Infection par mail

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Infection par mail

Messagepar tumasgiu2b » 06 Mar 2010 15:38

Bonjour,

Aujourd'hui Antivir s'est mit d'un coup à trouver un virus sans que je fasse quoique ce soit...
J'ai de suite fait une analyse qui a donné 1 résultat :



Avira AntiVir Personal
Date de création du fichier de rapport : samedi 6 mars 2010 14:24

La recherche porte sur 1820270 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : THOMAS-03C242F8

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 19:24:03
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 19:24:02
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 19:24:03
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 19:15:13
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 16:51:31
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 17:34:20
VBASE005.VDF : 7.10.4.204 2048 Bytes 05/03/2010 17:34:20
VBASE006.VDF : 7.10.4.205 2048 Bytes 05/03/2010 17:34:20
VBASE007.VDF : 7.10.4.206 2048 Bytes 05/03/2010 17:34:20
VBASE008.VDF : 7.10.4.207 2048 Bytes 05/03/2010 17:34:21
VBASE009.VDF : 7.10.4.208 2048 Bytes 05/03/2010 17:34:21
VBASE010.VDF : 7.10.4.209 2048 Bytes 05/03/2010 17:34:21
VBASE011.VDF : 7.10.4.210 2048 Bytes 05/03/2010 17:34:21
VBASE012.VDF : 7.10.4.211 2048 Bytes 05/03/2010 17:34:21
VBASE013.VDF : 7.10.4.212 2048 Bytes 05/03/2010 17:34:21
VBASE014.VDF : 7.10.4.213 2048 Bytes 05/03/2010 17:34:21
VBASE015.VDF : 7.10.4.214 2048 Bytes 05/03/2010 17:34:21
VBASE016.VDF : 7.10.4.215 2048 Bytes 05/03/2010 17:34:21
VBASE017.VDF : 7.10.4.216 2048 Bytes 05/03/2010 17:34:22
VBASE018.VDF : 7.10.4.217 2048 Bytes 05/03/2010 17:34:22
VBASE019.VDF : 7.10.4.218 2048 Bytes 05/03/2010 17:34:22
VBASE020.VDF : 7.10.4.219 2048 Bytes 05/03/2010 17:34:22
VBASE021.VDF : 7.10.4.220 2048 Bytes 05/03/2010 17:34:22
VBASE022.VDF : 7.10.4.221 2048 Bytes 05/03/2010 17:34:22
VBASE023.VDF : 7.10.4.222 2048 Bytes 05/03/2010 17:34:22
VBASE024.VDF : 7.10.4.223 2048 Bytes 05/03/2010 17:34:24
VBASE025.VDF : 7.10.4.224 2048 Bytes 05/03/2010 17:34:27
VBASE026.VDF : 7.10.4.225 2048 Bytes 05/03/2010 17:34:28
VBASE027.VDF : 7.10.4.226 2048 Bytes 05/03/2010 17:34:28
VBASE028.VDF : 7.10.4.227 2048 Bytes 05/03/2010 17:34:28
VBASE029.VDF : 7.10.4.228 2048 Bytes 05/03/2010 17:34:28
VBASE030.VDF : 7.10.4.229 2048 Bytes 05/03/2010 17:34:28
VBASE031.VDF : 7.10.4.233 25088 Bytes 05/03/2010 17:34:35
Version du moteur : 8.2.1.180
AEVDF.DLL : 8.1.1.3 106868 Bytes 24/01/2010 16:28:50
AESCRIPT.DLL : 8.1.3.17 1032570 Bytes 26/02/2010 08:46:25
AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 08:46:24
AESBX.DLL : 8.1.2.0 254323 Bytes 26/02/2010 08:46:25
AERDL.DLL : 8.1.4.2 479602 Bytes 14/02/2010 17:57:16
AEPACK.DLL : 8.2.1.0 426356 Bytes 03/03/2010 17:03:14
AEOFFICE.DLL : 8.1.0.39 196987 Bytes 20/02/2010 09:50:25
AEHEUR.DLL : 8.1.1.7 2326902 Bytes 20/02/2010 09:50:25
AEHELP.DLL : 8.1.10.1 237942 Bytes 26/02/2010 08:46:24
AEGEN.DLL : 8.1.2.0 373107 Bytes 26/02/2010 08:46:24
AEEMU.DLL : 8.1.1.0 393587 Bytes 21/10/2009 15:13:32
AECORE.DLL : 8.1.12.2 188790 Bytes 03/03/2010 17:03:13
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 21/10/2009 15:13:33
AVREP.DLL : 8.0.0.7 159784 Bytes 15/02/2010 14:06:22
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 21/10/2009 15:13:32
RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 19:24:02

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : samedi 6 mars 2010 14:24

La recherche d'objets cachés commence.
'81135' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CCC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dpupdchk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleCrashHandler.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TheTurtle v5.0.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cfp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MOM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ipoint.exe' - '1' module(s) sont contrôlés
Processus de recherche 'itype.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cmdagent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'45' processus ont été contrôlés avec '45' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '54' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Thomas Dominici\Local Settings\Application Data\Microsoft\Windows Live Mail\Hotmail (tu 23e\Messages su ae1\4FB75AB8-0000016B.eml
[0] Type d'archive: MIME
--> UPS_invoice_472.zip
[1] Type d'archive: ZIP
--> UPS_invoice_472.exe
[RESULTAT] Contient le cheval de Troie TR/Bredolab.vby.10

Début de la désinfection :
C:\Documents and Settings\Thomas Dominici\Local Settings\Application Data\Microsoft\Windows Live Mail\Hotmail (tu 23e\Messages su ae1\4FB75AB8-0000016B.eml
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bd46200.qua' !


Fin de la recherche : samedi 6 mars 2010 15:07
Temps nécessaire: 41:53 Minute(s)

La recherche a été effectuée intégralement

11451 Les répertoires ont été contrôlés
238990 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
238987 Fichiers non infectés
2618 Les archives ont été contrôlées
2 Avertissements
3 Consignes
81135 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés



D'après mes recherches c'est un e-mail que j'ai reçu il y a 2 jours d'UPS avec une PJ intitulé ups_invoice_472.zip
Je me doutais bien que c'était quelque chose de pas très sûr mais bon j'aime bien ouvrir quand même :lol:
J'ai juste dézipé le fichier mais sans ouvrir le fichier qui avait l'intérieur. C'était une icône comme un document word mais avec une extension .exe et bien entendu je me suis arrêté là je ne l'ai pas ouvert :wink:

Voilà un site qui en parle.

Est-ce un virus dangereux ? En sachant que jeudi soir j'ai tapé mon numéro de carte bleu pour faire un achat...
Comment savoir si je m'en suis bien débarrasser ?

Merci. ;)
tumasgiu2b
Libellulien Junior
Libellulien Junior
 
Messages: 296
Inscription: 19 Juil 2008 20:19
Localisation: Corse

Re: Infection par mail

Messagepar Falkra » 06 Mar 2010 15:43

C'est dangereux, cette piège jointe est piégée et circule partout depuis un bon moment, j'en ai envoyé plusieurs variantes à Antivir, et c'est pas trop mal reconnu.
Supprime le mail pour avoir la paix. Tant que tu n'exécutes pas la pièce jointe, aucun problème, même si tu la télécharges sur ton bureau.

Comme quoi le scan des e-mails, c'est inutile : quand la pièce jointe est détectable ou devient dangereuse, n'importe quel bouclier résident l'arrête, c'est ce qui se passe.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Infection par mail

Messagepar tumasgiu2b » 06 Mar 2010 15:54

Ok ! Je l'ai supprimé... Cette fois-ci Antivir n'avait rien détecté ni quand j'ai ouvert le mail, ni en téléchargant la pièce, pour une fois ! ^^
tumasgiu2b
Libellulien Junior
Libellulien Junior
 
Messages: 296
Inscription: 19 Juil 2008 20:19
Localisation: Corse

Re: Infection par mail

Messagepar Falkra » 06 Mar 2010 15:55

Supprime aussi la pièce jointe, si elle est quelque part sous ton nez. :wink:
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
cron