Virus sur Thunderbird impossible à éliminer avec Kaspersky !

[Alphonse Rastibonne]

Bonjour !

Voilà, j'ai un problème avec Thunderbird.
J'ai des virus qui se sont implantés dans Thunderbird, il y a 36 objets exactement. Il y a quelques mois ils n'étaient que 20 seulement.
Cela fait peut-être un an que ça traîne désormais. Kaspersky, mon antivirus, les détecte bien et dans Thunderbird mais n'arrive pas à les éliminer. Le logiciel se met à tourner, une petite fenêtre s'ouvre en bas à droite et s'affiche constamment.
« Cheval de Troie », et aussi « objet dangereux ».

J'avais donc contacté Kaspersky, et ils m'ont demandé de suivre une procédure. Mais c'est une usine à gaz, je n'ai pas forcément tous les outils pour faire ce qu'ils me demandent (comme des Capture vidéo), et ils me demandent de cliquer et d'aller dans certains paramètres que je ne vois pas mais en vrai que je crois ne pas exister. On ne doit pas avoir le même logiciel ! Pourtant je ne suis pas totalement bigleux.

J'ai donc présenté mon problème à un ami geeck dans le logiciel libre, rien. Je suis allé voir deux professionnels, et ils n'ont rien pu faire non plus (mis à part réinstaller Windows (j'aimerais être sur Linux mais je suis obligé d'utiliser la commande vocale Dragon NaturallySpeaking… uniquement sur Windows…), mais comme je veux conserver mes données on est retourné au problème de départ : Kaspersky a détecté à nouveau les mêmes virus dans mon fichier Thunderbird !).
Je ne peux pas me résoudre à supprimer mes données anciennes, j'ai plein de courriels que j'aimerais consulter quand j'en aurai le besoin.
Par contre, je suis un peu inquiet car depuis quelque temps mes anciens courriels s'affichent en blanc quand je tente de les ouvrir : est-ce lié à ces virus ? Je sais pas. comme je faisais souvent des copies de disques durs en disques durs pour ne pas perdre mes données, c'est peut-être ça aussi.

Je vais en parallèle relancer Kaspersky pour une procédure longue et fastidieuse.
Il faut que j'élimine ces grosses bêtes qui m'empêchent de bien bosser : tant que je ne les ai pas j'évite les copies différentes sur les disques durs pour éviter me dit-on, la multiplication de ces virus. Donc mes données sont en péril car elles ne sont pas toujours en double.

Bref, en ce moment c'est le chaos, et j'aurais bien besoin d'un génie de Thunderbird pour me sortir de ce pétrin.

Merci à lui - ou à la communauté - par avance !

ps : Il y a indiqué exactement sur cette petite fenêtre :

« Sélectionnez la façon de traiter un programme malveillant ».
Détecté : HEUR Trojan.Win32. Generic
Emplacement : C etc.
Impossible de désinfecter l'objet détecté.
« Ignorer »
O Appliquer à tous les objets de ce type

[Jean-Claude]

Bonjour.

Emplacement : C etc.

Tu masques précisément ce qui est le plus important.
Qu'y a-t-il exactement derrière cet "etc"? On devrait y trouver le nom du dossier impacté.

A+

[Alphonse Rastibonne]

Tu masques précisément ce qui est le plus important.
Qu'y a-t-il exactement derrière cet "etc"? On devrait y trouver le nom du dossier impacté.

Merci.
J'ai fait une capture d'écran mais je ne sais pas comment l'intégrer à ce message dans ce forum.
J'ai recopié au moins une ligne :
C:\Users\Bastien\AppData\Roaming\Thunderbird\Profiles\dlmbjjhi.default\Mail\ssl.ovh.net\Inbox//[From<collectionse.mail@freightquote.com>][Date21jan2021 15:56:51][Subj Message has been disinfected :[SPAM] New Invoice(s) for C351557]/1_Total New Invoices-Thursday January 21_2021.xlsm

Évidemment, je n'ai pas réussi à trouver ce fichier directement en cherchant dans Windows.
Il a été trouvé par le SAV de ma petite ville, mais malgré ça impossible de supprimer ce fichier.
On m'a aussi dit que ça pouvait venir de Kaspersky qui détecte quelque chose qui n'est pas un virus au final (!).

[Jean-Claude]

Bonjour,

Selon le message d'erreur, il s'agit d'un message provenant de
Collectionse.mail@freightquote.com, datant du 21 janvier 2021.
Apparemment, il a déjà été désinfecté, et ne présente donc plus de risque.
Y a-t-il une pièce jointe .xlsm dans ce message ?

Ce message est dans le dossier "courrier entrant" ( inbox) de ton compte OVH.
Dans Thunderbird, tous les mails sont regroupés, selon le dossier, dans un seul fichier, ici donc "inbox". Tu ne trouveras donc, normalement, jamais un fichier isolé, correspondant à ce seul message.
Il est possible de configurer sa messagerie Thunderbird, de manière à ce que pour chaque message, il n’y ait qu'un seul fichier .eml. Mais c'est une autre histoire.

Pour info
Pour insérer une copie d'écran dans le forum, dépose ta copie d'écran sur un serveur public, ouvert à tous, H24, comme https://www.zupimages.net/ .
Après validation, le site te retournera un lien "BBCode (forum)" vers l'image qu'il suffira de copier ici dans le forum.

A+

[lool_lauris]

Salut,

Pour insérer une copie d'écran dans le forum, dépose ta copie d'écran sur un serveur public, ouvert à tous, H24, comme https://www.zupimages.net/ .
Après validation, le site te retournera un lien "BBCode (forum)" vers l'image qu'il suffira de copier ici dans le forum.

Attention avec zupimages, ce truc impose l'installation d'une extension (enfin presque, il faut attendre une 15zaine de secondes pour ignorer le message imposant l'installation du truc... c'est long 15 secondes).
Il me semble qu'il est préférable d'utiliser un autre hébergeur qui n'impose rien, celui-ci par exemple https://fr.imgbb.com/ mais il y en a d'autres.

viewtopic.php?p=965280#p965280
viewtopic.php?p=967229#p967229

[Alphonse Rastibonne]

Bonjour Jean-Claude !

Merci.
Le problème, c'est que je n'ai jamais réussi à trouver ce message (en reprenant cette adresse courriel et en faisant une recherche dans le moteur de Thunderbird). A priori les réparateurs de ma ville ont réussi à le trouver, mais ils n'arrivaient pas à le supprimer. Donc je peux pas vous dire si il existe une pièce jointe .xlsm.
Il n'existe pas sur le Web mail, et je n'ai pas de compte OVH (@mailoo.org et neutralite.org sont les noms de domaine que j'utilise… mais il est vrai que j'ai eu un ancien compte avec OVH, que j'ai supprimé depuis belle lurette… peut-être une piste).

D'accord, merci pour la formation concernant les fichiers isolés.

@lool_lauris : merci beaucoup !

Voici les captures d'écran de ce que me dit Kaspersky :
https://ibb.co/rKP7Xm4Z
https://ibb.co/mV9qyt0N
https://ibb.co/Rk8p8pKn
https://ibb.co/m54xNB87
https://ibb.co/hJCSm3yM

merci ! Si je ne donne pas de réponse la semaine prochainesi je serais loin des écrans pendant cinq jours…
Merci beaucoup pour votre aide en tout cas.

[Alphonse Rastibonne]

ps : est-ce que vous pensez qu'au vu de la faible dangerosité (?) de ces virus, je peux continuer à copier les données d'un disque dur à un autre, sur un NASS etc. sans me préoccuper de ce que détecte Kaspersky ? Merci beaucoup

[lool_lauris]

Et pourquoi ne supprimerais-tu pas les messages incriminés avant toutes copies ?

[Jean-Claude]

je n'ai pas de compte OVH (@mailoo.org et neutralite.org sont les noms de domaine que j'utilise… mais il est vrai que j'ai eu un ancien compte avec OVH, que j'ai supprimé depuis belle lurette… peut-être une piste).

Pourtant le chemin vers inbox indique celui d'un compte POP OVH.
C:\Users\Bastien\AppData\Roaming\Thunderbird\Profiles\dlmbjjhi.default\Mail\ssl.ovh.net\Inbox
S'il s'agit d'un ancien compte que tu as supprimé dans Thunderbird, le répertoire dédié à ce compte ne l’a manifestement pas été, et Kapersky a analysé ce vieil inbox.
Vérifie l'existence de ce répertoire dans le profil, et supprime-le.
Dans tes copies d'écran, la majorité des cas détectés concerne ce compte OVH.

Un cas concerne ton compte mailoo.org, et un autre ton compte net-c.mail.

ps : est-ce que vous pensez qu'au vu de la faible dangerosité (?) de ces virus, je peux continuer à copier les données d'un disque dur à un autre, sur un NASS etc. sans me préoccuper de ce que détecte Kaspersky ? Merci beaucoup

Les deux cas concernant mailoo.org et net-c.com sont des messages des années 2015.
Peux-tu les retrouver dans ces deux comptes et les supprimer ?
Tu as sans doute fait de multiples copies depuis lors.
Un virus réside normalement dans les pièces jointes. Tant que tu n’ouvres pas ces pièces jointes, il n’y a pas de risques. De plus ton antivirus devrait empêcher leur ouverture.

PS
Pour aller dans le profil de Thunderbird : menu > Aide > informations de dépannage > dans le volet bleu, à la rubrique "Dossier du profil", clique sur le bouton "Ouvrir le dossier correspondant" > tu te retrouveras dans le profil avec l'explorateur de Windows > Ferme Thunderbird, mais laisse l'explorateur ouvert. Descends dans le sous-répertoire "mail". Tu devrais y retrouver le répertoire ssl.ovh.net dédié à ton ex-compte OVH.


A+

[Alphonse Rastibonne]

Merci beaucoup pour vos retours !
Je vais regarder ça bientôt. Pour l'instant j'ai une semaine où je n'utilise pas mon téléphone et mon PC, je reviendrai vers vous une fois que j'aurais fait ce que vous me préconisez.
Bonne semaine !