Trojan-Spy.HTML.Bankfraud.qb [RESOLU]

[manly]

Merci Falkra, mais je préfère me rendre ici: http://www.kaspersky.com/fr/virusscanner qui me donne le même résultat, en français.

Je n'oublierai pas non plus de désactiver mon anti-virus.

Et je demande un scan de mon poste de travail après la mise à jour.

Je reviens dans quelques heures te donner le résultat.

[Falkra]

Oki, impec.

 

@ toute

[manly]

Pfffffffffff,quand je disais que ça rame.

4 heures de scan.

Toujours les mêmes bestioles dans la machine.

Rien de supprimé.

Bon je colle le rapport:

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0: rapport d'analyse

vendredi 26 juin 2009

Système d'exploitation : Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

Version de Kaspersky Online Scanner : 7.0.26.13

Dernière mise à jour de la base : Friday, June 26, 2009 16:22:37

Enregistrements dans la base : 2391622

--------------------------------------------------------------------------------

 

Paramètres d'analyse:

analyser avec la base suivante: étendue

Analyser les archives: oui

Analyser les bases de messagerie: oui

 

Zone d'analyse - Poste de travail:

A:\

C:\

D:\

 

Statistiques d'analyse:

Objets analysés: 62879

Menaces trouvées: 7

Objets infectés trouvés: 7

Objets suspects trouvés: 19

Durée d'analyse: 04:56:06

 

 

Nom de fichier / Menace / Compteur de menaces

C:\Documents and Settings\PATRICK HUBERT\Application Data\Thunderbird\Profiles\19h8sy2b.default\Mail\Local Folders\Inbox Suspect : Exploit.HTML.Iframe.FileDownload 11

C:\Documents and Settings\PATRICK HUBERT\Application Data\Thunderbird\Profiles\19h8sy2b.default\Mail\Local Folders\Inbox Infecté : Trojan-Spy.HTML.Bankfraud.qb 1

C:\Documents and Settings\PATRICK HUBERT\Application Data\Thunderbird\Profiles\19h8sy2b.default\Mail\Local Folders\Junk Suspect : Exploit.HTML.Iframe.FileDownload 8

C:\Documents and Settings\PATRICK HUBERT\Application Data\Thunderbird\Profiles\19h8sy2b.default\Mail\Local Folders\Junk Infecté : Trojan-Spy.HTML.Fiffraud.p 1

C:\Documents and Settings\PATRICK HUBERT\Application Data\Thunderbird\Profiles\19h8sy2b.default\Mail\Local Folders\Junk Infecté : Email-Worm.Win32.Warezov.ew 1

C:\Program Files\mIRC\backup\mirc.exe Infecté : not-a-virus:Client-IRC.Win32.mIRC.616 1

C:\Program Files\mIRC\mirc.exe Infecté : not-a-virus:Client-IRC.Win32.mIRC.617 1

C:\Program Files\mIRC\PatchWise.bak\mirc.exe Infecté : not-a-virus:Client-IRC.Win32.mIRC.617 1

C:\System Volume Information\_restore{0E146069-ED9D-439E-9989-CCF268F6A6C3}\RP131\A0061990.exe Infecté : not-a-virus:AdWare.Win32.Agent.dva 1

 

La zone sélectionnée a été analysée.

 

Bonne nuit, à demain.

[Falkra]

Ce qui est détecté n'est pas grave.

 

Ceci indique quelques mails pourris, il te faudra les effacer à la main :

C:\Documents and Settings\PATRICK HUBERT\Application Data\Thunderbird\Profiles\19h8sy2b.default\Mail\Local Folders\Inbox Suspect : Exploit.HTML.Iframe.FileDownload 11

C:\Documents and Settings\PATRICK HUBERT\Application Data\Thunderbird\Profiles\19h8sy2b.default\Mail\Local Folders\Inbox Infecté : Trojan-Spy.HTML.Bankfraud.qb 1

C:\Documents and Settings\PATRICK HUBERT\Application Data\Thunderbird\Profiles\19h8sy2b.default\Mail\Local Folders\Junk Suspect : Exploit.HTML.Iframe.FileDownload 8

C:\Documents and Settings\PATRICK HUBERT\Application Data\Thunderbird\Profiles\19h8sy2b.default\Mail\Local Folders\Junk Infecté : Trojan-Spy.HTML.Fiffraud.p 1

C:\Documents and Settings\PATRICK HUBERT\Application Data\Thunderbird\Profiles\19h8sy2b.default\Mail\Local Folders\Junk Infecté : Email-Worm.Win32.Warezov.ew 1

 

Ceci bippe sur Mirc, le logiciel de messagerie :

C:\Program Files\mIRC\backup\mirc.exe Infecté : not-a-virus:Client-IRC.Win32.mIRC.616 1

C:\Program Files\mIRC\mirc.exe Infecté : not-a-virus:Client-IRC.Win32.mIRC.617 1

C:\Program Files\mIRC\PatchWise.bak\mirc.exe Infecté : not-a-virus:Client-IRC.Win32.mIRC.617 1

 

Et ça c'est un vieil adware, planqué dans la restauration système :

C:\System Volume Information\_restore{0E146069-ED9D-439E-9989-CCF268F6A6C3}\RP131\A0061990.exe Infecté : not-a-virus:AdWare.Win32.Agent.dva 1

 

Le plus préoccupant serait la partie mails piégés, deux dans la boite de réception, trois dans junk (déjà poubellisés on dirait).

