Trojan-Dropper.Win32.Delf.vt et droits d'admistrateur - Sécurité - Windows & Software
Marsh Posté le 03-06-2006 à 21:05:20
Bonjour a tous,
On va tout de meme verifier la presence de malwares.
* Télécharge et installe F-Secure Blacklight
http://www.europe.f-secure.com/exc [...] blbeta.exe
Installe le a la racine de C:.
* Double clique sur le fichier blbeta.exe
Accepte la licence puis clique enfin sur Scan
* Copie le contenu du log qui sera généré.
Tu peux consulter en cas de problemes le tutorial venant de Malekal_Morte :
http://www.malekal.com/tutorial_f- [...] Light.html
-------------------------
* Télécharge et installe HijackThis :
http://www.merijn.org/files/hijackthis.zip
* Ferme toutes les applications en cours sauf Hijackthis.
* Lance Hijackthis [ le logo avec la dynamite ]
* Choisir Do a system scan and save logfile
* Le bloc - note s'ouvrira puis fais un copier - coller de tout le contenu du bloc note ici.
Marsh Posté le 03-06-2006 à 22:25:56
F-Secure Blacklight ne veut pas se lancer parce qu'il ne peut obtenir les privileges ( sic ) D'ailleurs deux logiciels (Unlocker et celui la maintenant ) me disent qu'ils me manque les privilèges de déboguage ...
Mais pendant les installations il y'a des erreurs d'accès a certaines clefs de registres, certains dossiers ...
Pour ce qui est du rapport Hijackthis, le voila :
Citation : |
Je ne pense pas qu'il reste des processus suspects, je connais bien ma liste et dès qu'il y'a un petit nouveau qui est inconnu au bataillion c'est lle kill puis suppression De plus, après l'infection, j'ai installé et mis a jour Kaspersky Antivirus 6.0.300 et SpySweeper 4.5.9.709
Mais cette histoire de privilèges me cause un tas de souci ...
Je vais essayer par le biais du compte Administrateur de mettre mon compte admin en invité puis a nouveau en Admin On verra bien cke ca va donner
Voila ++ et merci pour ton aide
Marsh Posté le 04-06-2006 à 12:16:37
Le probleme ca doit venir des stratégies de groupe ... y'a pas un moyen de les remettre pas défaut ?
Marsh Posté le 04-06-2006 à 21:07:28
Bonjour a tous,
* A la moindre interrogation, doute, probleme de ta part, pose moi ta question afin de suivre correctement les instructions.
* Hijackthis est mal place, mets le a la racine de C ( tu dois obtenir C:\HIJACKTHIS )
* Télécharge et installe :
- Ewido http://www.ewido.net/fr/download/
- Durant l'installation
- Sur la page Additional Options
- Décoche Install background guardet et Install scan via context menu
- Lance Ewido Security Suite. Clique sur Mise à jour mais ne t'en serts pas tout de suite.
* Télécharge et installe ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
* Imprime ou enregistre les instructions dans un fichier texte puisque en mode sans echec, tu n'auras pas acces a Internet.
* S'assurer que tout les fichiers soient la :
Ouvre le poste de travail ou l'Explorateur Windows (ce que vous utilisez d'habitude pour visiter vos fichiers).
Menu "Outils" -> "Options des Dossiers..." -> Onglet "Affichage".
Vous trouverez ces réglages dans le cadre "Paramètres avancés" :
- Fichiers et dossiers cachés : cochez "Afficher les fichiers et dossiers cachés"
- Décochez "Masquer les extensions des fichiers dont le type est connu"
- Décochez "Masquer les fichiers protégés du système d'exploitation", à la demande de confirmation répondez "Oui"
* Redémarre ton PC en mode sans échec.
- En cas de difficulte, suis les intrusctions : http://perso.wanadoo.fr/jesses/Doc [...] sEchec.htm
* Desinstallation de l'application nocive :
Verifie si ces programmes sont presents via Panneau de configuration / Ajout et suppresion de programmes :
eMule LSD
FlashGet
S'ils sont presents, les desinstaller.
