problème de lecture de topics zebulon enregistres dans mon PC

[cotes du rhone]

Hello TLM,

 

Je rencontre un souci comme dit dans le titre, et comme illustré dans cette capture écran.

Les pages que je veux ouvrir sont des enregistrements de topics Zebulon vers un dossier créé (comme j'en ai des dizaines -de dossiers créés, et de topics enregistrés- autres que Zebulon, et qui s'ouvrent bien) . ==> Si ça peux aider .

Sur la partie inférieure lisible de la page affichée, si je fais un clic-droit, ensuite choisir "Rétablir", la page entière lisible s'affiche furtivement; pour ensuite redevenir masquée par cette espèce de rideau noir !?

 

Ouverture sous "Google Chrome" = OK.

Idem sous "IE8" = OK.

Pas de souci en lançant une recherche Google de "Infection par Lop.com - Forums Zebulon" --> une des pages Zebulon que je tente de lire .

 

Je m'y perds.

Une analyse MBAM ne donne rien.

Mon Kis2010 ne crie pas.

Je lance toutefois une analyse complète avec mon Kis2010, et il trouve ceci:

État : Suspect (événements : 1)

16/06/2011 0:29:17 Réparés cheval de Troie Trojan-Downloader.Java.OpenConnection.dd C:\Documents and Settings\albert\Application Data\Sun\Java\Deployment\cache\6.0\48\5215ca30-5372ffe3 Elevées

État : Supprimés (événements : 2)

16/06/2011 0:29:14 Supprimés cheval de Troie Trojan.Java.Agent.ak C:\Documents and Settings\albert\Application Data\Sun\Java\Deployment\cache\6.0\48\5215ca30-5372ffe3/chrome/Unicode.class Elevées

16/06/2011 0:29:16 Supprimés cheval de Troie Trojan-Downloader.Java.OpenConnection.dd C:\Documents and Settings\albert\Application Data\Sun\Java\Deployment\cache\6.0\48\5215ca30-5372ffe3/direct/bear.class Elevées

Je lance alors une analyse VirusTotal sur le deux fichiers présents en C:\Documents and Settings\albert\Application Data\Sun\Java\Deployment\cache\6.0\48\ ; c'est-à-dire :

C:\Documents and Settings\albert\Application Data\Sun\Java\Deployment\cache\6.0\48\5215ca30-5372ffe3 [4Ko]--> voir rapport VT1

C:\Documents and Settings\albert\Application Data\Sun\Java\Deployment\cache\6.0\48\5215ca30-5372ffe3.idx [1Ko]--> voir rapport VT2

Voici les deux rapports:

VT1

 

File name: 5215ca30-5372ffe3

Submission date: 2011-06-16 00:06:06 (UTC)

Current status: queued queued analysing finished

Result: 9/ 41 (22.0%)

VT Community

 

