TDSS et outils de démarrage Windows Seven

Un petit billet sous forme de TDSS concernant Rootkit.TDSS TDL 4 (Trojan.Alureon) et les outils de récupérations disponibles sur Windows Seven.

Pour rappel, TDSS est un malware qui s’inscrit dans le MBR pour se lancer au démarrage et provoque des redirections lors des recherches Google.
Ci-dessus après avoir chercher le mot vache sur Google, en cliquant sur un résultat, on voit que le navigateur contacte une URL « bizarre »

TDSS et outils de démarrage Windows Seven

qui redirige vers Ebay.

TDSS et outils de démarrage Windows Seven

Au niveau des URLs contactées :

1311581569.555 0 192.168.1.111 TCP_NEGATIVE_HIT/204 327 GET http://www.google.fr/gen_204?atyp=i&ghp=fbg – NONE/- text/html
1311581569.716 0 192.168.1.111 TCP_NEGATIVE_HIT/204 283 GET http://clients1.google.fr/generate_204 – NONE/- text/html
1311581569.838 52 192.168.1.111 TCP_MISS/204 319 GET http://www.google.fr/gen_204?atyp=i&ct=backbutton&cad=&ei=DCMtTrPENcSSswbT27T3Dw&zx=1311580944384 – DIRECT/209.85.148.106 text/html
1311581571.458 55 192.168.1.111 TCP_MISS/200 676 GET http://www.google.fr/url?sa=t&source=web&cd=7&ved=0CEcQFjAG&url=http%3A%2F%2Fwww.1000vaches.com%2F&rct=j&q=vache&ei=DCMtTrPENcSSswbT27T3Dw&usg=AFQjCNGoeiyMqpXuH7mC2dHJecqFcBNSFA – DIRECT/209.85.148.106 text/html
1311581572.065 229 192.168.1.111 TCP_MISS/200 675 GET http://www.1000vaches.com/ – DIRECT/87.106.118.86 text/html
1311581573.492 1397 192.168.1.111 TCP_MISS/200 1251 GET http://offbeatdigest.com/result.php?Keywords=vache&r=c1116f82b07cc45b7550189d379d0931f242592cf2f4a902d7e61167635d651a577247414862993028ad82738f4d03b8&Submit=Go – DIRECT/74.117.114.84 text/html
1311581633.271 61137 192.168.1.111 TCP_MISS/302 768 GET http://lld62o-sckhb974g.com/DAT3bAYL7V4jrau114db4832609e1fe2822435736d37956616k – DIRECT/195.3.145.184 text/html
1311581633.451 119 192.168.1.111 TCP_MISS/302 666 GET http://www.mirago.co.uk/click.ashx?e=ZGieeAB2wtbYGvzk8CLxIwkHu%2bdFdEUBixWngfl%2fbkl3HpOjRq5htlxbAyt3xTsGO6mjb%2fsRS2w7G%2bzPYuTAV5SOdlCiouMcnj5PDOL35V2QdU5mTjx9kluhNiNU798YeU8JfQ0wcvtkBGzgAwcofxu6wE1pP%2fwHjcDglV8L1VU8nTmFMdRl5H5BnzPQ4bmVFH7hJJpm9jl9hJdKtxc0%2bQ%3d%3d – DIRECT/217.154.245.10 text/html
1311581634.067 566 192.168.1.111 TCP_MISS/301 898 GET http://rover.ebay.com/rover/1/709-81959-28221-1/4 – DIRECT/66.211.179.119 image/gif
1311581634.722 580 192.168.1.111 TCP_MISS/301 770 GET http://rover.ebay.fr/rover/1/709-81959-28221-1/4?mpre=http%3A%2F%2Fwww.fr.ebay.com%3Frvr_id%3D250056138545%26clk_rvr_id%3D250056138545&cguid=604df3e31310a47a44c55275fee647c3 – DIRECT/66.135.202.220 image/gif
1311581635.628 710 192.168.1.111 TCP_MISS/301 974 GET http://www.fr.ebay.com/?rvr_id=250056138545&clk_rvr_id=250056138545 – DIRECT/66.135.210.62 –
 

Réparation du démarrage

Pour obtenir des informations sur le fonctionnement des outils au démarrage de Windows Seven, se reporter à la page suivante : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

TDSS et outils de démarrage Windows Seven

Le premier essai consiste à tenter la réparation du démarrage….  1er option dans le menu précédent, au passage l’option nous propose au passage une restauration du système.

TDSS et outils de démarrage Windows Seven

au redémarrage TDSS est toujours présent.

TDSS et outils de démarrage Windows SevenRé-écrire le MBR depuis la réparation du démarrage

La seconde option consiste à réécrire le MBR – prendre la dernière option : inviste de commandes

TDSS et outils de démarrage Windows Sevenet saisir la commande suivante : bootsect /nt60 SYS /mbr
la commande fixmbr ayant disparu.

TDSS et outils de démarrage Windows SevenAu redémarrage, GMER est clean.

TDSS et outils de démarrage Windows Seven

Conclusion

Sans surprise, il faut réécrire le MBR afin de supprimer le chargement de l’infection. La bonne nouvelle est que l’on est pas obligé de booter sur un DVD Windows, qui en général, n’est pas fourni avec le PC.
On peux passer par les outils de démarrage de Windows Seven pour attraper l’invites de commandes et lancer la commande de réécrire du MBR qui supprime TDSS.

L’inconvénient est que cela peux faire sauter le tatouage du PC – voir cette page pour les PC tatoués : http://www.e-juristes.org/Le-tatouage-des-ordinateurs/

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 69 times, 1 visits today)

4 thoughts on “TDSS et outils de démarrage Windows Seven

  1. Bonjour Mak et merci pour cette fiche

    En réecrivant le Mbr, fait-on sauter le tatouage du Pc ?

    La recovery sera t’elle toujours fonctionnelle ou non ?

    Merci à plus

  2. RE,

    Donc tu me confirme bien qu’après cette manipulation (Ré-écrire le MBR depuis la réparation du démarrage)
    on ne peut plus se servir de sa recovery (restauration usine de ton Pc comme au 1ér jour)

    Merci pour ta réactivité et tout le travail que tu fournis

  3. oui, pour refaire un MBR avec le tatouage, il faut passer par des outils de constructeurs (s’ils sont dispos) et qui doivent changer selon le constructeur.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *