Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
2157 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  [RESOLU] suspicion de virus ?

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[RESOLU] suspicion de virus ?

n°3399784
popeye0
⭐⭐⭐⭐⭐
Posté le 30-05-2021 à 14:53:26  profilanswer
 

Bonjour à tous,
Je viens de voir que j'ai un dossier caché !!!#1(6380097) qui contient deux fichiers cachés qui me sont totalement inconnu et illisible à la racine de la mémoire interne de mon GPS TomTom Go 950 et également à la racine de la carte mémoire SD placé dans ce GPS :
!@#(68736522).docx => www.virustotal.com/gui/file/0eabce [...] a5edfae01e
!@#(68736522).jpg => quand j'uploade ce fichier !@#(68736522).jpg virustotal me redirige vers cette page de résultat d'analyse qu'est celle du fichier !@#(68736522).docx : www.virustotal.com/gui/file/0eabce [...] a5edfae01e
Je n'ai donc pas le résultat de l'analyse de virustotal pour ce fichier !@#(68736522).jpg
 
Les 2 fichiers font exactement la même taille : 1 048 576 octets et la même somme de contrôle : sha1 : 5c05f250df64cdf31892dd0fe8d6c2bb365bbede
C'est bizarre :heink:
 
 
https://zupimages.net/up/21/21/na2n.jpg
 
Le fichier !@#(68736522).docx est illisible dans Word.
Le fichier !@#(68736522).jpg est illisible dans la visionneuse de Windows 10.0.19043.985 et dans Paint :
https://zupimages.net/up/21/21/ldb2.jpg
https://zupimages.net/up/21/21/cffb.jpg
 
En même temps, ce n'est pas recommandé d'ouvrir des fichiers qui me sont totalement inconnus :D
Contrairement à ce que je fais [:nul]


Message édité par popeye0 le 31-05-2021 à 15:17:47

---------------
✖ Escroc de haut vol de père en fils depuis 1848. ✖
mood
Publicité
Posté le 30-05-2021 à 14:53:26  profilanswer
 

n°3399787
Trit'
Posté le 30-05-2021 à 15:28:05  profilanswer
 

Le DOCX, c’est du ZIP. Donc, à la limite, tu peux tenter de renommer ce fichier pour voir son contenu, si ça marche pas avec Word.

n°3399790
popeye0
⭐⭐⭐⭐⭐
Posté le 30-05-2021 à 17:25:03  profilanswer
 

J'essaye et je te redis [:clooney7]

 

edit : résultat et réponse de Windows 10 :
https://zupimages.net/up/21/21/gqs4.jpg


Message édité par popeye0 le 30-05-2021 à 21:39:51

---------------
✖ Escroc de haut vol de père en fils depuis 1848. ✖
n°3399793
nnwldx
Posté le 30-05-2021 à 18:02:45  profilanswer
 

Un virus sur un gps tomtom ?

n°3399806
popeye0
⭐⭐⭐⭐⭐
Posté le 30-05-2021 à 21:36:31  profilanswer
 

nnwldx a écrit :

Un virus sur un gps tomtom ?


Bah oui, tout à fait possible, pas pour attaquer le  GPS TomTom mais par exemple Windows puisque la mémoire interne des anciens TomTom + la carte mémoire SD, c'est du FAT32.


---------------
✖ Escroc de haut vol de père en fils depuis 1848. ✖
n°3399808
nnwldx
Posté le 30-05-2021 à 21:46:04  profilanswer
 

Oui, il y avait eu un virus en 2007 qui attaquait les gps tomtom.
Aujourd'hui, je ne vais pas dire que plus personne utilise les gps tomtom.
Mais bon les utilisateurs ne sont plus trés nombreux et il y a peu de chance que quelqu'un crée un virus pour ce produit.

n°3399814
popeye0
⭐⭐⭐⭐⭐
Posté le 30-05-2021 à 23:16:01  profilanswer
 

Bon, apparemment, le dossier caché et les 2 fichiers que j'ai nommé dans mon 1er post, reviennent à la racine de la mémoire interne de mon GPS TomTom Go 950 et également à la racine de la carte mémoire SD placé dans ce GPS dès que je branche le GPS au PC en USB.


