Bonjour à tous. J'ai été appelé par un ami qui signale un problème sur son pc. A certains moments, souvent au démarrage, il reçoit un message d'alerte de son antivirus AVG 7.0 signalant qu'un cheval de troie "dropper.delf.3.l" se trouve dans le fichier c:\temp\instal1.exe
On a fait un balayage complet avec différents AV. Rien ne se passe, on ne trouve rien.
Après une recherche sur google, j'ai trouvé des post qui indiquaient qu'il fallait débrancher la restauration car le dropper s'installe à l'intérieur. Il a win98se comme système.
Comment peut-on l'aider ?
dropper.delf.3.l
Modérateur: Barbapapa
5 message(s)
• Page 1 sur 1
Re: dropper.delf.3.l
par RippeR » 16 Déc 2004 19:45
skol a écrit :Bonjour à tous. J'ai été appelé par un ami qui signale un problème sur son pc. A certains moments, souvent au démarrage, il reçoit un message d'alerte de son antivirus AVG 7.0 signalant qu'un cheval de troie "dropper.delf.3.l" se trouve dans le fichier c:\temp\instal1.exe
On a fait un balayage complet avec différents AV. Rien ne se passe, on ne trouve rien.
Après une recherche sur google, j'ai trouvé des post qui indiquaient qu'il fallait débrancher la restauration car le dropper s'installe à l'intérieur. Il a win98se comme système.
Comment peut-on l'aider ?
'lut,
Qu'il vide son répertoire temporaire après avoir démarré en mode sans échec
-
RippeR - Vingt mille
- Message(s) : 21052
- Inscription : 11 Nov 2001 02:00
- Localisation : quelque part entre Montcuq et Cefes
par RippeR » 17 Déc 2004 20:31
skol a écrit :répertoire vidé mais le cheval de troie est mentionné à la mise en route et cela arrive deux fois de suite....
Voir avec HijackThis.
Probablement un truc de ce genre :
Enfin, il existe des BHO utilisant un trojan vicieux Backdoor.Agent.ba pour se régénérer en cas de suppression des entrées dans la BdR. La procédure à suivre pour ce cas particulier caractérisée par la présence dans le registre d'une ou plusieurs entrées AppInit_DLLs :
Aller à la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs
La valeur semble vide mais il y a une valeur cachée qui signale à Windows de
charger la dll malveillante chaque fois qu'une application est lancée.
Si tu supprimes la clé dans regedit, vu que le trojan est actif, il va la
rajouter immédiatement (Supprime AppInit_DLLs et actualise : la clé revient
immédiatement)
Procédure d'éradication :
- Regedit et renommer le répertoire HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Windows en Windows2
- Supprimer la valeur AppInit_DLLs dans le panneau de droite.
- Renommer le répertoire Windows2 en Windows.
- Exécuter Ad-aware à jour pour supprimer le BHO et redémarrer.
-Vérifier que AppInit_DLLs est bien absent.
La dll dans le répertoire Windows\System32 a un nom aléatoire.
-
RippeR - Vingt mille
- Message(s) : 21052
- Inscription : 11 Nov 2001 02:00
- Localisation : quelque part entre Montcuq et Cefes
5 message(s)
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit