no save
Identification
Assistance
Achat
News

Forum | virus/sécurité
Backdoor.Tidserv
SYL, le lun. 27 oct. 2008 à 18:41:49
Bonjour,

Si ça peut intéresser quelqu'un, je venu à bout du virus backdoor.tidserv.
(d'après une procédure vu sur un site)

Voici le résultat de l'analyse de NORTON SECURITY SCAN :

Menaces non résolues :

Backdoor.Tidserv

ID du virus : 38034
Risque : Elevé
Catégories : Virus
Etat : Non traité
-----------
Base de registres :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSSserv.sys

Pour accéder à la base de registre aller dans démarrer > executer > taper "regedit" et cliqué OK vous vous
apercevrait qu'en remontant les chemins ci-dessus, les registres avec le préfixe "tdss" ne sont pas visibles
donc impossible à supprimer.

NOTE : d'autres fichiers était infecté dans C/WINDOWS/System 32/DRIVER mais j'avais réussis à les enlever
facilement en faisant un scan habituelle avec mon antivirus.

Pour me débarraser du virus et afficher et les registres infectés voici la procédure que j'ai effectué :

1. Je suis allé dans Démarrer clic droit sur "poste de travail" > propriétés > restauration du système
où j'ai coché la case "désactivé la restauration du système"

2. J'ai redemarré en mode sans échec (F8 lorsque le PC est en cours de démarrage).
vous verrez un écran qui vous prososera différent mode de démarrage, choissisez "mode sans échec"

3. Aprés, mon PC m'a laissé le choix entre la session "administrateur" et ma session,
j'ai choisis "administrateur"</gras>

NOTE : en démarrant sans échec, l'affichage générale de l'écran est différent mais c'est normal

4. La session ouverte, j'ai démarrer mon antivirus "avast", lors du test de la mémoire, il a trouvé un rootkit (certainement le backdoor) je l'ai supprimer car en mode sans échec je ne pouvais pas le mettre en quarantaine.

5. Le test de mémoire achevé, mon antivirus m'a informé que mon PC était infecté, qu'il fallait redémarrer mon PC pour qu'avast puissent le scanner. J'ai cliqué sur "oui"

6. Pendant le scan, il m'a détecté quatre autres infections lorsqu'ils les détectent il propose plusieurs actions,
j'ai choisi "mettre en quarantaine" et j'ai dû confirmé "oui" car les fichiers était sous WINDOWS.

7. J'ai ouvert ma session habituelle puis j'ai décoché la case ''désactiver la restauration" dans Poste de travail.
J'ai réeffectué une analyse avec NORTON SECURITY SCAN qui m'a informé qu'il n'y pas d'infection.

PS : J'ai également supprimé les registres "TDSS" qui sont redevenues visible, cependant je ne sait pas si c'était nécessaire.Configuration: Windows XP
Internet Explorer 7.0


el carrosso
oct. 08
Suivant
REPONSES
el carrosso
oct. 08
SYL
oct. 08
el carrosso
oct. 08
SYL
oct. 08
SYL
oct. 08
el carrosso
oct. 08
mesuto
04 févr.
Version Web
Mentions légales (c)2009
Réalisé par RedShift
no save