suspicion de virus ? [RESOLU] - Virus/Spywares - Windows & Software
Marsh Posté le 30-05-2021 à 15:28:05
Le DOCX, c’est du ZIP. Donc, à la limite, tu peux tenter de renommer ce fichier pour voir son contenu, si ça marche pas avec Word.
Marsh Posté le 30-05-2021 à 17:25:03
J'essaye et je te redis
edit : résultat et réponse de Windows 10 :
Marsh Posté le 30-05-2021 à 21:36:31
nnwldx a écrit : Un virus sur un gps tomtom ? |
Bah oui, tout à fait possible, pas pour attaquer le GPS TomTom mais par exemple Windows puisque la mémoire interne des anciens TomTom + la carte mémoire SD, c'est du FAT32.
Marsh Posté le 30-05-2021 à 21:46:04
Oui, il y avait eu un virus en 2007 qui attaquait les gps tomtom.
Aujourd'hui, je ne vais pas dire que plus personne utilise les gps tomtom.
Mais bon les utilisateurs ne sont plus trés nombreux et il y a peu de chance que quelqu'un crée un virus pour ce produit.
Marsh Posté le 30-05-2021 à 23:16:01
Bon, apparemment, le dossier caché et les 2 fichiers que j'ai nommé dans mon 1er post, reviennent à la racine de la mémoire interne de mon GPS TomTom Go 950 et également à la racine de la carte mémoire SD placé dans ce GPS dès que je branche le GPS au PC en USB.
Marsh Posté le 31-05-2021 à 08:01:42
Essaye de choper les mimetype de tes deux fichiers.
Marsh Posté le 31-05-2021 à 09:33:10
Mimetype ?
J'ai googlé mais je ne vois pas comment faire ça ?
Tu peux m'expliquer stp ?
Marsh Posté le 31-05-2021 à 09:53:05
Le mimetype est la véritable nature de ton fichier, indépendamment de ce que racontes son extension.
C’est une information se trouvant dans l’entête dudit fichier.
---
Je ne suis pas sous Windows, donc je ne sais pas.
J’ai fait une recherche en partant du principe que tu étais sous Win10 (le dernier sorti, donc).
Apparemment, tu peux le faire avec un script Python. La réponse est TRÈS vieille, donc je ne peux pas t’affirmer que ça va marcher out of the box.
Marsh Posté le 31-05-2021 à 10:12:26
Je viens de voir que ce dossier caché !!!#1(6380097) qui contient deux fichiers cachés !@#(68736522).docx et !@#(68736522).jpg est également présent à la racine d'un de mes disques dur externe : Transcend StoreJet TS2TSJ25H3B externe Festplatte 2TB
Si je supprime ce dossier caché, déconnecte mon disque dur externe du pc et ensuite reconnecte mon disque dur externe, le ce dossier caché revient à la racine.
Marsh Posté le 31-05-2021 à 11:52:12
1) J'ai retiré le paramètre caché au dossier + les 2 fichiers
2) J'ai compressé le tout dans hfr.rar
3) Pourquoi ce nom de fichier hfr.rar ? Car avec le nom de fichier !!!#1(6380097).rar ça ne passait pas dans https://pjjoint.malekal.com
J'avais le message d'erreur suivant :
Citation : Vous ne pouvez pas uploader de fichiers dont la taille est supérieure à : 20000 Ko ou dont la longueur du nom est supérieur à 50 caractères et qui contient des caractères spéciaux. |
Voici :
https://pjjoint.malekal.com/files.p [...] 5m10q14g14
Méfiez-vous quand même de cette maÿrde. À utilisez à vos risques et périls
J'espère qu'il n'y a pas mes données personnelles dans ces 2 fichiers que je vous partage
Marsh Posté le 31-05-2021 à 12:10:28
je n'arrive pas à ouvrir Malekal, le site bloque les bloqueurs de pub.
Même en stoppant ublock, ça va pas. Ni sur FF, ni Edge, ni vivaldi
c'est un peu lourd..
Marsh Posté le 31-05-2021 à 12:18:54
Bonjour,
J’ai ouvert les deux fichiers avec un éditeur de texte, il n’y a qu’une seule ligne:
Citation : This is a RansomZero's decoy file |
Une analyse antivirus (virus total) n’a rien donné.
Je pense que c’est un fichier test d’un logiciel pour savoir si tu es infecté par un ransomware (en effet, un ransomware va cibler en priorité tes fichiers doc et jpg pour les chiffrer). Pas de danger de mon point de vue, mais il faudrait identifier le logiciel qui les a crées (et à mon avis il n’est pas sur le tomtom).
En cherchant la ligne dans google, on trouve quelques mentions sur des sites coréens de gens ayant les mêmes fichiers que toi.
Marsh Posté le 31-05-2021 à 13:01:44
Je confirme, ce sont bien deux fichiers texte.
Code :
|
Code :
|
Le contenu est bien celui indiqué plus haut suivi de caractères illisibles.
Marsh Posté le 31-05-2021 à 13:09:29
Merci Kerri et Fork Bomb pour votre aide.
Kerri a écrit : Pas de danger de mon point de vue, mais il faudrait identifier le logiciel qui les a crées (et à mon avis il n’est pas sur le tomtom). |
Ah, maintenant que tu me dis ça, logiciel + coréen, je pense savoir ce que c'est.
J'ai installé il y a quelques jours le logiciel RansomDefender 1.5.9 build 984 de l'éditeur Clonix dans mon PC.
https://clonix.com/en/security/ransomdefender
https://clonix.com/security/ransomdefender
www.ransomdefender.com
www.ransomdefender.com/en/download
www.microsoft.com/en-us/p/ransomde [...] zs4f6mv7q7
RansomDefender S/W (32bit)
SetupRansomDefender32.exe
www.ransomdefender.com/wp-content/ [...] 2e8ec0088e
RansomDefender S/W (64bit)
SetupRansomDefender64.exe
www.ransomdefender.com/wp-content/ [...] aa3229f2d0
RansomDefender_Manual_ENG_v.1.3.pdf
www.ransomdefender.com/wp-content/ [...] b65ddf4eec
RansomDefender_EULA_KOR.pdf
https://clonix.com/download/ransomd [...] d%ec%84%9c
RansomDefender_Manual_KOR_v1.8.pdf
https://clonix.com/download/ransomd [...] 4%ec%96%bc
Je vais désinstaller ce logiciel RansomDefender 1.5.9 build 984.
@Kerri : peux-tu poster les url des sites coréens stp ?
Marsh Posté le 31-05-2021 à 15:09:52
popeye0 a écrit : Merci Kerri et Fork Bomb pour votre aide. |
popeye0 a écrit : |
En voici quelques uns:
https://blog.naver.com/PostView.nhn [...] 2107433532
https://m.blog.naver.com/PostView.n [...] 0742607118
https://twitter.com/algorithmkcm/st [...] 1120096256
Sur le dernier, ransomdefender est évoqué, donc j’ai tendance à penser que c’est bien lui qui te crées ces fichiers.
Marsh Posté le 31-05-2021 à 15:11:14
Kerri a écrit : En voici quelques uns: |
Merci Kerri.
Kerri a écrit : Sur le dernier, ransomdefender est évoqué, donc j’ai tendance à penser que c’est bien lui qui te crées ces fichiers. |
Oui, tout à fait.
Je l'ai désinstallé.
Marsh Posté le 30-05-2021 à 14:53:26
Bonjour à tous,
Je viens de voir que j'ai un dossier caché !!!#1(6380097) qui contient deux fichiers cachés qui me sont totalement inconnu et illisible à la racine de la mémoire interne de mon GPS TomTom Go 950 et également à la racine de la carte mémoire SD placé dans ce GPS :
!@#(68736522).docx => www.virustotal.com/gui/file/0eabce [...] a5edfae01e
!@#(68736522).jpg => quand j'uploade ce fichier !@#(68736522).jpg virustotal me redirige vers cette page de résultat d'analyse qu'est celle du fichier !@#(68736522).docx : www.virustotal.com/gui/file/0eabce [...] a5edfae01e
Je n'ai donc pas le résultat de l'analyse de virustotal pour ce fichier !@#(68736522).jpg
Les 2 fichiers font exactement la même taille : 1 048 576 octets et la même somme de contrôle : sha1 : 5c05f250df64cdf31892dd0fe8d6c2bb365bbede
C'est bizarre
Le fichier !@#(68736522).docx est illisible dans Word.
Le fichier !@#(68736522).jpg est illisible dans la visionneuse de Windows 10.0.19043.985 et dans Paint :
En même temps, ce n'est pas recommandé d'ouvrir des fichiers qui me sont totalement inconnus
Contrairement à ce que je fais
Message édité par popeye0 le 31-05-2021 à 15:17:47
---------------
✖ => Escroc de haut vol et rentier de père en fils depuis 1848. <= ✖