Trojan Dropper

En parlant de virus, j'ai encore eu une alerte maximum hier soir. Nom du virus: Trojan.dropper pourriez-vous me dire de quoi il s'agit et quels sont ses effets?

Détecté : 2 Février 2000


Egalement appelé : Virus.Dropper, Trojan dropper
Type : Trojan Horse
Etendue de l'infection : variable
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


Trojan.Dropper est un cheval de Troie qui dépose des chevaux de Troie ou des troyens de porte dérobée sur des ordinateurs compromis.

Remarque : Les définitions antérieures au 28 mars 2005 peuvent détecter cette menace comme "Trojan dropper".
ProtectionVersion initiale des définitions Rapid Release 7 Février 2000
Dernière version des définitions Rapid Release 11 Janvier 2008 révision 037
Version initiale des définitions Daily Certified 7 Février 2000 révision 007
Dernière version des définitions Daily Certified 11 Janvier 2008 révision 040
Date de la version initial des définitions Weekly Certified 7 Février 2000
Cliquez ici, si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

• Virulence
  > Niveau de virulence : Faible
  > Nombre d'infections : 0 - 49
  > Nombre de sites : 0 - 2
  > Distribution géographique : Faible
  > Contrôle de la menace : Facile
  > Suppression : Facile
  
  • Dommages
    > Niveau de dommage : Faible
    
  • Distribution
    > Niveau de distribution : Faible

• Pour le supprimer . . .

Faire un scan en ligne et coller le rapport ici sur le post

> Utiliser l'antivirus en ligne suivant :

• [Vous devez être inscrit et connecté pour voir ce lien]
  Cliquer sur " To continue without subscribing click here " et attendre quelques minutes.

Lorsque " Ready " est affiché dans "status", cocher la case " Autoclean " puis ...
Cliquer sur " Scan my PC "

A la fin de l'analyse, copier/coller le rapport ici en répondant . . .

Puis désactiver la restauration système . . .

Pour cela :

• Tu fais clic droit sur Poste de travail > propriété.
  
• Tu cliques sur onglet { Restauration systeme }
  
• Tu coches la case [ Désactiver la restauration ] et faire " Appliqué "
  
• Puis, tu redemarres

--------------------
Cela fait, il faut déconnecter

1. Tu cliques sur Démarrer > Panneau de configuration > Option Internet
   
2. Une fenêtre s'ouvre tu cliques sur " supprimer les fichiers "
   
3. Une nouvelle petite fenêtre s'ouvre, alors tu coches " éffacer tout le contenu, hors connection " et clic sur [ OK ]

-------------------

Là, tu refais un scan rav pour verification si tout est ok ...
Tu reactives la restauration système et tu crées un point de restauration manuellement

A la fin de la seconde analyse, un nouveau " copier/coller " du rapport ici en répondant une nouvelle fois . . .

:lol:

Je t'ai déjà répondu toute à l'heure pour le trojan dropper.
Mais pose tes questions au bon endroit, car personne répondra à part moi ... ce que j'avais fait !

Regarde donc plus haut

Trojan Horse
Niveau de risque 1 : Très faible

Détecté le13 Février 2007
Type : Trojan Horse
Etendue de l'infection : Variable
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


Cheval de Troie est la détection générique utilisée pour divers programmes de type cheval de Troie.


Evaluation de la menace

• Virulence
  Niveau de virulence : Moyen
  Nombre d'infections : More than 1000
  Nombre de sites : More than 10
  Distribution géographique : Faible
  Contrôle de la menace : Facile
  Suppression : Modéré
  Dommages
  Niveau de dommage : Moyen
  Déclencheur : Ne s'applique pas
  Charge utile : Variable
  Envoi de courrier électronique à grande échelle : Ne s'applique pas
  Supprime les fichiers : Ne s'applique pas
  Modifie les fichiers : Ne s'applique pas
  Divulgue des informations confidentielles : Ne s'applique pas
  Dégrade les performances : Ne s'applique pas
  Entraîne l'instabilité du système : Ne s'applique pas
  Compromet les paramètres de sécurité : Ne s'applique pas

Distribution

Niveau de distribution : Faible
Objet du courrier électronique : Ne s'applique pas
Nom de la pièce jointe : Ne s'applique pas
Taille de la pièce jointe : Ne s'applique pas
Ports : Ne s'applique pas
Lecteurs partagés : Ne s'applique pas
Cible d'infection : Ne s'applique pas
Horodatage de la pièce jointe : Ne s'applique pas

1. Désactiver l'option de restauration du système (Windows Me/XP).
   
2. Mettre à jour les définitions de virus.
   
3. Exécuter une analyse complète du système et supprimer tous les fichiers détectés.
   
4. Supprimer toute valeur ajoutée au registre.
   
5. Modifier le fichier Win.ini.
   
6. Modifier le fichier System.ini.
   
7. Nettoyer le dossier Temporary Internet Files.

Plus de détails sur chacune des étapes, lisez les instructions suivantes.