* Enlever les lignes nefastes :
Relance HijackThis et clique sur Scan only puis cochez les lignes [ si presentes ] en gras ci-dessous :
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files (x86)\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files (x86)\FlashGet\jc_all.htm
Ferme toutes les applications en cours sauf HijackThis et fais Fixed checked .
* Supprimez les mauvais fichiers :
Supprime les fichiers/dossiers incriminés en gras ci dessous [ s'ils sont presents ] en suivant le chemin d'acces.
C:\Program Files\ FlashGet <= Le dossier
C:\Program Files\ eMule LSD <= Le dossier
* Démarre ATF-Cleaner :
- Coche ceci :
* Windows Temp
* Current User Temp
* All Users Temp
* Cookies
* Temporary Internet Files
* Prefetch
* Java Cache
* Recycle Bin
Clique sur Empty Selected et au message "Done Cleaning" sur Ok
* Fais un scan avec Ewido
- Clique sur Scanner et choisir Scan complet du système
- Si des fichiers infectés sont trouvés, toujours les supprimer
- Le scan fini, sauver le rapport et le postez ici.
* Voir les resultats de la manipulation :
Redémarre ton ordinateur en mode normal et poste un nouveau rapport HijackThis à titre vérificatif ainsi que le rapport d'Ewido.
Marsh Posté le 05-06-2006 à 13:27:12
Anthony10 a écrit : Bonjour a tous, |
Marsh Posté le 05-06-2006 à 14:59:35
Le rapport Ewido :
Citation : --------------------------------------------------------- |
Que du cookie et des restes de spy, en somme
Marsh Posté le 05-06-2006 à 22:29:59
Logfile of HijackThis v1.99.1
Scan saved at 22:29:32, on 05/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Tenable\Nessus\nessusd.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files (x86)\FlashGet\flashget.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\William\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: HDDlife.lnk = C:\Program Files\BinarySense\HDDlife\HDDlifePro.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files (x86)\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files (x86)\FlashGet\jc_all.htm
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3ECF859-4E28-424D-9C29-554A56DF7BDC}: NameServer = 212.27.53.252,212.27.54.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Tenable Nessus - Tenable Network Security - C:\Program Files\Tenable\Nessus\nessusd.exe
Merci !
++
Marsh Posté le 05-06-2006 à 22:33:08
ReplyMarsh Posté le 06-06-2006 à 12:07:14
Anthony10 a écrit : Re. |
Il t'a fait quoi FlashGet ?
C'est mon logiciel de téléchargement préféré et je ne suis pas prêt de le déinstaller
Marsh Posté le 06-06-2006 à 12:09:55
Bonjour.
C'est juste un conseil si tu souhaites eviter d'avoir un tas de malwares.
* Fais un scan en ligne avec Panda : http://www.pandasoftware.com/activ [...] ncipal.htm
Tutorial a suivre ( provenant du site a Malekal_Morte ) :
http://www.malekal.com/scan_Av_en_ [...] ocId237368
* Apres, colle le rapport ici.
Marsh Posté le 06-06-2006 à 13:11:12
EDIT : Je ne pense pas que ma perte de droit soit du a des résidus, surtout que j'ai mis en sécurité élevé KAV + Spysweeper
Marsh Posté le 06-06-2006 à 13:13:45
Re.
Il me faut en scan en ligne et non pas d'un antivirus.
Marsh Posté le 09-06-2006 à 12:11:49
UP !
Scan antivirus a trouvé quelques cookies sans plus :s
Marsh Posté le 09-06-2006 à 12:21:08
Re.
Tu n'es pas le compte administrateur du Pc ??
Marsh Posté le 03-06-2006 à 18:18:49
J'ai eu récemment un petit probleme : J'ai été infecté par Trojan-Dropper.Win32.Delf.vt, un virus qui ne m'avait pas trop endommagé mon PC, a premiere vue. Pourtant, depuis quelques temps, je constate que beaucoup de programmes me sortent l'erreur "Accès refusé", "Vous n'avez pas les droits ..."
J'ai comme l'impression que ce trojan m'a chamboulé mes droits d'administrateurs, bien que je sois toujours Admin sur mon PC
Est ce que quelqu'un connaiterai une solution pour faire revenir les dits droits ?
Merci d'avance,
Shuny
PS : Le virus est bien enlevé.