleurs

A télécharger ici => Farbar Recovery Scan Tools 64 Bits

* Utilisateurs Windows 8.1 /Windows 8 / Windows 7/ Windows Vista -> Clic droit sur le Fichier FRST64.exe

choisir >>  » Exécuter en tant qu’administrateur » pour le lancer

* La fenêtre s’ ouvre

laissez les cases cochées par défaut

 

* si tu as le message « Disclaimer of warranty » => clique sur Oui.

 

* Clique sur le bouton => Scan

 

FRST

* Deux rapports FRST.txt et Addition.txt vont être générés sur ton bureau.

* Héberge les rapports

* Poste les liens des rapports !!!

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Farbar Recovery Scan Tool

Version pour Windows 32 Bits

* Télécharge Farbar Recovery Scan Tool sur ton bureau pas ailleurs

A télécharger ici => Farbar Recovery Scan Tools 32 Bits

* Utilisateurs Windows XP => Double-clic sur le Fichier FRST
* Utilisateurs Windows 8.1 /Windows 8 / Windows 7/ Windows Vista -> Clic droit sur le Fichier FRST.exe

Choisir >>  » Exécuter en tant qu’administrateur  » pour le lancer

* La fenêtre s’ ouvre

laisse les cases cochées par défaut

 

* si tu as le message « Disclaimer of warranty » => clique sur Oui.

 

* Clique sur le bouton => Scan

 

FRST

* Deux rapports FRST.txt et Addition.txt vont être générés sur ton bureau.

* Héberge les rapports

* Poste les liens des rapports !!!

 

Le ou les rapports de un de ces trois outils sont à poster pour une Analyse et obtenir un script de suppressions personnalisé.

 

Autres Outils à utiliser par aprés
Télécharger TDSSKiller Kaspersky

 

TDSSKiller-00

A télécharger ici => TDSSKiller

 

TDSSKiller-3

 

Télécharger ComboFix

 

ComboFix

A télécharger ici =>  ComboFix

 

ComboFix 0

 

 

Télécharger Malwarebytes

A télécharger ici => Malwarebytes

 
Malwarebytes Anti-Malware examen

 

 
Reparamétrer Internet Explorer :
2014-07-30_103739
Lancer Internet Explorer
Appuyer simultanément sur les touches Alt + U.
Ou dans Menu => Outils en haut à droite
Sélectionner Options Internet.
Cliquer sur l’onglet Général
Supprimer l’URL de l’ indésirable
la remplacer par exemple => https://www.google.fr/.
Cliquer sur OK.
Appuyer à nouveau sur Alt + U,
Cliquer sur le menu déroulant en haut à droite de votre navigateur, à gauche de la zone de recherche.
Sélectionner gérer les moteurs de recherche.
Cherchez et sélectionner le fournisseur de recherche non désiré qui vous est inconnue.
Cliquer sur Supprimer. Cliquez sur OK.
Redémarrez Internet Explorer.

 

Reparamétrer Mozilla Firefox :
2014-07-30_103454
Lancer Firefox
Appuyer simultanément sur les touches Alt + O.
Sélectionner => Options,
Ou dans Menu => Outils en haut
Cliquer sur l’onglet Général
Supprimer l’URL de l’ indésirable
la remplacer par exemple => https://www.google.fr/.
Cliquer sur OK.
Cliquer sur le menu déroulant en haut à droite de votre navigateur, à gauche de la zone de recherche.
Sélectionner gérer les moteurs de recherche.
Sélectionner le fournisseur de recherche non désiré qui vous est inconnu.
Cliquer sur Supprimer. Cliquez sur OK.

Redémarrez Firefox.

 

Reparamétrer Google Chrome :
2014-07-30_103609
Lancer Google Chrome,
Appuyez simultanément sur les touches Alt + F
Ou dans Menu => Outils en haut à droite ( les 3 barres verticales )
Sélectionnez paramètres.
Aller démarrage,
Coche => Ouvrir une page spécifique ou un ensemble de pages ,
Cliquer sur Ensemble de pages.
Supprimer l’URL de l’ indésirable
La remplacer par exemple => https://www.google.fr/
Cliquez sur OK.
Aller dans section Recherche,
Cliquer sur gérer les moteurs de recherche.
Chercher le lien le fournisseur de recherche non désiré qui vous est inconnu.
Cliquer sur la croix en bout de lien => X qui est apparu pour supprimer.
Cliquez sur OK.
Redémarrez Google Chrome.

 

ZHPCleaner by Nicolas Coolman

A télécharger ici => ZHPCleaner

 

ZHPCleaner- site 11 Avril 2015

 

Me Contacter.      contactez moi

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

Recopier le çi- dessous
captcha