[résolu]Thunderbird, le profil et les trojan horses... help

[fenice]

Bonjour
Depuis quinze jours je suis attaquées par des trojan horses qui vont se cacher dans mon profil de thunderbird. Pour être plus exact j'ai l'impression que ça vient d'un des 5 comptes hébergés par thunderbird, mon compte pro en plus
Je suis protégée par avast! mais il semblerait qu'ils arrivent à passer quand même...
J'ai ce matin fait un gros nettoyage du disk dur, plusieurs scans (avast!+trojan horse remover) J'ai défragmenté aussi mon disk pendant que j'y étais (la matinée, je vous dis) et là encore, windows m'a signalé que le /applicationdata/thunderbird/profils/etc... était très fragmenté (est-ce grave ?)

J'ai suivi le tuto trouvé sur le forum pour personnaliser avast... mais en fait à part supprimer dans heuristiques j'avais déjà les mêmes paramètres.

Mais je n'ose pas rouvrir thunderbird.
Qu'est-ce que je pourrais faire de plus ?
Suis-je paranoïaque ?

Merci d'avance!
Fénice


Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8

[lool_lauris]

Salut Fenice,

Tu devrais lire ce petit topic concernant la sécurité et plus particulièrement Avast => http://forum.malekal.com/viewtopic.php?f=45&t=3528.
Ceci ne te dépannera pas immediatement, mais te permettra peut être d'avoir les idées plus claires concernant ton antivirus.
Et sur ce même site "Malekal" il y aura probablement un expert qui pourra t'aider dans tes actions de désinfections.

Va également voir par là, un autre forum orienté sécurité => http://assiste.forum.free.fr/index.php

Bon courage,
lool

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 6.0; fr; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8 (.NET CLR 3.5.30729)

[fenice]

Merci LOOL
Je connaissais cet avis de Malekal sur Avast mais on m'a dit aussi pis que pendre de Antivir ou de AVG... chacun ses préférences et moi, jusqu'à maintenant (c'est à dire depuis 3 ans) je ne n'avais jamais eu de pb...

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8

[fenice]

En fait c'est ça qui m'inquiète le plus ? est-ce que je devrais désintaller/réinstaller thunderbird pour réparer le fichier profil?

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8

[Rpkx]

Bonsoir Fenice,

Depuis quinze jours je suis attaquées par des trojan horses

Qui te dit ça ? Avast ? Si oui, que donne-t-il comme localisation de ces pestes ?

Il est bien possible qu'Avast détecte des saloperies dans des messages qui ont été détectés comme Indésirables, mis à la Corbeille.

La première mesure à prendre est de supprimer les Indésirables (Ctrl+A, puis Maj+Delete), de vider la Corbeille puis de Compacter tous les dossiers Entrants, Indésirables, Corbeille, Sent, etc.
Seul le compactage détruit physiquement les messages effacés.

Après cela relance Avast pour voir s'il détecte encore quelque chose et si oui, note bien la localisation des fichiers contaminés.

Comme ex-modérateur d'Assiste et encore membre très actif (> 9000 Msg), je peux t'assurer qu'ils sont efficaces mais que tu n'y trouveras pas de vrai spécialiste de FF ou TB.

Désinstaller et réinstaller TB ne servira à rien puisque tu profil sera préservé.

A suivre,

Rpkx (alias Vazkor sur Assiste)

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9.1b4pre) Gecko/20090324 Shiretoko/3.5b4pre

[fenice]

Oui c'est Avast - qui me conseille de les placer en quarantaine et le fait mais malgré tout les processus trojan se développent...
Je vais suivre tes conseils
(Je suis allée sur Assiste mais en fait tout ce que j'ai lu ne correspondait pas à mes pbs en effet, c'étaient des conseils de sécurité généraux, certains intéressants d'ailleurs, je ne regrette pas !)

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8

[lool_lauris]

Salut Rpkx

Comme ex-modérateur d'Assiste et encore membre très actif (> 9000 Msg), je peux t'assurer qu'ils sont efficaces mais que tu n'y trouveras pas de vrai spécialiste de FF ou TB.

En fait, je pense que tu es le chainon manquant ... Vazkor pour le côté Sécurité et Rpkx côté Mozilla.

Fénice, tu es entre de bonnes mains.

A+
lool

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 6.0; fr; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8 (.NET CLR 3.5.30729)

[Rpkx]

Salut,

Je pense pouvoir aider Fenice pour une premier nettoyage, pour le reste, il faudra sans doute aller sur un forum spécialisé.

Je suis allée sur Assiste

Attention ! Il y a le site d'Assiste et les forums d'Assiste. C'est sur ces derniers que tu trouveras de l'aide.

Je suis plus si fort que cela pour les nettoyages : je n'ai jamais installé XP, que je le connais donc très mal, et comme j'attends toujours de voir une vraie cochonceté sur mon PC sous Windows 2000 depuis 9 ans, il y a longtemps que je ne suis plus l'actualité.
C'est une des principales raisons qui m'ont décidé à rendre mon tablier de modérateur en 09/2005 et de me consacrer à autre chose.

@+

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9.1b4pre) Gecko/20090324 Shiretoko/3.5b4pre

[lool_lauris]

L'humilité une qualité rare dans ce monde de tricheurs !

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 6.0; fr; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8 (.NET CLR 3.5.30729)

[Rpkx]

Salut,

L'humilité une qualité rare dans ce monde de tricheurs !

Je n'éprouve plus le besoin de faire mes preuves. J'ai eu le temps de faire cela pendant ma carrière d'officier (cfr le site de mon chien : cliquer sur "Qui est Vazkor, mon gardien ?")

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9.1b4pre) Gecko/20090324 Shiretoko/3.5b4pre

[fenice]

Bon, j'ai fait tout ce que vous m'avez conseillé et voici le dernier rapport de Avast !

Code : Tout sélectionner

C:\Documents and Settings\ISA\Application Data\Mozilla\Firefox\profil_Isa\parent.lock [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\ISA\Application Data\Mozilla\Firefox\profil_Isa\places.sqlite-journal [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\ISA\Application Data\OpenOffice.org\3\user\registry\data\org\openoffice\Office\Common.xcu [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\ISA\Application Data\Thunderbird\Profiles\urt2f8f8.default\Mail\pop.free-3.fr\Inbox\PartNo_0#1432793547 [E] Le fichier est une bombe de décompression ("Decompression Bomb") (42110)
C:\Documents and Settings\ISA\Application Data\Thunderbird\Profiles\urt2f8f8.default\parent.lock [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\ISA\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\ISA\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)
C:\Documents and Settings\ISA\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdl3rxd9.default\Cache\78083652d01\{gzip} [E] Le fichier est une bombe de décompression ("Decompression Bomb") (42110)

Je ne sas pas ce que vous en pensez, mais le processus 32 + la bombe de décompression ça ressemble à des trojan qui vont revenir me bloquer mon ordi... non ?

Des idées de contrattaques ? (ça s'était mal passé à Troie, si mes souvenirs sont exacts)
Fénice

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8

[Rpkx]

Bonjour,

Code : Tout sélectionner

C:\Documents and Settings\ISA\Application Data\Mozilla\Firefox\profil_Isa\parent.lock [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)

Le fichier parent.lock verrouille la session FF. Il a une taille de 0 octet. Normal

Code : Tout sélectionner

C:\Documents and Settings\ISA\Application Data\Mozilla\Firefox\profil_Isa\places.sqlite-journal [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)

places.sqlite-journal est normalement un fichier de taille 0 octet. Normal

Code : Tout sélectionner

C:\Documents and Settings\ISA\Application Data\OpenOffice.org\3\user\registry\data\org\openoffice\Office\Common.xcu [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)

common.xcu C'est un fichier texte au format XML encodé en UTF-8 UNIX.
Normal.

Code : Tout sélectionner

C:\Documents and Settings\ISA\Application Data\Thunderbird\Profiles\urt2f8f8.default\parent.lock [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)

Cfr FF

Code : Tout sélectionner

C:\Documents and Settings\ISA\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)

Normal. Ici le processus "malveillant" c'est Windows. Bravo Avast! C'est un fichier binaire (du code hexa, commençant par
72 65 67 66 3B (en hexa) c'est-à-dire regf; (en code ANSI).
Bref, c'est une sorte de fichier reg mais créé par regedt32.exe au lieu de regedit.exe.
On ne peut l'ouvrir que lorsque l'on est sur une autre session (probablement comme Admin). Ou comme moi, en lançant un autre système Windows (Eh oui, j'ai un dual-boot entre un Windows 2000 normal sur C et un Windows 2000 minimum sur F, que j'appelle le Baudet et qui me sert à étudier, dépanner et bidouiller l'autre).

Code : Tout sélectionner

C:\Documents and Settings\ISA\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG [E] Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus (32)

Idem.
Rien de méchant dans ce qui précède.

Il ne reste donc que deux fichiers "suspects" et encore :

Code : Tout sélectionner

C:\Documents and Settings\ISA\Application Data\Thunderbird\Profiles\urt2f8f8.default\Mail\pop.free-3.fr\Inbox\PartNo_0#1432793547 [E] Le fichier est une bombe de décompression ("Decompression Bomb") (42110)

Il s'agit plus que certainement d'un message avec en pièce jointe un fichier compressé (zip ou autre).
Vérifie ce dossier entrant et si tu trouves un tel message, extrais la pièce jointe sur ton Bureau pour la soumettre à Virus Total
http://www.virustotal.com/fr/ où il sera testé par une trentaine d'antivirus.
Je pense sincèrement qu'il s'agit d'un faux-positif mais il vaut mieux s'en assurer.

Code : Tout sélectionner

C:\Documents and Settings\ISA\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdl3rxd9.default\Cache\78083652d01\{gzip} [E] Le fichier est une bombe de décompression ("Decompression Bomb") (42110)

C'est un fichier du cache qui peut être de n'importe quel type. Tu peux aussi le déplacer ou le copier sur ton Bureau et le soumettre à Virus Total.
Une archive (fichier zip, rar, 7z, gzip, etc. ) n'est jamais dangereuse tant qu'on n'exécute pas son contenu et à ce moment c'est le scan en temps réel de l'antivirus qui devrait réagir. J'ai utilisé pendant des années un antivirus qui ne scannait pas les mails reçus et envoyés. Jamais je n'ai vu mon PC être infecté pour autant. Cet antivirus réagissait au quart de tour quand j'ouvrais une pièce jointe contenant un fichier suspect.

Tous les fichiers du cache de FF peuvent être supprimés sans le moindre état d'âme (depuis FF ou via l'Explorateur).

La plupart de ces messages sont dus au fait que FF, TB et OpenOffice sont démarrés. Il faudrait refaire un scan complet de ton disque C après avoir fermé toutes les fenêtres ouvertes et terminé les processus soffice.bin et soffice.exe

Mises à part ces alertes d'Avast! remarques-tu quelque chose d'anormal sur ton PC ? Ralentissement, activité anormale des disques durs, connexions internet alors que tu ne surfes pas, etc.

Une question pour terminer, quel est ton pare-feu ? Si c'est le demi-pare-feu-jouet de Windows XP, il faudrait vite le remplacer par un plus sérieux.

@+

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9.1b4pre) Gecko/20090324 Shiretoko/3.5b4pre

[fenice]

Bonjour,
Merci d'avoir pris le temps d'expliquer tous ces résultats.
J'avais planifié un scan d'avast au démarrage ce matin - dont avant que tout autre processus ne démarre - qui n'a rien trouvé à signaler.
L'ordi n'est pas ralenti même quand TB est ouvert comme c'était le cas auparavant mais TB ne fonctionne toujours pas normalement.
Un de mes comptes - toujours le même, le pro, évidement, it wouldn't be fun otherwise - ne reçoit plus rien (et il n'y a rien sur la boîte webmail non plus). Le service n'est pas indiqué comme ayant un pb sur le site du provider (globenet.org). Donc je garde mes suspicions que le profile soit endommagé... Et je ne sais pas trop quoi faire....

Par ailleurs, je n'ai pas de firewall (aïe, aïe... ) parce que je suis une travailleuse nomade qui doit se connecter à des réseaux variés selon les jours, notamment des réseaux fonctionnant sur novell et détestant les firewalls.... Les responsables info m'avaient assurés que avastl suffiraient (je leur transmettrais vos messages d'insultes si vous y tenez... )

Si vous connaissez le moyen de paramétrer un firewall pour qu'il soit compatible avec novell (ou ne fonctionne que quand je suis chez moi...), je veux bien me pencher sur l'affaire...

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8

[lool_lauris]

Salut Fénice,

Pour ton firewall, il y a outpost qui a bonne réputation. Il existe une version payante et une version free (en anglais seulement) => http://www.agnitum.com/products/outpostfree/index.php
Si tu es intéressée, un tuto de Malekal pour le paramètrage => http://www.malekal.com/tutorial_outpost.php
Apparemment, outpost semble compatible avec Novell (à approfondir) => http://www.agnitum.fr/about/partners.php

A+
lool

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 6.0; fr; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8 (.NET CLR 3.5.30729)

[Rpkx]

Bonsoir,

Ce que je reproche à beaucoup de firewalls récents c'est de vouloir en faire trop et donc d'être des usines à gaz, pas faciles à paramétrer.
J'ai testé Outpost Free pendant pas plus de trois jours. Idem pour Jetico et Commodo.
Finalement j'ai réinstallé mon brave Sygate PF Standard (puis Sygate PF Pro).
Ceux-là au moins ne prétendent pas tout faire, y compris le café et le boire à ma place.
Sygate PF Standard n'étant pas facile à trouver sur le Web, je l'ai mis sur mon site (voir Utilitaires divers) avec le patch de francisation et le fichier d'aide en français.
Surtout si l'on est derrière un modem-routeur, l'on n'a pas besoin d'un pare-feu extraordinaire. Le mien me sert surtout à contrôler ce qui veut sortir plutôt qu'à bloquer les tentatives d'intrusion.

Comme antivirus, je conseillerais à Fénice d'installer Antivir
Avira AntiVir Personal 9.0.0.386 du 16/03/09 - version anglaise
Avira AntiVir Personal 8.2.0.52 du 09/12/08 - version française
http://www.free-av.com/en/download/download_servers.php

@+

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9.1b4pre) Gecko/20090324 Shiretoko/3.5b4pre