1. Pour désactiver l'option de restauration du système (Windows Me/XP)
Si vous utilisez Windows Me ou Windows XP, nous vous conseillons de désactiver temporairement la restauration du système. Windows Me et XP utilisent cette fonctionnalité, activée par défaut afin de pouvoir restaurer des fichiers sur votre ordinateur, s'ils venaient à être endommagés. Si un ordinateur a été infecté par un virus, un ver ou un cheval de Troie, il est possible que ce virus, ver ou cheval de Troie soit sauvegardé par la Restauration du système.

Windows empêche des programmes tiers, y compris les programmes anti-virus, de modifier la Restauration du système. Par conséquent, les programmes ou outils anti-virus ne peuvent pas éradiquer les menaces dans le dossier de Restauration du système. Par conséquent, la Restauration du système peut restaurer un fichier infecté sur votre ordinateur même après avoir nettoyé les fichiers infectés sur tous les autres emplacements.

Une analyse des virus peut également détecter une menace dans le dossier de restauration du système même si vous avez supprimé la menace.

Pour savoir comment désactiver la Restauration du système, consultez la documentation de Windows ou l'un des articles suivants :
[Vous devez être inscrit et connecté pour voir ce lien]

Remarque : Lorsque vous avez terminé la procédure de suppression, et que vous pensez que la menace est éliminée, vous devriez réactiver System Restore en suivant les instructions détaillées dans les documents cités ci-dessus.

Pour plus d'informations, et pour obtenir une méthode différente afin de désactiver la Restauration du système de Windows Me, consultez le document de la base de connaissances de Microsoft : Les outils antivirus ne peuvent pas nettoyer les fichiers infectés dans le dossier _Restore - Numéro de l'article 263455.


2. Pour mettre à jour les définitions de virus
Suivant votre antivirus, elles se font automatiquement, donc vérifier qu'elles sont bien à jour, si elles ne se font pas en atomatique ou si elles ne sont pas à jour, faites cette mise à jour manuellement !

3. Pour analyser et supprimer les fichiers infectés
Démarrez votre programme anti-virus et assurez-vous que ce dernier a été configuré pour analyser tous les fichiers.
Si un fichier est détecté comme infecté par Cheval de Troie, notez bien sur un papier, le nom du fichier et son emplacement, puis cliquez sur Supprimer.
Ces informations seront nécessaires dans les sections suivantes, ou pour le supprimer si votre anti-virus n'y parvient pas (ce qui est possible suivant le logiciel et la version !)

Si les fichiers infectés sont détectés dans le dossier \Temporary Internet Files\Content.IE5, vous ne serez pas en mesure de les supprimer en raison de la conception du système d'exploitation. Notez bien l’intégralité du chemin d’accès ainsi que le nom du fichier puis videz le dossier de fichiers Internet temporaires à la fin des instructions de suppression.

Important : Si vous ne parvenez pas à lancer votre antivirus ou s'il signale qu’il ne peut supprimer un fichier détecté, vous devrez peut-être empêcher l’exécution du risque afin de le supprimer. Pour cela, exécutez l'analyse en mode sans échec.
Pour obtenir des instructions, consultez le document intitulé : [Vous devez être inscrit et connecté pour voir ce lien]. Si vous avez redémarré l'ordinateur en mode sans échec, exécutez l'analyse une nouvelle fois.

Après avoir supprimé les fichiers, redémarrez l'ordinateur en mode normal et passez à la section suivante.