---------------
✖ Escroc de haut vol de père en fils depuis 1848. ✖
n°3399818
AmigaOnly
Posté le 31-05-2021 à 00:50:18  profilanswer
 

nnwldx a écrit :

Un virus sur un gps tomtom ?

 

Il y a déjà eu du malware/trojan  en 2020,  et il y a eu certains modèles qui étaient livrés sortis d'usine avec un trojan (mais cela remonte plus loin

 


Message édité par AmigaOnly le 31-05-2021 à 16:27:12

---------------
Only Amiga is... Heu.. was possible :-)
n°3399819
Fork Bomb
Obsédé textuel
Posté le 31-05-2021 à 08:01:42  profilanswer
 

Essaye de choper les mimetype de tes deux fichiers.


---------------
Décentralisons Internet-Bépo-Troll Bingo - "Pour adoucir le mélange, pressez trois quartiers d’orange !"
n°3399822
popeye0
⭐⭐⭐⭐⭐
Posté le 31-05-2021 à 09:33:10  profilanswer
 

Mimetype ?
J'ai googlé mais je ne vois pas comment faire ça ?
Tu peux m'expliquer stp ?


---------------
✖ Escroc de haut vol de père en fils depuis 1848. ✖
mood
Publicité
Posté le 31-05-2021 à 09:33:10  profilanswer
 

n°3399823
Fork Bomb
Obsédé textuel
Posté le 31-05-2021 à 09:53:05  profilanswer
 

Le mimetype est la véritable nature de ton fichier, indépendamment de ce que racontes son extension.
C’est une information se trouvant dans l’entête dudit fichier.
---
Je ne suis pas sous Windows, donc je ne sais pas.
J’ai fait une recherche en partant du principe que tu étais sous Win10 (le dernier sorti, donc).
Apparemment, tu peux le faire avec un script Python. La réponse est TRÈS vieille, donc je ne peux pas t’affirmer que ça va marcher out of the box.


---------------
Décentralisons Internet-Bépo-Troll Bingo - "Pour adoucir le mélange, pressez trois quartiers d’orange !"
n°3399829
popeye0
⭐⭐⭐⭐⭐
Posté le 31-05-2021 à 10:12:26  profilanswer
 

Je viens de voir que ce dossier caché !!!#1(6380097) qui contient deux fichiers cachés !@#(68736522).docx et !@#(68736522).jpg est également présent à la racine d'un de mes disques dur externe : Transcend StoreJet TS2TSJ25H3B externe Festplatte 2TB
 
Si je supprime ce dossier caché, déconnecte mon disque dur externe du pc et ensuite reconnecte mon disque dur externe, le ce dossier caché revient à la racine.

Message cité 1 fois
Message édité par popeye0 le 31-05-2021 à 11:55:02

---------------
✖ Escroc de haut vol de père en fils depuis 1848. ✖
n°3399837
AmigaOnly
Posté le 31-05-2021 à 11:01:59  profilanswer
 

popeye0 a écrit :

Je viens de voir que ce dossier caché !!!#1(6380097) qui contient deux fichiers cachés !@#(68736522).docx et !@#(68736522).jpg est également présent à la racine d'un de mes disques dur externe : Transcend StoreJet TS2TSJ25H3B externe Festplatte 2TB


 
Tu pourrais envoyer les fichiers sur https://pjjoint.malekal.com/  et donner le lien ?


---------------
Only Amiga is... Heu.. was possible :-)
n°3399840
popeye0
⭐⭐⭐⭐⭐
Posté le 31-05-2021 à 11:52:12  profilanswer
 

AmigaOnly a écrit :

Tu pourrais envoyer les fichiers sur https://pjjoint.malekal.com/ et donner le lien ?


1) J'ai retiré le paramètre caché au dossier + les 2 fichiers
2) J'ai compressé le tout dans hfr.rar
3) Pourquoi ce nom de fichier hfr.rar ? Car avec le nom de fichier !!!#1(6380097).rar ça ne passait pas dans https://pjjoint.malekal.com
J'avais le message d'erreur suivant :

Citation :

Vous ne pouvez pas uploader de fichiers dont la taille est supérieure à : 20000 Ko ou dont la longueur du nom est supérieur à 50 caractères et qui contient des caractères spéciaux.