not reviewed

Safety score: -

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2011.06.16.00 2011.06.15 -

AntiVir 7.11.9.226 2011.06.15 -

Antiy-AVL 2.0.3.7 2011.06.15 -

Avast 4.8.1351.0 2011.06.15 Java:Agent-DU

Avast5 5.0.677.0 2011.06.15 Java:Agent-DU

AVG 10.0.0.1190 2011.06.15 -

BitDefender 7.2 2011.06.16 -

CAT-QuickHeal 11.00 2011.06.15 -

ClamAV 0.97.0.0 2011.06.16 -

Commtouch 5.3.2.6 2011.06.15 -

Comodo 9082 2011.06.16 -

DrWeb 5.0.2.03300 2011.06.16 -

eSafe 7.0.17.0 2011.06.15 -

eTrust-Vet 36.1.8389 2011.06.15 -

F-Prot 4.6.2.117 2011.06.15 -

Fortinet 4.2.257.0 2011.06.15 -

GData 22 2011.06.16 Java:Agent-DU

Ikarus T3.1.1.104.0 2011.06.15 Exploit.Java.CVE-2010-0840

Jiangmin 13.0.900 2011.06.15 -

K7AntiVirus 9.106.4812 2011.06.14 -

Kaspersky 9.0.0.837 2011.06.16 -

McAfee 5.400.0.1158 2011.06.16 -

McAfee-GW-Edition 2010.1D 2011.06.16 -

Microsoft 1.6903 2011.06.13 -

NOD32 6212 2011.06.16 Java/Agent.Z

Norman 6.07.10 2011.06.15 Java/Agent.CT

nProtect 2011-06-15.02 2011.06.15 -

Panda 10.0.3.5 2011.06.15 Trj/Agent.OKB

PCTools 7.0.3.5 2011.06.15 -

Prevx 3.0 2011.06.16 -

Rising 23.62.02.05 2011.06.15 -

Sophos 4.66.0 2011.06.16 -

SUPERAntiSpyware 4.40.0.1006 2011.06.16 -

Symantec 20111.1.0.186 2011.06.16 -

TheHacker 6.7.0.1.230 2011.06.14 -

TrendMicro 9.200.0.1012 2011.06.15 -

TrendMicro-HouseCall 9.200.0.1012 2011.06.16 -

VBA32 3.12.16.1 2011.06.15 Trojan.Java.Koladeiter.A

VIPRE 9593 2011.06.16 Trojan.Java.Koladeiter.a (v)

ViRobot 2011.6.15.4513 2011.06.15 -

VirusBuster 14.0.82.0 2011.06.15 -

Additional informationShow all

MD5 : 7c04a2314d4c9f2e86cf6bd95c78ee6d

SHA1 : 844147e3b205d3bec24fdc7fa516c3a791460f81

SHA256: 47a1dacb3986403b35dbaa9ba9b331ef7cdfd6ca68810ecaed0fbe345adfc9bd

ssdeep: 48:9WNxBSKbrATzwrOYpiqpGJap7KA/Vxlt7V39Dqz0/f5VmBTHsxMETMErA:QNxQmOYHdJ/1tj

qIKHsxMyMJ

File size : 3456 bytes

First seen: 2011-06-16 00:06:06

Last seen : 2011-06-16 00:06:06

VT2

File name: 5215ca30-5372ffe3.idx

Submission date: 2011-06-16 00:25:02 (UTC)

Current status: queued (#35) queued analysing finished

Result: 0/ 43 (0.0%)

 

Additional informationShow all

MD5 : dc8680cfc45edf9ba7ca76a8ae23d512

SHA1 : c736a52850f693fe960c83878f7282998f390c80

SHA256: 0e21ddbf5fcb8fd793631dd536db9aa797245e90eba32088f7d3336879ca3ec9

J'ai alors ré-essayé d'ouvrir un topic enregistré comme dit plus haut. ==> négatif (même écran noir).

 

Il reste que je me pose la question de savoir que faire avec ce fichier suspect 5215ca30-5372ffe3 à l'analyse Kis2010.

EDIT ce 16/06 à 10H31:

1)- Je viens de vider le cache Java, en suivant cette page

Tous les dossiers de 1 à 63 sont maintenant vides.

==> refait test d'ouverture d'un topic Zebulon = échec !?

2)- De surcroît, pourquoi Zebulon (dans la barre jaune traditionnelle) me demande-t-il d'accepter de télécharger le module supplémentaire "Flash Player" alors qu'il est déjà dans le PC et à jour !) >

==> j'accepte = échec!

3)- J'insiste: « Hormis Zebulon, les autres topics enregistrés s'ouvre correctement ».

- Soit un bug chez Zebulon --> j'ai frappé à la bonne porte pour recevoir des nouvelles à de propos.

- Soit un bug chez Google Chrome qui n'aime pas Zebulon --> non, mais je rêve ?!

Et pourtant, si je colle cette URL directement sur une page d'accueil de Google Chrome, le topic s'affiche instantanément, et sans que Zebulon ne me réclame d'accepter de télécharger le module supplémentaire "Flash Player" . ???

 

 

WINDOWS XP-Pro/SP3/IE8

 

Merci d'avance si vous avez une idée.

Bonne journée à vous.

Je ne pourrai peut-être pas répondre immédiatement à votre intervention; mais ce ne sera qu'une question d'heure. Merci pour votre bienveillance.

Al.

Modifié le 16 juin 2011 par cotes du rhone

[pear]

Bonjour Albert,

 

Voyez là:

 

Virus découverts dans le répertoire cache de Java

 

Kaspersky Lab Forum > impossible de corriger un trojan

[cotes du rhone]

Bonjour pear,

Quel bonheur de te lire encore, c'est un réel plaisir. Merci.

 

a)- En suivant cette page "Virus découverts dans le répertoire cache de Java que tu me proposes, cela ne correspond pas à ce que j'obtiens sur mon PC; regarde cette capture écran

Mais ce n'est pas grave; en effet, dans mon énoncé, sous EDIT, je précisais que j'avais vidé le cache de JAVA en suivant cette page. J'ajoutais: « Tous les dossiers de 1 à 63 sont maintenant vides ».

 

b)- Tu me donnes ensuite: "Kaspersky Lab Forum > impossible de corriger un trojan".

 

1- Or, dans mon énoncé, je donnais la preuve que Kis2010 avait supprimé les deux fichiers infectés

État : Supprimés (événements : 2)

16/06/2011 0:29:14 Supprimés cheval de Troie Trojan.Java.Agent.ak C:\Documents and Settings\albert\Application Data\Sun\Java\Deployment\cache\6.0\48\5215ca30-5372ffe3/chrome/Unicode.class Elevées

16/06/2011 0:29:16 Supprimés cheval de Troie Trojan-Downloader.Java.OpenConnection.dd C:\Documents and Settings\albert\Application Data\Sun\Java\Deployment\cache\6.0\48\5215ca30-5372ffe3/direct/bear.class Elevées

Ces deux éléments ne figuraient plus à la suite du sous-répertoire cache "...\48\5215ca30-5372ffe3\".

 

2- Cependant, Kis2010 me laissait ce fichier douteux

État : Suspect (événements : 1)

16/06/2011 0:29:17 Réparés cheval de Troie Trojan-Downloader.Java.OpenConnection.dd C:\Documents and Settings\albert\Application Data\Sun\Java\Deployment\cache\6.0\48\5215ca30-5372ffe3 Elevées

... avec toutefois son avis sur sa dangerosité ==> classée "Élevée".

 

C'est pourquoi j'ai lancé les analyses avec VirusTotal, et par la suite, vidé le cache de JAVA.

J'ai bien lu complètement ta page Kaspersky, je suis enregistré sur leur forum que je connaissais.

Je ne suis pas dans le cas d'une alerte résiduelle de Kis2010.

 

 

Voilà où j'en suis actuellement.

De nombreux tests confirment mon souci avec les enregistrements de topics Zebulon via Google Chrome; je n'ai pas de difficulté d'ouverture de ces topics si je les enregistre via IE8 ( --> OS XP-Pro).

Par contre, si je fais un clic-droit , puis "Ouvrir avec" > IE (sur un topic Zebulon enregistré au départ via Google Chrome), ce topic ne s'ouvre pas, non plus, normalement même sur IE8.

J'ajoutais: « Et pourtant, si je colle cette URL directement sur une page d'accueil de Google Chrome, le topic s'affiche instantanément, et sans que Zebulon ne me réclame d'accepter de télécharger le module supplémentaire "Flash Player" . »

 

Bizarre, non ?

Serait-il question des pubs sur Zebulon ?

Merci pour ta bienveillance.

Avec tout mon respect et ma sympathie.

Al.

Modifié le 16 juin 2011 par cotes du rhone

[pear]

Si ce fichier C:\Documents and Settings\albert\Application Data\Sun\Java\Deployment\cache\6.0\48\5215ca30-5372ffe3 a bien été auparavant supprimé, l'alerte est surprenante.

Cependant , il s'est écoulé une seule minute entre la suppression (citation 1) et la suspicion (citation 2).

On peut raisonnablement se demander si un redémarrage n'aurait pas été nécessaire pour valider la suppression.

[cotes du rhone]

Re,

 

J'avais redémarré le PC à l'issue de l'analyse complète par Kis2010.

 

Si ce fichier C:\Documents and Settings\albert\Application Data\Sun\Java\Deployment\cache\6.0\48\5215ca30-5372ffe3 a bien été auparavant supprimé, l'alerte est surprenante.

Non, ce sous-répertoire "5215ca30-5372ffe3" qui contenait les deux éléments "trojans" n'a pas été supprimé par Kaspersky; puisque Kis2010 ne le classait "que" comme suspect.

 

Ce sous-répertoire "5215ca30-5372ffe3" a été supprimé par moi, lors du vidage du répertoire cache de JAVA comme indiqué supra.

 

Et je n'ai aucune alerte quelconque.

 

De ce côté, sincèrement, je crois que c'est clean.

Par contre, je ne sais pas ce qui a pollué mon JAVA (pourtant mis à jour, il ne devrait pas être une faille).

 

Le plus gênant et surprenant, c'est cette question de lecture d'un topic Zebulon enregistré avec Google Chrome. C'est aussi cette question de demande de télécharger "Flash Player" alors que je l'ai dans mon PC (en dernière version).