Des messages d'avertissement peuvent s'afficher lorsque l'ordinateur est redémarré, puisque la menace n'est peut-être pas encore totalement supprimée. Vous pouvez ignorer ces messages et cliquer sur OK.
Ces messages ne s'afficheront plus au redémarrage de l'ordinateur lorsque vous aurez appliqué toutes les instructions de suppression. Les messages affichés peuvent ressembler au message suivant :

Objet : [CHEMIN D'ACCÈS DU FICHIER]
Corps du message : Windows cannot find [NOM DU FICHIER]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

4. Pour supprimer toute valeur ajoutée au registre

ATTENTION : Je vous recommande vivement d’effectuer une sauvegarde du registre avant d’y apporter des modifications. Une modification incorrecte du registre peut provoquer la perte définitive de données ou la corruption de fichiers. Ne modifiez que les clés indiquées. Pour des instructions détaillées, consultez le document : [Vous devez être inscrit et connecté pour voir ce lien]

1. Cliquez sur Démarrer > Exécuter.
   
2. Tapez regedit
   
3. Cliquez sur OK.
   
   

   Remarque : Si l'Editeur du Registre ne s'ouvre pas, il est possible que la menace ait modifié le registre pour empêcher l'accès à l'Editeur du Registre.
   Avec un logiciel adequat pour faire ce travail, il en existe de nombreux dans les Utilitaires de

   
   
4. Accédez aux sous-clés :
   
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion\RunServicesOnce
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Dans le volet droit, supprimez toute valeur faisant référence à un fichier détecté pendant l'analyse d'où l'utilité d'avoir noté sur papier le chemin complet du fichier infecté et le nom du virus et toute autre info donnée par votre antivirus !

Quittez l’Editeur du Registre.

5. Pour modifier le fichier Win.ini
Pas de détail à donner dans ce cas, c'est selon ce qui est dans le fichier, donc déposé le contenu de votre fichier dans le post d'aide

6. Pour modifier le fichier System.ini
Si vous exécutez Windows 95/98/Me, suivez les étapes ci-après :

1. Cliquez sur Démarrer > Exécuter.
   
2. Tapez le texte suivant : edit c:\windows\system.ini
   puis cliquez sur OK.(L'Editeur MS-DOS s'ouvre.)
   
   

   Remarque : Si Windows est installé à un emplacement différent, modifiez le chemin en conséquence.

   
   
3. Dans la section [boot] du fichier, recherchez une ligne semblable à la suivante :
   
   shell = Explorer.exe [NOM DU FICHIER DU CHEVAL DE TROIE]
   
   

   Remarque : [NOM DE FICHIER DU CHEVAL DE TROIE] se rapporte au nom de fichier détecté pendant l'analyse.

   
   Si cette ligne existe, supprimez tout ce qui se trouve à droite de Explorer.exe.
   
   Quand vous avez terminé, elle devrait ressembler à ceci :
   
   shell = Explorer.exe
   
   
4. Cliquez sur Fichier > Enregistrer.
   
   
5. Cliquez sur Fichier > Quitter.

7. Pour nettoyer le dossier de fichiers Internet temporaires si nécessaire

Ouvrez une session sur l'ordinateur en utilisant le nom indiqué dans le chemin d'accès que vous avez noté pendant l'analyse et supprimez la section des fichiers infectés.

Par exemple, si le chemin était :

C:\Documents and Settings\Linda\Local Settings\Temporary Internet Files\qrwmqczd.dll

Ouvrez une session avec le nom Linda. (Linda est remplacé par le nom d'utilisateur en question, celui que vous utilisez sur votre PC !)

1. Démarrez Internet Explorer.
   
2. Cliquez sur Outils > Options Internet.
   
3. Dans la section Fichiers Internet temporaires, cliquez sur le bouton [ Supprimer les fichiers ]
   
4. Sélectionnez " Supprimer tout le contenu hors connexion ", puis cliquez sur OK.

Pour les clefs,
au cas ou Regdedit ne fonctionne pas :

• Suivez les instructions ci-dessous :

Téléchargez le fichier UnHookExec.inf et enregistrez-le sur votre bureau Windows.

(Si vous ne pouvez pas vous connecter à Internet à partir de l'ordinateur infecté, téléchargez le fichier à partir d'un ordinateur sain et enregistrez-le sur une disquette. Insérez alors cette disquette dans le lecteur de disquettes de l'ordinateur infecté.)

Localisez le fichier téléchargé, sur le bureau Windows ou sur la disquette.

Cliquez avec le bouton droit de la souris sur le fichier UnHookExec.inf puis cliquez sur installer. (Il s'agit d'un petit fichier. Lorsque vous l'exécutez, il n'affiche pas d'avertissement ou de boîte de dialogue.)

Suivez alors, toutes les autres instructions pour la menace que vous essayez de supprimer.

Juste une précision

Nettoyage avec l'antivirus après suppression de la restauration automatique à faire en mode sans echec

c'est plus précis car si ce troyan est mis en mémoire, il est très dur à éliminer+

après bien sur suivre les conceils de Claudius (mais toujours en mode sans échec)

;)