Un virus bien embêtant. (BOO/TDss.O)
DuDDU
-
DuDDU -
DuDDU -
Bonjour,
Je viens d'attraper un virus possédant le patronyme de Boo/tdss.o, le seul problème c'est que je ne sais pas comment le supprimer de mon ordinateur.
j'ai déjà essayé de le supprimer à partir de mon antivirus avira antivir (par un scan), mais cette action fut sans succès.
Merci d'avance pour toutes vos réponses.
Je viens d'attraper un virus possédant le patronyme de Boo/tdss.o, le seul problème c'est que je ne sais pas comment le supprimer de mon ordinateur.
j'ai déjà essayé de le supprimer à partir de mon antivirus avira antivir (par un scan), mais cette action fut sans succès.
Merci d'avance pour toutes vos réponses.
A voir également:
- Un virus bien embêtant. (BOO/TDss.O)
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Faux message virus iphone ✓ - Forum Virus
- Vérifier que le serveur freebox est bien connecté à internet - Forum Freebox
- Undisclosed-recipients virus - Guide
37 réponses
Bonsoir,
1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
● Lance TDSSKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Start scan.
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
● Conserve l'action proposée par défaut par l'outil
▸ Pour TDSS.tdl2 : l'option Delete sera cochée.
▸ Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
▸ Pour "Suspicious object" laisse sur "Skip"
▸ Pour Rootkit.Win32.ZAccess : Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
● Lance TDSSKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Start scan.
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
● Conserve l'action proposée par défaut par l'outil
▸ Pour TDSS.tdl2 : l'option Delete sera cochée.
▸ Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
▸ Pour "Suspicious object" laisse sur "Skip"
▸ Pour Rootkit.Win32.ZAccess : Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
re,
Oui, le rootkit semble avoir été supprimé. Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
Oui, le rootkit semble avoir été supprimé. Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
msconfig safebootminimal safebootnetwork %temp%\*.exe /s %ALLUSERSPROFILE%\Application Data\*.exe /s %ALLUSERSPROFILE%\Application Data\*. %APPDATA%\*.exe /s %APPDATA%\*. %SYSTEMDRIVE%\*.exe %systemroot%\Tasks\*.* /s %systemroot%\*. /mp /s %systemroot%\assembly\tmp\*.* /s hklm\system\CurrentControlSet\Services\lanmanserver\parameters /s hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s hklm\software\clients\startmenuinternet|command /rs hklm\software\clients\startmenuinternet|command /64 /rs CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
re,
Tu as été infecté par le rogue System Check.
As tu retrouvé tes fichiers et tes documents ?
Connais tu ce fichier qui se trouve sur le bureau ? sdsetup_revwire207.exe
1. Désinstalle :
PC Tools®Spyware Doctor
https://forum.malekal.com/viewtopic.php?t=12847&start=
2. Choisis également un antivirus et désinstalle l'autre.
Trend Micro Titanium Internet Security
Avira AntiVir Personal
A +
Tu as été infecté par le rogue System Check.
As tu retrouvé tes fichiers et tes documents ?
Connais tu ce fichier qui se trouve sur le bureau ? sdsetup_revwire207.exe
1. Désinstalle :
PC Tools®Spyware Doctor
https://forum.malekal.com/viewtopic.php?t=12847&start=
2. Choisis également un antivirus et désinstalle l'autre.
Trend Micro Titanium Internet Security
Avira AntiVir Personal
A +
non je ne connais pas ce fichier
et tout mes fichiers sont encore vide, je ne sais pas comment désactiver les logiciels que tu m'as cité ci-dessus
et tout mes fichiers sont encore vide, je ne sais pas comment désactiver les logiciels que tu m'as cité ci-dessus
re,
1. Pour désinstaller un programme : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
Tu conserves un antivirus de ton choix (antivir ou trend micro), bien sûr.
2. Télécharge sur le bureau RogueKiller
● Ferme toutes tes applications en cours
● Lance RogueKiller.exe
● Laisse le prescan se terminer, clique sur Scan
● Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message
A +
1. Pour désinstaller un programme : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
Tu conserves un antivirus de ton choix (antivir ou trend micro), bien sûr.
