Site Officiel

Site Officiel
Site Officiel

jeudi 28 avril 2011

[Rogue] Windows Recovery -- TDSS TLD4

Nouvelle variante de TDSS TDL4 ces derniers jours 
(English at the end)


Symptômes:
  • Impossibilité de booter parfois
  • Ecran noir au démarrage de windows
  • Windows Recovery qui revient sans cesse 
  • Icones du bureau disparus
  • Impossibilité de faire un clic droit
  • Raccourcis du menu démarrer supprimés
    Désinfection:
    Démonstration en vidéo :






               1. Si impossibilité de booter: 

    (Attention, si vous avez un PC tatoué, demander conseil avant!)
      • Telecharger et dezipper BurnCDCC.zip : ftp://terabyteunlimited.com/burncdcc.zip
      • Télécharger SuperGrubISO
      • Lancer burncdcc
      • Avec l'onglet "browse", sélectionner super_grub_disk_0.9799.iso
      • Cocher "read verify" , "Finalyze" et "autoeject"
      • Déplacer sous speed le curseur pour le mettre à 32X , inserer un cd vierge et cliquer sur start
      • Booter dessus et choisir ?WIN=> MBR & !WIN!



      Le PC doit pouvoir normalement rebooter sous windows.



                 2. Désinfection:

      Edit du 01/05/2011:

       Il semblerait que l'outil aswMBR soit en mesure de supprimer l'infection, de manière plus sûre (car il restaure l'ancien MBR au lieu de mettre un MBR standard comme le fait SuperGrubISO)

      Télécharger aswMBR sur le Bureau. 
      Double cliquer sur aswMBR.exe pour l'exécuter  (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA / SEVEN
      Cliquer sur le bouton «Scan»  
      Cliquer sur "Fix" si une infection est trouvée





      Edit du 05/05/2011:

      TDSSKiller en version 2.5 semble en mesure de supprimer le rootkit \o/

      Télécharger et dézipper sur le bureau TDSSKILLER Lancer TDSSKiller en faisant un double clique Si une infection est trouvée, cliquer sur "Cure"


      Ensuite,

      • Passer un coup de RogueKiller pour dégager les processus infectieux
      • Passer un scan avec Malwarebytes
      • Passer un scan avec Combofix pour supprimer le driver infectieux. Attention, Combofix est un outil puissant, qui ne s'utilise pas dans n'importe quelle situation! Il peut mettre à mal votre PC.

      Un exemple de rapport montrant l'infection dans Combofix:

      c:\programdata\31973128.exe
c:\programdata\dlUnqaYBbo.exe
c:\users\Laura\AppData\Roaming\Adobe\plugs
c:\users\Laura\AppData\Roaming\Adobe\shed
c:\windows\system32\AutoRun.inf
c:\windows\system32\muzapp.exe
.
Une copie infectée de c:\windows\system32\drivers\volsnap.sys a été trouvée et désinfectée 
Copie restaurée à partir de - Kitty had a snack :p

      • Je conseille de venir se faire aider sur un forum spécialisé avant de vérifier que tout est parti correctement


      ENGLISH Version:


      New variant of TDSS TDL4 these days

      Symptoms:
      • Unable to boot (sometimes)
      • Black screen at startup
      • Windows Recovery comes again even when removed
      • Desktop icons hidden
      • Unable to do a right-click
      • Start menu shortcuts hidden
      Removal:

      Video demonstration :




                 1. If unable to boot:

      (Warning, if you have a tatooed PC, ask some advices before!)
      • Download and unrar BurnCDCC.zip : ftp://terabyteunlimited.com/burncdcc.zip
      • Download SuperGrubISO
      • Launch burncdcc
      • With "browse", select super_grub_disk_0.9799.iso
      • Check "read verify" , "Finalyze" and "autoeject"
      • Set the speed cursor to 32X ,insert a new CD and click on "start"
      • Boot on the CD and choose ?WIN=> MBR & !WIN!



      The PC should now be able to boot again on windows



                 2. Removal:

      05/01/2011 Edit:

      It seems that the Avast tool aswMBR is now able to remove that bootkit with a safer maner than the previous liveCD (It can restaure the old MBR instead of writing a standard one) 

      Download aswMBR on the desktop Double click on aswMBR.exe to launch  (right click -> "run as admin" for VISTA / SEVEN  Click on «Scan»   Click on "Fix" if a threat has been found




      05/05/2011 Edit:


      TDSSKiller 2.5 seems now to ba able to fix this rootkit \o/

      Download and unzip on the desktop TDSSKILLER Start TDSSKiller by double click If threat is found, click on "Cure"

      Then,

      • Do a scan with RogueKiller  to remove malicious processes
      • Do a scan with Malwarebytes
      • Do a scan with Combofix to repair patched driver. Be careful, Combofix is a powerful tool, which should only be used in certain situations! It could blow your operating system up.

      An example of report showing the infection in Comofix:

      c:\programdata\31973128.exe
c:\programdata\dlUnqaYBbo.exe
c:\users\Laura\AppData\Roaming\Adobe\plugs
c:\users\Laura\AppData\Roaming\Adobe\shed
c:\windows\system32\AutoRun.inf
c:\windows\system32\muzapp.exe
.
Une copie infectée de c:\windows\system32\drivers\volsnap.sys a été trouvée et désinfectée 
Copie restaurée à partir de - Kitty had a snack :p

      • I advise to query some help of specialized forums to check if your PC is OK
      Publié par à
      Réactions : 

      Aucun commentaire:

      Enregistrer un commentaire

      Inscription à : Publier les commentaires (Atom)