Backdoor.Tidserv
Résolu
SYL
-
mesuto -
mesuto -
Bonjour,
Si ça peut intéresser quelqu'un, je venu à bout du virus backdoor.tidserv.
(d'après une procédure vu sur un site)
Voici le résultat de l'analyse de NORTON SECURITY SCAN :
Menaces non résolues :
Backdoor.Tidserv
ID du virus : 38034
Risque : Elevé
Catégories : Virus
Etat : Non traité
-----------
Base de registres :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSSserv.sys
Pour accéder à la base de registre aller dans démarrer > executer > taper "regedit" et cliqué OK vous vous
apercevrait qu'en remontant les chemins ci-dessus, les registres avec le préfixe "tdss" ne sont pas visibles
donc impossible à supprimer.
NOTE : d'autres fichiers était infecté dans C/WINDOWS/System 32/DRIVER mais j'avais réussis à les enlever
facilement en faisant un scan habituelle avec mon antivirus.
Pour me débarraser du virus et afficher et les registres infectés voici la procédure que j'ai effectué :
1. Je suis allé dans Démarrer clic droit sur "poste de travail" > propriétés > restauration du système
où j'ai coché la case "désactivé la restauration du système"
2. J'ai redemarré en mode sans échec (F8 lorsque le PC est en cours de démarrage).
vous verrez un écran qui vous prososera différent mode de démarrage, choissisez "mode sans échec"
3. Aprés, mon PC m'a laissé le choix entre la session "administrateur" et ma session,
j'ai choisis "administrateur"</gras>
NOTE : en démarrant sans échec, l'affichage générale de l'écran est différent mais c'est normal
4. La session ouverte, j'ai démarrer mon antivirus "avast", lors du test de la mémoire, il a trouvé un rootkit (certainement le backdoor) je l'ai supprimer car en mode sans échec je ne pouvais pas le mettre en quarantaine.
5. Le test de mémoire achevé, mon antivirus m'a informé que mon PC était infecté, qu'il fallait redémarrer mon PC pour qu'avast puissent le scanner. J'ai cliqué sur "oui"
6. Pendant le scan, il m'a détecté quatre autres infections lorsqu'ils les détectent il propose plusieurs actions,
j'ai choisi "mettre en quarantaine" et j'ai dû confirmé "oui" car les fichiers était sous WINDOWS.
7. J'ai ouvert ma session habituelle puis j'ai décoché la case ''désactiver la restauration" dans Poste de travail.
J'ai réeffectué une analyse avec NORTON SECURITY SCAN qui m'a informé qu'il n'y pas d'infection.
PS : J'ai également supprimé les registres "TDSS" qui sont redevenues visible, cependant je ne sait pas si c'était nécessaire.
Si ça peut intéresser quelqu'un, je venu à bout du virus backdoor.tidserv.
(d'après une procédure vu sur un site)
Voici le résultat de l'analyse de NORTON SECURITY SCAN :
Menaces non résolues :
Backdoor.Tidserv
ID du virus : 38034
Risque : Elevé
Catégories : Virus
Etat : Non traité
-----------
Base de registres :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSSserv.sys
Pour accéder à la base de registre aller dans démarrer > executer > taper "regedit" et cliqué OK vous vous
apercevrait qu'en remontant les chemins ci-dessus, les registres avec le préfixe "tdss" ne sont pas visibles
donc impossible à supprimer.
NOTE : d'autres fichiers était infecté dans C/WINDOWS/System 32/DRIVER mais j'avais réussis à les enlever
facilement en faisant un scan habituelle avec mon antivirus.
Pour me débarraser du virus et afficher et les registres infectés voici la procédure que j'ai effectué :
1. Je suis allé dans Démarrer clic droit sur "poste de travail" > propriétés > restauration du système
où j'ai coché la case "désactivé la restauration du système"
2. J'ai redemarré en mode sans échec (F8 lorsque le PC est en cours de démarrage).
vous verrez un écran qui vous prososera différent mode de démarrage, choissisez "mode sans échec"
3. Aprés, mon PC m'a laissé le choix entre la session "administrateur" et ma session,
j'ai choisis "administrateur"</gras>
NOTE : en démarrant sans échec, l'affichage générale de l'écran est différent mais c'est normal
4. La session ouverte, j'ai démarrer mon antivirus "avast", lors du test de la mémoire, il a trouvé un rootkit (certainement le backdoor) je l'ai supprimer car en mode sans échec je ne pouvais pas le mettre en quarantaine.