2. Télécharge sur le bureau RogueKiller
● Ferme toutes tes applications en cours
● Lance RogueKiller.exe
● Laisse le prescan se terminer, clique sur Scan
● Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message
A +
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 18 ¤¤¤
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9750420AS +++++
--- User ---
[MBR] 9a294e12ca22de4f295162950da1a156
[BSP] 30b0f6350ddffdd846eff91f03c03022 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 22003 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 45062325 | Size: 178849 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 411346944 | Size: 514550 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
¤¤¤ Entrees de registre: 18 ¤¤¤
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9750420AS +++++
--- User ---
[MBR] 9a294e12ca22de4f295162950da1a156
[BSP] 30b0f6350ddffdd846eff91f03c03022 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 22003 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 45062325 | Size: 178849 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 411346944 | Size: 514550 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
re,
● Relance RogueKiller.exe
● Clique sur Suppression
● Clique sur Racc. RAZ
● Copie/colle les rapports dans ton prochain message.
Dis moi si tu as retrouvé tes documents et le reste.
A +
● Relance RogueKiller.exe
● Clique sur Suppression
● Clique sur Racc. RAZ
● Copie/colle les rapports dans ton prochain message.
Dis moi si tu as retrouvé tes documents et le reste.
A +
RogueKiller V7.0.2 [30/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Quentin [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 04/02/2012 23:57:37
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 1879 / Fail 0
Lancement rapide: Success 14 / Fail 0
Programmes: Success 309 / Fail 0
Menu demarrer: Success 55 / Fail 0
Dossier utilisateur: Success 5631 / Fail 0
Mes documents: Success 55 / Fail 0
Mes favoris: Success 34 / Fail 0
Mes images: Success 19 / Fail 0
Ma musique: Success 1173 / Fail 0
Mes videos: Success 1 / Fail 0
Disques locaux: Success 9379 / Fail 0
Sauvegarde: [FOUND] Success 203 / Fail 0
Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[Q:] \Device\SftVol -- 0x3 --> Restored
¤¤¤ Infection : Rogue.FakeHDD ¤¤¤
Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
j'ai retrouvé toutes mes icones sur le bureau, mais pas celles lorsque j'appuis sur le bouton windows en bas à gauche (panneau de configuration, ordinateur, images etc)
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Quentin [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 04/02/2012 23:57:37
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 1879 / Fail 0
Lancement rapide: Success 14 / Fail 0
Programmes: Success 309 / Fail 0
Menu demarrer: Success 55 / Fail 0
Dossier utilisateur: Success 5631 / Fail 0
Mes documents: Success 55 / Fail 0
Mes favoris: Success 34 / Fail 0
Mes images: Success 19 / Fail 0
Ma musique: Success 1173 / Fail 0
Mes videos: Success 1 / Fail 0
Disques locaux: Success 9379 / Fail 0
Sauvegarde: [FOUND] Success 203 / Fail 0
Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[Q:] \Device\SftVol -- 0x3 --> Restored
¤¤¤ Infection : Rogue.FakeHDD ¤¤¤
Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
j'ai retrouvé toutes mes icones sur le bureau, mais pas celles lorsque j'appuis sur le bouton windows en bas à gauche (panneau de configuration, ordinateur, images etc)
Bonjour,
Il reste des résidus de l'infection à nettoyer et vérifier que le MBR est sain mais je voulais résoudre ton soucis du Menu Démarrer avant.
Pourtant RogueKiller indique l'avoir fait : Menu demarrer: Success 55 / Fail 0
1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie du bas "Personnalisation", copie/colle :
● Clique sur le bouton Aucun puis Analyse.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note.
● Copie/colle le dans ton prochain message.
2. Télécharge aswMBR sur ton Bureau.
● Lance aswMBR.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Refuse la demande de mise à jour
● Clique sur le bouton Scan
● Patiente pendant l'analyse
● Clique sur Save log
● Enregistre le rapport sur le Bureau.
● Copie/colle le rapport dans ton prochain message.
A +
Il reste des résidus de l'infection à nettoyer et vérifier que le MBR est sain mais je voulais résoudre ton soucis du Menu Démarrer avant.
Pourtant RogueKiller indique l'avoir fait : Menu demarrer: Success 55 / Fail 0
1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie du bas "Personnalisation", copie/colle :
C:\ProgramData\Microsoft\Windows\Start Menu\*.* /s
● Clique sur le bouton Aucun puis Analyse.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note.
● Copie/colle le dans ton prochain message.
2. Télécharge aswMBR sur ton Bureau.
● Lance aswMBR.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Refuse la demande de mise à jour
● Clique sur le bouton Scan
● Patiente pendant l'analyse
● Clique sur Save log
● Enregistre le rapport sur le Bureau.
● Copie/colle le rapport dans ton prochain message.
A +
