virus

29/06-2003 à 01:34Bonjour
Mon antivirus ( kaspersky ) a détecté 1 virus et m'indique ceci :
C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11DD1-85E5-00C04FC295EE}\rmtcfg.rar Disinfection failed Backdoor.Iroffer.1215
Le fichier mis en quarantaine est le suivant :
mtcfg.rar[klg]
J'ai viré ce fichier et j'ai refait 1 scan 2 fois de suite au cours duquel l'antivirus détecte à nouveau ce virus
Secuser ne semble pas connaître ce virus
Quelqu'un a t-il des infos ?(virus ou trojan)
Comment m' en débarrasser ?
merci d'avance

29/06-2003 à 02:10J'ai trouvé ceci :

http://www.sophos.fr/virusinfo/analyses/trojiroffer.html

----------

29/06-2003 à 03:18Je viens d'essayer l'antivirus de sophos , mais la désinfection n'a pas pu se faire

29/06-2003 à 03:22Backdoor c'est un Trojan , vas sur le site de symantec

29/06-2003 à 03:28securityresponse.symantec.com/avcenter/tools.list.html

si tu ne trouves pas ....utilises leur nettoyeur (c'est gratuit)

29/06-2003 à 08:21J'ai essayé chez simantec mais leur AV n'analyse pas les fichiers compressés et il n'a donc rien rouvé

29/06-2003 à 08:52désactive temporairement la restauration système(tu as bien ça sur 2000 non je crois) avant la désinfection.
Iroffer est lié aux canaux IRC, les partages de fichier, c'est même un serveur de partage de fichiers; tu n'aurais pas un logiciel comme ça? à l'origine c'est un programme de serveurMirc_DCC écrit en C++ sous licence GPL. Mais les antivirus le détectent comme un exploit car il passe à travers les firewalls. Tu as des infos ici http://xforce.iss.net/xforce/alerts/id/advise117

29/06-2003 à 09:12non il n'y a pas de restauration de système sur 2000 pro et le site que tu m'indiques est en anglais !!!!
Dommage

29/06-2003 à 09:29tu dois avoir la restauration système sur 2000 puisqu'elle est présente sur win me,
démarrer,tous les programmes,accessoires,outils systeme,restauration systeme.

----------
coco68

29/06-2003 à 21:36Il y a en effet 1 onglet gestion des sauvegardes dans outils système mais je n'ai rien trouvé pour désactiver la restauration du système .
Si vous pouvez me donner encore 1 petit coup de main ,cela m'aiderait énormément car je ne sais plus quoi faire .
Est ce qu'iroffer est vraiment 1 trojan ?
Est ce que quelqu'un peut s'en servir pour rentrer dans mon pc
quand zône alarm est actif ?
Mais le mieux serait encore de s'en débarrasser

30/06-2003 à 00:06

Est ce que quelqu'un peut s'en servir pour rentrer dans mon pc
quand zône alarm est actif

oui, il est conçu pour contourner tout firewall.
pour désactiver la restauration système www.secuser.com/images/alertes/desactivation_restore.gif
et contre les troyens(c'en est un) charge donc The Cleaner, sur le site de Moosoft, période d'essai gratuit d'1 mois, plus que suffisant pour virer ce truc. Tu installes et tu fais de suite la mise à jour, puis tu scannes ton pc.

30/06-2003 à 11:22Ca continue à aller mal
1 )je suis allé sur le site de secuser et apparemment la restauration du système ne concerne que W Me et W XP
2)j'ai dl the cleaner sur le site de moosoft et je l'ai installé mais quand je veux le lancer il m'indique que la version d'évaluation a expiré
Voilà où j'en suis pour l'instant

30/06-2003 à 18:00Bonjour,

Des liens vers des anti-trojans ici:
terroirs.denfrance.free.fr/p/internet/contre-mesure/anti_trojan.html

Commence par PestPatrol - c'est le seul actuellement à trouver 100% des quelques backdoor que je me garde pour des tests anti-trojan, dans un coin.

----------
Terdef
assiste.com
Sécurité informatique et protection de la vie privée sur Internet

assiste.com/manip.html
Procédure anti-malveillances gratuite, curative et préventive

30/06-2003 à 22:37PestPatrol n' a rien trouvé ; il n'y a que kaspersky qui a trouvé ce trojan et il ne peut pas le deleter
J'ai essayé en mode sans échec , mais kaspersky ne se lance pas

01/07-2003 à 00:04Bon sang, ça fait 15 minutes que j'essaie de trouver qq chose sur le Net et il me vient une idée :

Tu est sous XP ou sous me, n'est-ce pas ?