5. Le test de mémoire achevé, mon antivirus m'a informé que mon PC était infecté, qu'il fallait redémarrer mon PC pour qu'avast puissent le scanner. J'ai cliqué sur "oui"
6. Pendant le scan, il m'a détecté quatre autres infections lorsqu'ils les détectent il propose plusieurs actions,
j'ai choisi "mettre en quarantaine" et j'ai dû confirmé "oui" car les fichiers était sous WINDOWS.
7. J'ai ouvert ma session habituelle puis j'ai décoché la case ''désactiver la restauration" dans Poste de travail.
J'ai réeffectué une analyse avec NORTON SECURITY SCAN qui m'a informé qu'il n'y pas d'infection.
PS : J'ai également supprimé les registres "TDSS" qui sont redevenues visible, cependant je ne sait pas si c'était nécessaire.
7 réponses
bonjour,
dites moi si la soluce vous aidé à vous enlever le virus histoire de savoir si je peux le statut comme "résolu"
dites moi si la soluce vous aidé à vous enlever le virus histoire de savoir si je peux le statut comme "résolu"
bonjour , desoles mais ca fait plus de deux ans que je n'ai attrapé de saletée ! ;-)
Mais tu peu dejas mettre en resolus afin de signaler aux autres internautes que ta soluce fonctionne , mais qu'elle est tout de meme reservée a des utilisateurs agueris et avertis car il faut aller se balader dans la base de registre ,
avant toutes choses toute personnes qui veu essayer cette methode dois au prealable effectuer une sauvegarde sa base de registre a l'aide de l'utilitaire de sauvegarde Erunt , histoire d'avoir une roue de secoure en cas de fausses manipes , sans quoi vous vous exposes en cas d'erreurs a un plantage du pc .
Mais tu peu dejas mettre en resolus afin de signaler aux autres internautes que ta soluce fonctionne , mais qu'elle est tout de meme reservée a des utilisateurs agueris et avertis car il faut aller se balader dans la base de registre ,
avant toutes choses toute personnes qui veu essayer cette methode dois au prealable effectuer une sauvegarde sa base de registre a l'aide de l'utilitaire de sauvegarde Erunt , histoire d'avoir une roue de secoure en cas de fausses manipes , sans quoi vous vous exposes en cas d'erreurs a un plantage du pc .
BONJOUR à tous,
Selon el carosso je dois vous conseiller de sauvegarder votre base registre avant d'entamer la procédure
comme je ne suis pas un pro de l'informatique, j'ai recherché sur le forum
regardez ici :
http://www.commentcamarche.net/faq/sujet 363 sauvegarde de la base de registre
tous vous sera expliqué
ou bien vous tapez "erunt' puis sélectionnez "sauvegarde de la base de registre" sur le site.
Selon el carosso je dois vous conseiller de sauvegarder votre base registre avant d'entamer la procédure
comme je ne suis pas un pro de l'informatique, j'ai recherché sur le forum
regardez ici :
http://www.commentcamarche.net/faq/sujet 363 sauvegarde de la base de registre
tous vous sera expliqué
ou bien vous tapez "erunt' puis sélectionnez "sauvegarde de la base de registre" sur le site.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
rebonjour,
el carosso, je ne suis pas un membre de site et donc je ne peux pas mettre le statut "résolue" de la question si tu es membre, peux-tu le mettre à ma place ?
MERCI D'AVANCE
el carosso, je ne suis pas un membre de site et donc je ne peux pas mettre le statut "résolue" de la question si tu es membre, peux-tu le mettre à ma place ?
MERCI D'AVANCE
non je ne le peu non plus ;-) seul le createur du poste et la moderation le peuvent .
ta demarche est bonne , inscrit toi sur ccm tu pourras rendre services et en apprendre plus sur l'informatique !
ne te tracasse pas avec le statut resolu c'est facultatif
ta demarche est bonne , inscrit toi sur ccm tu pourras rendre services et en apprendre plus sur l'informatique !
ne te tracasse pas avec le statut resolu c'est facultatif
voila moi j en ai plusieur des virus moi mon norton passe dessus c est comme ca que j ai vue que je avait des virus comme:trojan.spaxe/trojan.linkoptimizer/trojan.peacomm/trojan.gpcoder.E/backdoor.tidserv/backdoor.rustock.A/backdoor.rustock.b voila tous ce que j ai norton fait des scan ne voit rien si vous pouvait me aidèe je vous remercie a+