https://zupimages.net/up/21/22/ivuw.jpg
 
Voici :
https://pjjoint.malekal.com/files.p [...] 5m10q14g14
Méfiez-vous quand même de cette maÿrde. À utilisez à vos risques et périls [:cosmoschtroumpf]
 
J'espère qu'il n'y a pas mes données personnelles dans ces 2 fichiers que je vous partage :D


Message édité par popeye0 le 31-05-2021 à 15:54:19

---------------
✖ Escroc de haut vol de père en fils depuis 1848. ✖
n°3399846
leroimerli​nbis
Posté le 31-05-2021 à 12:10:28  profilanswer
 


je n'arrive pas à ouvrir Malekal, le site bloque les bloqueurs de pub.
Même en stoppant ublock, ça va pas. Ni sur FF, ni Edge, ni vivaldi
c'est un peu lourd..

n°3399849
Kerri
Posté le 31-05-2021 à 12:18:54  profilanswer
 

Bonjour,
J’ai ouvert les deux fichiers avec un éditeur de texte, il n’y a qu’une seule ligne:

Citation :

This is a RansomZero's decoy file


Une analyse antivirus (virus total) n’a rien donné.
Je pense que c’est un fichier test d’un logiciel pour savoir si tu es infecté par un ransomware (en effet, un ransomware va cibler en priorité tes fichiers doc et jpg pour les chiffrer). Pas de danger de mon point de vue, mais il faudrait identifier le logiciel qui les a crées (et à mon avis il n’est pas sur le tomtom).
En cherchant la ligne dans google, on trouve quelques mentions sur des sites coréens de gens ayant les mêmes fichiers que toi.

Message cité 1 fois
Message édité par Kerri le 31-05-2021 à 12:29:08

---------------
Liste de téléphones compatibles 4g :) Comparatif débit 3G+ vs 4G
n°3399866
Fork Bomb
Obsédé textuel
Posté le 31-05-2021 à 13:01:44  profilanswer
 

Je confirme, ce sont bien deux fichiers texte.

Code :
  1. [moi@chezwam] mimetype -M \!\@#\(68736522\).jpg
  2. !@#(68736522).jpg: text/plain


Code :
  1. [moi@chezwam] mimetype -M \!\@#\(68736522\).docx
  2. !@#(68736522).docx: text/plain


Le contenu est bien celui indiqué plus haut suivi de caractères illisibles.


Message édité par Fork Bomb le 31-05-2021 à 13:02:32

---------------
Décentralisons Internet-Bépo-Troll Bingo - "Pour adoucir le mélange, pressez trois quartiers d’orange !"
n°3399868
popeye0
⭐⭐⭐⭐⭐
Posté le 31-05-2021 à 13:09:29  profilanswer
 

Merci Kerri et Fork Bomb pour votre aide.

Kerri a écrit :

Pas de danger de mon point de vue, mais il faudrait identifier le logiciel qui les a crées (et à mon avis il n’est pas sur le tomtom).
En cherchant la ligne dans google, on trouve quelques mentions sur des sites coréens de gens ayant les mêmes fichiers que toi.


Ah, maintenant que tu me dis ça, logiciel + coréen, je pense savoir ce que c'est.
J'ai installé il y a quelques jours le logiciel RansomDefender 1.5.9 build 984 de l'éditeur Clonix dans mon PC.

 

https://clonix.com/en/security/ransomdefender
https://clonix.com/security/ransomdefender
www.ransomdefender.com
www.ransomdefender.com/en/download
www.microsoft.com/en-us/p/ransomde [...] zs4f6mv7q7

 

RansomDefender S/W (32bit)
SetupRansomDefender32.exe
www.ransomdefender.com/wp-content/ [...] 2e8ec0088e

 

RansomDefender S/W (64bit)
SetupRansomDefender64.exe
www.ransomdefender.com/wp-content/ [...] aa3229f2d0

 

RansomDefender_Manual_ENG_v.1.3.pdf
www.ransomdefender.com/wp-content/ [...] b65ddf4eec

 

RansomDefender_EULA_KOR.pdf
https://clonix.com/download/ransomd [...] d%ec%84%9c

 

RansomDefender_Manual_KOR_v1.8.pdf
https://clonix.com/download/ransomd [...] 4%ec%96%bc

 

https://zupimages.net/up/21/22/99py.jpg
https://zupimages.net/up/21/22/ypf0.jpg

 

Je vais désinstaller ce logiciel RansomDefender 1.5.9 build 984.