Le problème pourrait venir des points de restauration qui ruinent les efforts des anti-virus.

Voici la procédure que je suivrais :

1/ Désactiver les points de reprise:

How to disable or enable Windows Me System Restore
service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239

How to turn off or turn on Windows XP System Restore
service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039

Informations complémentaires et procédure alternative pour désactiver les points de reprise dans Windows/me - voir la base de connaissances de Microsoft
Antivirus Tools Cannot Clean Infected Files in the _Restore Folder
support.microsoft.com/support/kb/articles/Q263/4/55.ASP

2. Mise à jour de l'antivirus.
Suivre la procédure habituelle de l'antivirus

3. Scan de ta machine.
Suivre la procédure habituelle de l'antivirus pour effectuer un scan approfondi de l'ensemble de l'ordinateur.
Si le moindre fichier est détecté comme infecté par le virus incriminé, note son nom par écrit, sur1 feuille à côté de toi et détruis le.

4. Nettoyage de la base de registre.
Attention : bien faire une sauvegarde de la base de registre avant d'y toucher sinon risque de blocage ou de perte définitive des données de l'ordinateur.

Lire, par exemple, le document
service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/199762382617 "How to make a backup of the Windows registry" pour des instruction sur la sauvegarde / restauration d'une base de registre.

Ne touche qu'aux clés précisées ci-après.

4.1. Click sur Démarrer > exécuter > Regedit > Ok - l'éditeur de base de registre s'ouvre

4.2. Rechercher les valeurs correspondantes aux noms des fichiers notés et effacer ces valeurs

5. Quitter l'éditeur de registre.

Si tu ne te sent pas à l'aise avec la base de registre n'y touche pas et demande de l'aide à une connaissance au fait de la chose.

----------
Terdef
assiste.com
Sécurité informatique et protection de la vie privée sur Internet

assiste.com/manip.html
Procédure anti-malveillances gratuite, curative et préventive

01/07-2003 à 16:57Désolé Terdef , je suis sous W 2000 pro comme je l'indique plus haut et il n'y a pas de restauration du sytème sous W 2000
Je suis allé dans la base de registre , mais je n'ai pas trouvé les clés correspondant aux fichiers notés à savoir :
C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11DD1-85E5-00C04FC295EE}\rmtcfg.rar Disinfection failed Backdoor.Iroffer.1215
Ce qui est bizarre , c'est qu'il n'y a que kaspersky qui me détecte le trojan .
J'ai utilisé tous les antivirus en ligne trouvés avec google + trojan remover + the cleaner (que j'ai pu installé ) qui n'ont rien trouvé
Le site sophos répertorie poutant le trojan irrofer, mais quand j'utilise leur antivirus , 1 message m'indique qu'il n'a pas pu lire :
C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11DD1-85E5-00C04FC295EE}\rmtcfg.rar
Je vais sans doute être obligé de formater

03/07-2003 à 11:31Plus rien ne m'étonne mais je viens de rescanner mon 1 er DD ( C ) à partir de mon 2 ème DD ( D ) et avec la dernière version de kaspersky et cette fois il me trouve 3 trojans :
C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11DD1-85E5-00C04FC295EE}\rmtcfg.rar/setup.exe Infecté Backdoor.Iroffer.1215
C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11DD1-85E5-00C04FC295EE}\rmtcfg.rar/files/mirc.ini Infecté Backdoor.IRC.Digarix
C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11DD1-85E5-00C04FC295EE}\rmtcfg.rar/files/rundll.exe Infecté Backdoor.IRC.mIRC-based
Est ce que quelqu'un les connait car ils n'apparaissent pas dans les listes de trojans de the cleaner et de trojan remover?

03/07-2003 à 12:14salut emarob,
va sur ce site,il y a la méthode pour virer backdoor:
terroirs.denfrance.free.fr/p/internet/contre-mesure/anti_backdoor.html
bonne chance.
@+

----------
coco68

03/07-2003 à 12:46Vire tout ce qui touche au protocole IRC sur ta machine et bloque le protocole IRC dans ton FireWall. Je recommence à chercher pour toi.

----------
Terdef
assiste.com
Sécurité informatique et protection de la vie privée sur Internet

assiste.com/manip.html
Procédure anti-malveillances gratuite, curative et préventive

03/07-2003 à 12:59Ce qui m'étonne, c'est que ce soit des antivirus russe qui trouve ce truc, dont DrWeb qui est extrêmement suspect de découvrir de faux virus pour vendre son produit.

----------
Terdef
assiste.com
Sécurité informatique et protection de la vie privée sur Internet

assiste.com/manip.html
Procédure anti-malveillances gratuite, curative et préventive