virus

03/07-2003 à 13:04Digarix est un serveur IRC

----------
Terdef
assiste.com
Sécurité informatique et protection de la vie privée sur Internet

assiste.com/manip.html
Procédure anti-malveillances gratuite, curative et préventive

03/07-2003 à 13:08

extrêmement suspect de découvrir de faux virus pour vendre son produit.

Tu es sérieux Terdef ???

----------

03/07-2003 à 13:12De toutes façons, le backdoor est trouvé uniquement dans un fichier RAR (un fichier archive compressé - donc il n'est ni décompressé ni installé (sauf s'il se décompresse à la volée - c'est possible).
Vire le fichier rar et la clé C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11DD1-85E5-00C04FC295EE}

----------
Terdef
assiste.com
Sécurité informatique et protection de la vie privée sur Internet

assiste.com/manip.html
Procédure anti-malveillances gratuite, curative et préventive

03/07-2003 à 13:13Oui Mylène
irc.digarix.net

----------
Terdef
assiste.com
Sécurité informatique et protection de la vie privée sur Internet

assiste.com/manip.html
Procédure anti-malveillances gratuite, curative et préventive

03/07-2003 à 13:44Re Oui Mylène
Collusion entre DrWeb et e-Anthology - e-Accélération
terroirs.denfrance.free.fr/p/internet/espion/eanthology.html

----------
Terdef
assiste.com
Sécurité informatique et protection de la vie privée sur Internet

assiste.com/manip.html
Procédure anti-malveillances gratuite, curative et préventive

03/07-2003 à 13:48La page de Sophos sur le backdoor iroffer est "succinte"
www.sophos.fr/virusinfo/analyses/trojiroffer.html

----------
Terdef
assiste.com
Sécurité informatique et protection de la vie privée sur Internet

assiste.com/manip.html
Procédure anti-malveillances gratuite, curative et préventive

03/07-2003 à 13:51La procédure Sophos pour W2000, à condition d'avoir leur produit installé - peut s'appliquer à d'autres antivirus

2. Suppression des chevaux de Troie sous Windows NT/2000

Pour supprimer le cheval de Troie

* Vous pourrez obtenir des précisions sur le cheval de Troie et sa suppression dans les analyses de virus.
* Fermez tous les programmes.
* Allez dans Démarrer|Programmes|Sophos Anti-Virus et exécutez le programme 'Sophos Anti-Virus'.
* Sélectionnez l'onglet "Immédiat".
* Allez dans Options|Configuration..., sélectionnez l'onglet "Action", cochez "Fichiers infectés", sélectionnez "Supprimer", puis cliquez sur "OK".
* Cliquez sur le bouton "Go" de la barre d'outils pour démarrer le contrôle.
* Supprimez le fichier. Lancez un nouveau contrôle pour vous vérifier que le cheval de Troie est bien parti.
* Retournez dans Options|Configuration..., sélectionnez l'onglet "Action", puis dessélectionnez "Fichiers infectés" et "Supprimer". Cliquez sur "OK".
* Relancez le système et exécutez un ultime contrôle pour être certain que le cheval de Troie est bien parti.

Si Sophos Anti-Virus ne peut supprimer les fichiers du fait que les fichiers infectés sont gardés ouverts par le système d'exploitation, contactez le support.

----------
Terdef
assiste.com
Sécurité informatique et protection de la vie privée sur Internet

assiste.com/manip.html
Procédure anti-malveillances gratuite, curative et préventive

03/07-2003 à 13:52j'ai donné ce que j'ai trouvé sur iroffer, mais si Emarob a un truc style Mirc, ou un logiciel de partage de fichiers la présence de Iroffer n'est pas si étrange. Tu as ça Emarob?

03/07-2003 à 13:57

Re Oui Mylène

Merci Terdef.

----------

03/07-2003 à 14:34Grolou
Je pense que c'est mon gamin qui a dû récolter cela sur les différents chats.
Moi je n'y connait pas grand chose
Comment puis je trouver sur mon pc le "truc" genre Mirc et qu'entends tu par logiciel de partage de fichiers. J'ai 1 logiciel ftp ( flash fxp ) ; mais à ma connaissance , c'est tout .
Terdef
J'ai accès à
C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11DD1-85E5-00C04FC295EE}
Mais quand j'ouvre le dossier F750E6C3-38EE-11DD1-85E5-00C04FC295EE , il y a 85 fichiers .CAT , 2 fichiers .cbk et 2 fichiers .cbd
Mais pas de trojan en .rar
Si je supprime tout le dossier {F750E6C3-38EE-11DD1-85E5-00C04FC295EE} je pense que je vais avoir des pbs ?

03/07-2003 à 14:38

c'est mon gamin qui a dû récolter cela sur les différents chats.

oui, c'est un endroit idéal. Ce truc peut se balancer sur un pc via un chat sans problème puisque tu ouvres les canaux IRC pour chatter. Et il suffit alors de passer par cette porte.

03/07-2003 à 18:56Je sais que je commance à être un peu lourd mais si vous pouvez me donner encore un petit coup de main sur ces 2 questions ce sera hyper sympa
Grolou
Ou puis je trouver sur mon pc ce qu'à dit Grolou : si Emarob a un truc style Mirc, ou un logiciel de partage de fichiers
Terdef
Puis je virer à la poubelle : Vire le fichier rar et la clé C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11DD1-85E5-00C04FC295EE}
Dans le dossier F750E6C3-38EE-11DD1-85E5-00C04FC295EE , il y a 85 fichiers .CAT , 2 fichiers .cbk et 2 fichiers .cbd
Mais pas de trojan en .rar
Si je supprime tout le dossier {F750E6C3-38EE-11DD1-85E5-00C04FC295EE} je pense que je vais avoir des pbs ?

03/07-2003 à 19:06Re,
C'est vrai que ce n'est pas ma machine et qu'il faut rester très prudent.
Moi il me semble, vu d'ici, que cela peut être viré totalement (au niveau des clés de la base de registre et au niveau répertoire).
Je n'ai rien trouvé d'autre à ce sujet.
Est-ce que d'autres mémocliqueurs confirment mon idée de suppression ?
Et puis, fermeture des chat (IRC) au niveau du firewall car le problème est là.

----------
Terdef
assiste.com
Sécurité informatique et protection de la vie privée sur Internet

assiste.com/manip.html
Procédure anti-malveillances gratuite, curative et préventive

03/07-2003 à 22:12tu devrais commencer par tester tes ports sur ce site, c'est long, mais très précis. Ils te diront qui fait quoi sur les sorties de ton pc check.sdv.fr/
et là https://grc.com/x/ne.dll?bh0bkyd2
et ici www.hackerwhacker.com:4000/startdemo.dyn?answer=free

03/07-2003 à 22:22ensuite, pour contrôler tes ports, je te conseille Nuke Nabber, www.anti-hack.org/nukenabber_29.htm