 

Je me demande si, puisque Google Chrome évite les publicités de Internet Explorer, s'il ne bute pas contre celles de Zebulon contre lesquelles il ne pourrait rien .

 

Dommage, parce que Google Chrome finissait par me plaire (gain de temps).

 

 

Albert.

Modifié le 16 juin 2011 par cotes du rhone

[pear]

Je me demande si, puisque Google Chrome évite les publicités de Internet Explorer, s'il ne bute pas contre celles de Zebulon contre lesquelles il ne pourrait rien

 

Cela m'étonnerait beaucoup.

 

Non, ce sous-répertoire "5215ca30-5372ffe3" qui contenait les deux éléments "trojans" n'a pas été supprimé par Kaspersky; puisque Kis2010 ne le classait "que" comme suspect.

 

Ce sous-répertoire "5215ca30-5372ffe3" a été supprimé par moi, lors du vidage du répertoire cache de JAVA comme indiqué supra.

 

C'est bien ce que j'avais compris.

Désolé de ne vous être d'aucun secours:chpas:

[cotes du rhone]

Re,

 

Ne soit pas désolé; cela ne change rien à ce que je t'apprécie pour toute l'aide dont tu es capable de prodiguer au plus grand nombre.

 

J'avais d'ailleurs hésité à poster dans cette rubrique "Analyse & ératication".

Si je l'ai fait, c'est pour écarter toute cause d'infection en fonction des indices relevés; et relativement aussi à ce fichu "Flash Player"; et connaître la cause de l'infection en JAVA.

 

J'aurais une dernière prière :

« Pourrais-tu d'initiative contacter ton entourage afin d'inviter une personne susceptible de me guider relativement à mon souci ? (voire un habitué de Google Chrome) »

Je rencontre un souci comme dit dans le titre, et comme illustré dans cette capture écran.

- Les pages que je veux ouvrir sont des enregistrements de topics Zebulon vers un dossier créé (comme j'en ai des dizaines -de dossiers créés, et de topics enregistrés- autres que Zebulon, et qui s'ouvrent bien).

- Sur la partie inférieure lisible de la page affichée, si je fais un clic-droit, ensuite choisir "Rétablir", la page entière lisible s'affiche furtivement; pour ensuite redevenir masquée par cette espèce de rideau noir !?

 

Le plus gênant et surprenant, c'est cette question de lecture d'un topic Zebulon enregistré avec Google Chrome.

C'est aussi cette question de demande de télécharger "Flash Player" alors que je l'ai dans mon PC (en dernière version).

 

- De nombreux tests confirment mon souci avec les enregistrements de topics Zebulon via Google Chrome; je n'ai pas de difficulté d'ouverture de ces topics si je les enregistre via IE8 ( --> OS XP-Pro).

- Par contre, si je fais un clic-droit , puis "Ouvrir avec" > IE8 (sur un topic Zebulon enregistré au départ via Google Chrome), ce topic ne s'ouvre pas normalement non plus, même sur IE8.

- J'ajoutais: « Et pourtant, si je colle cette URL directement sur une page d'accueil de Google Chrome, le topic s'affiche instantanément, et sans que Zebulon ne me réclame d'accepter de télécharger le module supplémentaire "Flash Player" » .

 

Un grand merci à toi.

Ravi de cette petite conversation sympathique.

Bonne continuation.

Et bonne soirée.

Albert

Modifié le 16 juin 2011 par cotes du rhone

[pear]

Bonjour,

 

Désolé une fois de plus, mais depuis un certain temps je fréquente plus d'autre forum sur Zeb que celui-ci.

S'agissant d'autre chose que d'infection ou sécurité, je ne puis que vous conseiller de rechercher de l'aide sur un forum ad-hoc: peut-être "Internet & Réseaux" où vous devriez trouver Berfisan de très bon conseil(s'il y est toujours, ce que je crois)

[cotes du rhone]

Bonjour P.

 

Merci.

 

Je ne vois pas comment faire pour "Transférer" ce topic vers le forum "Internet & Réseaux" à l'attention de Berfizan.

Je crois même que Berfizan ne soit plus actif.

 

Je vais transférer le lien du topic sur le forum "SoftWare" dans un nouveau sujet.

 

 

Merci & bonne continuation.

Albert.

Modifié le 17 juin 2011 par cotes du rhone