ADSL-BC

un forum sur l'ADSL en Belgique
https://forum.adsl-bc.org/

dropper.delf.3.l

https://forum.adsl-bc.org/viewtopic.php?f=18&t=17726

Page 1 sur 1

dropper.delf.3.l

Message Publié : 16 Déc 2004 18:26
par skol
Bonjour à tous. J'ai été appelé par un ami qui signale un problème sur son pc. A certains moments, souvent au démarrage, il reçoit un message d'alerte de son antivirus AVG 7.0 signalant qu'un cheval de troie "dropper.delf.3.l" se trouve dans le fichier c:\temp\instal1.exe
On a fait un balayage complet avec différents AV. Rien ne se passe, on ne trouve rien.
Après une recherche sur google, j'ai trouvé des post qui indiquaient qu'il fallait débrancher la restauration car le dropper s'installe à l'intérieur. Il a win98se comme système.
Comment peut-on l'aider ?

Re: dropper.delf.3.l

Message Publié : 16 Déc 2004 19:45
par RippeR
skol a écrit :Bonjour à tous. J'ai été appelé par un ami qui signale un problème sur son pc. A certains moments, souvent au démarrage, il reçoit un message d'alerte de son antivirus AVG 7.0 signalant qu'un cheval de troie "dropper.delf.3.l" se trouve dans le fichier c:\temp\instal1.exe
On a fait un balayage complet avec différents AV. Rien ne se passe, on ne trouve rien.
Après une recherche sur google, j'ai trouvé des post qui indiquaient qu'il fallait débrancher la restauration car le dropper s'installe à l'intérieur. Il a win98se comme système.
Comment peut-on l'aider ?

'lut,

Qu'il vide son répertoire temporaire après avoir démarré en mode sans échec

Message Publié : 17 Déc 2004 19:46
par skol
répertoire vidé mais le cheval de troie est mentionné à la mise en route et cela arrive deux fois de suite....

Message Publié : 17 Déc 2004 20:31
par RippeR
skol a écrit :répertoire vidé mais le cheval de troie est mentionné à la mise en route et cela arrive deux fois de suite....


Voir avec HijackThis.

Probablement un truc de ce genre :

Enfin, il existe des BHO utilisant un trojan vicieux Backdoor.Agent.ba pour se régénérer en cas de suppression des entrées dans la BdR. La procédure à suivre pour ce cas particulier caractérisée par la présence dans le registre d'une ou plusieurs entrées AppInit_DLLs :

Aller à la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs
La valeur semble vide mais il y a une valeur cachée qui signale à Windows de
charger la dll malveillante chaque fois qu'une application est lancée.
Si tu supprimes la clé dans regedit, vu que le trojan est actif, il va la
rajouter immédiatement (Supprime AppInit_DLLs et actualise : la clé revient
immédiatement)

Procédure d'éradication :
- Regedit et renommer le répertoire HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Windows en Windows2
- Supprimer la valeur AppInit_DLLs dans le panneau de droite.
- Renommer le répertoire Windows2 en Windows.
- Exécuter Ad-aware à jour pour supprimer le BHO et redémarrer.
-Vérifier que AppInit_DLLs est bien absent.
La dll dans le répertoire Windows\System32 a un nom aléatoire.

Message Publié : 18 Déc 2004 13:35
par The Devil666
Veritable cochonnerie ce Trojan Vindjuuuuu :evil: :evil: :evil:
Le fuseau horaire est UTC+1 heure [Heure d’été]
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/