La bonne chose, c'est que rien de tout ça n'est actif : ce sont des fichiers en vrac sur le disque. Mirc n'est pas un virus, il est classé riskware.

[manly]

Merci Falkra.

Une solide épine hors du pied.

J'avais justement pensé à te demander si je pouvais retirer les fichiers manuellement.

C'est donc ce que je vais faire ce matin.

 

Mais pour la vitesse ?

Bon je suis sur libellules, je vais continuer à chercher, mais je ne trouve rien encore.

Sans doute as t'il trop de programmes dans sa machine, et trop de fichiers sans doute.

 

Encore une fois un grand, tout grand merci.

 

Edit: pas si simple, je n'ai pas accès aux fichiers vérolés.

Bon pour la junkbox, je peux supprimer les indésirables, mais pour les autres ?

En fait j'ai accès à C:\Documents and Settings\PATRICK HUBERT\Application Data\Thunderbird\Profiles\19h8sy2b.default\Mail\Local Folders.

Et là je me trouve devant des fichiers dont les noms sont différents que ce qui a été trouvé. Idem en entrant la barre d'adresse dans mon explorateur, Firefox ou windows, pareil.

Modifié le 27 juin 2009 par manly

[manly]

J'ai ouvert thunderbird et supprimé les fichiers indésirables.

Cela semble différent de la junk box car j'ai refait un scan kaspersky et tout est encore en place.

Je me demande comment arriver à ces mails là...

Je ne peux perdre toute la boite mail non plus.

[Falkra]

Mais pour la vitesse ?

On va traiter ça à part, ici. Il va me falloir un autre rapport HijackThis, et on va faire quelques allègements.

Si ça rame vraiment consulte aussi éventuellement le lien en violet dans ma signature, il y a quelques pistes.

 

 

Edit: pas si simple, je n'ai pas accès aux fichiers vérolés.

Bon pour la junkbox, je peux supprimer les indésirables, mais pour les autres ?

En fait j'ai accès à C:\Documents and Settings\PATRICK HUBERT\Application Data\Thunderbird\Profiles\19h8sy2b.default\Mail\Local Folders.

Et là je me trouve devant des fichiers dont les noms sont différents que ce qui a été trouvé. Idem en entrant la barre d'adresse dans mon explorateur, Firefox ou windows, pareil.

Les fichiers listés par Kaspersky sont des bases de données de la boite mail : kaspersky lit le contenu et analyse, mais ne voit pas quel mail a un problème, il ne liste que la base de données, et il ne faut pas la supprimer, sinon on perd tous les mails, c'est comme si on te dissait de shooter tout un zip pour un seul fichier dedans.

 

Dans Thunderbird, vide la corbeille et les indésirables (tu as fait pour les indésirables). Après, il y a dans la boite de réception un mail pourri d'après K. donc si tu as 5000 mails à passer en revue, dur dur ! Tu peux trier par mails ayant une pièce jointe : traque ce qui est en anglais (ou russe) et élimine, au passage tu pourras alléger le profil en effaçant les mails à pièce jointe ; pour trier par type, il faut cliquer ici :

 

une fois ou une deux fois pour le tri croissant ou décroissant. Après tu peux trier à nouveau par dates ou autre système de ton choix.

Ca gagnera du temps je pense pour identifier le coupable.

[manly]

On va traiter ça à part, ici. Il va me falloir un autre rapport HijackThis, et on va faire quelques allègements.

Si ça rame vraiment consulte aussi éventuellement le lien en violet dans ma signature, il y a quelques pistes.

Si tu avais un affichage des personnes sur ton site en violet, tu verrais que je suis scotchée dessus depuis hier soir.

 

Dans Thunderbird, vide la corbeille et les indésirables (tu as fait pour les indésirables).

Et pour la corbeille immédiatement après.

Tu peux trier par mails ayant une pièce jointe : traque ce qui est en anglais (ou russe) et élimine, au passage tu pourras alléger le profil en effaçant les mails à pièce jointe ;

Ça gagnera du temps je pense pour identifier le coupable.

Ben si il n'y a pas d'autre solution...

Je sais maintenant que faire demain pendant la journée.

[Falkra]

Si tu avais un affichage des personnes sur ton site en violet, tu verrais que je suis scotchée dessus depuis hier soir.

Bonne visite !

 

Si tu as trop de mails, tu peux faire une recherche (clic droit sur courrier entrant, rechercher, et là tu peux avoir comme critère la présence d'une pièce jointe).

 

Si c'est trop long, il existe une solution peu élégante mais réalisable : utiliser l'extension ImportExportTools (MboxImport enhanced), qui permet d'exporter tous les mails d'un dossier (comme courrier entrant) au format EML, universel. Le titre du mail est utilisé pour nommer le fichier, si l'antivirus bippe ça isole et une recherche par titre te le fait trouver rapidement.

 

Si tu veux essayer :

https://nic-nac-project.org/~kaosmos/mboximport-en.html

(lien de téléchargement tout en bas de la page)

[Falkra]

Re.

 

Autre idée, suggérée par Angélique (que je remercie), c'est de compacter les dossiers, ce qui fait le ménage notamment côté suppressions.

Menu "fichier", puis "compacter les dossiers", ça compactera tout. Opération rapide, qui peut faire disparaître la détection par l'antivirus.