 

@Kerri : peux-tu poster les url des sites coréens stp ?

Message cité 1 fois
Message édité par popeye0 le 31-05-2021 à 15:58:48

---------------
✖ Escroc de haut vol de père en fils depuis 1848. ✖
n°3399880
Kerri
Posté le 31-05-2021 à 15:09:52  profilanswer
 

popeye0 a écrit :

Merci Kerri et Fork Bomb pour votre aide.


 

popeye0 a écrit :


Ah, maintenant que tu me dis ça, logiciel + coréen, je pense savoir ce que c'est.
J'ai installé il y a quelques jours RansomDefender 1.5.9 build 984 de l'éditeur Clonix dans mon PC.
https://clonix.com/en/security/ransomdefender
 
https://zupimages.net/up/21/22/99py.jpg
https://zupimages.net/up/21/22/ypf0.jpg
Je vais le désinstaller.
 
@Kerri : peux-tu poster les url des sites coréens stp ?


En voici quelques uns:
https://blog.naver.com/PostView.nhn [...] 2107433532
https://m.blog.naver.com/PostView.n [...] 0742607118
https://twitter.com/algorithmkcm/st [...] 1120096256
 
Sur le dernier, ransomdefender est évoqué, donc j’ai tendance à penser que c’est bien lui qui te crées ces fichiers.


---------------
Liste de téléphones compatibles 4g :) Comparatif débit 3G+ vs 4G
n°3399882
popeye0
⭐⭐⭐⭐⭐
Posté le 31-05-2021 à 15:11:14  profilanswer
 


Merci Kerri.

Kerri a écrit :

Sur le dernier, ransomdefender est évoqué, donc j’ai tendance à penser que c’est bien lui qui te crées ces fichiers.


Oui, tout à fait.
Je l'ai désinstallé.


---------------
✖ Escroc de haut vol de père en fils depuis 1848. ✖
n°3399889
AmigaOnly
Posté le 31-05-2021 à 16:00:41  profilanswer
 

leroimerlinbis a écrit :


je n'arrive pas à ouvrir Malekal, le site bloque les bloqueurs de pub.
Même en stoppant ublock, ça va pas. Ni sur FF, ni Edge, ni vivaldi
c'est un peu lourd..


 
Le soucis doit être ailleurs...
 
J'ai 2 tonnes de protections et bloqueurs de pubs et ca passe (et j'utilise plusieurs navigateurs)
 
Sur le site : Aucune pub n'apparait
Sur le forum :  
Si je suis en mode déconnecté j'ai un bandeau qui me dit que j'ai un bloqueur de pubs
Si je suis en mode connecté , rien n'apparait
 
Par contre si plusieurs bloqueurs sont actifs, cela peut bloquer une page (et pas que sur Malekal)
 
Ensuite tout à été revu depuis fin avril pour être conforme à la CNIL (y avait un zorro du web qui n'arretait pas de balancer des messages pour dire qu'il dénoncerait le site à la CNIL alors qu'il n'y a rien)  
Même le google analytics a été remplacé par piwik


---------------
Only Amiga is... Heu.. was possible :-)
n°3399891
AmigaOnly
Posté le 31-05-2021 à 16:03:52  profilanswer
 

popeye0 a écrit :


Merci Kerri.


 

popeye0 a écrit :


Oui, tout à fait.
Je l'ai désinstallé.


 
Cela me rappelle (COMODO je crois) qui plaçait des fichiers sur les unités (et sur PC en profitait pour modifier une ligne du registre pour faire croire que ce n'était pas la peine d'installer un ransomware, car il y en avait déjà un)


---------------
Only Amiga is... Heu.. was possible :-)
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  [RESOLU] suspicion de virus ?

 

Sujets relatifs
Suspicion de virus/malware/hackingsuspicion de virus, ou de MAJ perturbant le clavier ou pb de matos?
Suspicion Virus.Suspicion de virus ou malware windows 10
suspicion de virus qui crée des raccourcissuspicion de virus
Suspicion de viruspc qui ralentit/suspicion de virus
suspicion de virus demane votre avis[RESOLUE]suspicion de virus
Plus de sujets relatifs à : [RESOLU] suspicion de virus ?


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR