[RESOLU] suspicion de virus ?

suspicion de virus ? [RESOLU] - Virus/Spywares - Windows & Software

Marsh Posté le 30-05-2021 à 14:53:26    

Bonjour à tous,
Je viens de voir que j'ai un dossier caché !!!#1(6380097) qui contient deux fichiers cachés qui me sont totalement inconnu et illisible à la racine de la mémoire interne de mon GPS TomTom Go 950 et également à la racine de la carte mémoire SD placé dans ce GPS :
!@#(68736522).docx => www.virustotal.com/gui/file/0eabce [...] a5edfae01e
!@#(68736522).jpg => quand j'uploade ce fichier !@#(68736522).jpg virustotal me redirige vers cette page de résultat d'analyse qu'est celle du fichier !@#(68736522).docx : www.virustotal.com/gui/file/0eabce [...] a5edfae01e
Je n'ai donc pas le résultat de l'analyse de virustotal pour ce fichier !@#(68736522).jpg
 
Les 2 fichiers font exactement la même taille : 1 048 576 octets et la même somme de contrôle : sha1 : 5c05f250df64cdf31892dd0fe8d6c2bb365bbede
C'est bizarre :heink:
 
 
https://zupimages.net/up/21/21/na2n.jpg
 
Le fichier !@#(68736522).docx est illisible dans Word.
Le fichier !@#(68736522).jpg est illisible dans la visionneuse de Windows 10.0.19043.985 et dans Paint :
https://zupimages.net/up/21/21/ldb2.jpg
https://zupimages.net/up/21/21/cffb.jpg
 
En même temps, ce n'est pas recommandé d'ouvrir des fichiers qui me sont totalement inconnus :D
Contrairement à ce que je fais [:nul]


Message édité par popeye0 le 31-05-2021 à 15:17:47

---------------
✖ => Escroc de haut vol  et rentier de père en fils depuis 1848. <= ✖
Reply

Marsh Posté le 30-05-2021 à 14:53:26   

Reply

Marsh Posté le 30-05-2021 à 15:28:05    

Le DOCX, c’est du ZIP. Donc, à la limite, tu peux tenter de renommer ce fichier pour voir son contenu, si ça marche pas avec Word.

Reply

Marsh Posté le 30-05-2021 à 17:25:03    

J'essaye et je te redis [:clooney7]

 

edit : résultat et réponse de Windows 10 :
https://zupimages.net/up/21/21/gqs4.jpg


Message édité par popeye0 le 30-05-2021 à 21:39:51

---------------
✖ => Escroc de haut vol  et rentier de père en fils depuis 1848. <= ✖
Reply

Marsh Posté le 30-05-2021 à 18:02:45    

Un virus sur un gps tomtom ?

Reply

Marsh Posté le 30-05-2021 à 21:36:31    

nnwldx a écrit :

Un virus sur un gps tomtom ?


Bah oui, tout à fait possible, pas pour attaquer le  GPS TomTom mais par exemple Windows puisque la mémoire interne des anciens TomTom + la carte mémoire SD, c'est du FAT32.


---------------
✖ => Escroc de haut vol  et rentier de père en fils depuis 1848. <= ✖
Reply

Marsh Posté le 30-05-2021 à 21:46:04    

Oui, il y avait eu un virus en 2007 qui attaquait les gps tomtom.
Aujourd'hui, je ne vais pas dire que plus personne utilise les gps tomtom.
Mais bon les utilisateurs ne sont plus trés nombreux et il y a peu de chance que quelqu'un crée un virus pour ce produit.

Reply

Marsh Posté le 30-05-2021 à 23:16:01    

Bon, apparemment, le dossier caché et les 2 fichiers que j'ai nommé dans mon 1er post, reviennent à la racine de la mémoire interne de mon GPS TomTom Go 950 et également à la racine de la carte mémoire SD placé dans ce GPS dès que je branche le GPS au PC en USB.


---------------
✖ => Escroc de haut vol  et rentier de père en fils depuis 1848. <= ✖
Reply

Marsh Posté le 31-05-2021 à 08:01:42    

Essaye de choper les mimetype de tes deux fichiers.


---------------
Décentralisons Internet-Bépo-Troll Bingo - "Pour adoucir le mélange, pressez trois quartiers d’orange !"
Reply

Marsh Posté le 31-05-2021 à 09:33:10    

Mimetype ?
J'ai googlé mais je ne vois pas comment faire ça ?
Tu peux m'expliquer stp ?


---------------
✖ => Escroc de haut vol  et rentier de père en fils depuis 1848. <= ✖
Reply

Marsh Posté le 31-05-2021 à 09:53:05    

Le mimetype est la véritable nature de ton fichier, indépendamment de ce que racontes son extension.
C’est une information se trouvant dans l’entête dudit fichier.
---
Je ne suis pas sous Windows, donc je ne sais pas.
J’ai fait une recherche en partant du principe que tu étais sous Win10 (le dernier sorti, donc).
Apparemment, tu peux le faire avec un script Python. La réponse est TRÈS vieille, donc je ne peux pas t’affirmer que ça va marcher out of the box.


---------------
Décentralisons Internet-Bépo-Troll Bingo - "Pour adoucir le mélange, pressez trois quartiers d’orange !"
Reply

Marsh Posté le 31-05-2021 à 09:53:05   

Reply

Marsh Posté le 31-05-2021 à 10:12:26    

Je viens de voir que ce dossier caché !!!#1(6380097) qui contient deux fichiers cachés !@#(68736522).docx et !@#(68736522).jpg est également présent à la racine d'un de mes disques dur externe : Transcend StoreJet TS2TSJ25H3B externe Festplatte 2TB
 
Si je supprime ce dossier caché, déconnecte mon disque dur externe du pc et ensuite reconnecte mon disque dur externe, le ce dossier caché revient à la racine.


Message édité par popeye0 le 31-05-2021 à 11:55:02

---------------
✖ => Escroc de haut vol  et rentier de père en fils depuis 1848. <= ✖
Reply

Marsh Posté le 31-05-2021 à 11:52:12    


1) J'ai retiré le paramètre caché au dossier + les 2 fichiers
2) J'ai compressé le tout dans hfr.rar
3) Pourquoi ce nom de fichier hfr.rar ? Car avec le nom de fichier !!!#1(6380097).rar ça ne passait pas dans https://pjjoint.malekal.com
J'avais le message d'erreur suivant :

Citation :

Vous ne pouvez pas uploader de fichiers dont la taille est supérieure à : 20000 Ko ou dont la longueur du nom est supérieur à 50 caractères et qui contient des caractères spéciaux.


https://zupimages.net/up/21/22/ivuw.jpg
 
Voici :
https://pjjoint.malekal.com/files.p [...] 5m10q14g14
Méfiez-vous quand même de cette maÿrde. À utilisez à vos risques et périls [:cosmoschtroumpf]
 
J'espère qu'il n'y a pas mes données personnelles dans ces 2 fichiers que je vous partage :D


Message édité par popeye0 le 31-05-2021 à 15:54:19

---------------
✖ => Escroc de haut vol  et rentier de père en fils depuis 1848. <= ✖
Reply

Marsh Posté le 31-05-2021 à 12:10:28    


je n'arrive pas à ouvrir Malekal, le site bloque les bloqueurs de pub.
Même en stoppant ublock, ça va pas. Ni sur FF, ni Edge, ni vivaldi
c'est un peu lourd..

Reply

Marsh Posté le 31-05-2021 à 12:18:54    

Bonjour,
J’ai ouvert les deux fichiers avec un éditeur de texte, il n’y a qu’une seule ligne:

Citation :

This is a RansomZero's decoy file


Une analyse antivirus (virus total) n’a rien donné.
Je pense que c’est un fichier test d’un logiciel pour savoir si tu es infecté par un ransomware (en effet, un ransomware va cibler en priorité tes fichiers doc et jpg pour les chiffrer). Pas de danger de mon point de vue, mais il faudrait identifier le logiciel qui les a crées (et à mon avis il n’est pas sur le tomtom).
En cherchant la ligne dans google, on trouve quelques mentions sur des sites coréens de gens ayant les mêmes fichiers que toi.

Message cité 1 fois
Message édité par Kerri le 31-05-2021 à 12:29:08

---------------
Liste de téléphones compatibles 4g :) Comparatif débit 3G+ vs 4G
Reply

Marsh Posté le 31-05-2021 à 13:01:44    

Je confirme, ce sont bien deux fichiers texte.

Code :
  1. [moi@chezwam] mimetype -M \!\@#\(68736522\).jpg
  2. !@#(68736522).jpg: text/plain


Code :
  1. [moi@chezwam] mimetype -M \!\@#\(68736522\).docx
  2. !@#(68736522).docx: text/plain


Le contenu est bien celui indiqué plus haut suivi de caractères illisibles.


Message édité par Fork Bomb le 31-05-2021 à 13:02:32

---------------
Décentralisons Internet-Bépo-Troll Bingo - "Pour adoucir le mélange, pressez trois quartiers d’orange !"
Reply

Marsh Posté le 31-05-2021 à 13:09:29    

Merci Kerri et Fork Bomb pour votre aide.

Kerri a écrit :

Pas de danger de mon point de vue, mais il faudrait identifier le logiciel qui les a crées (et à mon avis il n’est pas sur le tomtom).
En cherchant la ligne dans google, on trouve quelques mentions sur des sites coréens de gens ayant les mêmes fichiers que toi.


Ah, maintenant que tu me dis ça, logiciel + coréen, je pense savoir ce que c'est.
J'ai installé il y a quelques jours le logiciel RansomDefender 1.5.9 build 984 de l'éditeur Clonix dans mon PC.

 

https://clonix.com/en/security/ransomdefender
https://clonix.com/security/ransomdefender
www.ransomdefender.com
www.ransomdefender.com/en/download
www.microsoft.com/en-us/p/ransomde [...] zs4f6mv7q7

 

RansomDefender S/W (32bit)
SetupRansomDefender32.exe
www.ransomdefender.com/wp-content/ [...] 2e8ec0088e

 

RansomDefender S/W (64bit)
SetupRansomDefender64.exe
www.ransomdefender.com/wp-content/ [...] aa3229f2d0

 

RansomDefender_Manual_ENG_v.1.3.pdf
www.ransomdefender.com/wp-content/ [...] b65ddf4eec

 

RansomDefender_EULA_KOR.pdf
https://clonix.com/download/ransomd [...] d%ec%84%9c

 

RansomDefender_Manual_KOR_v1.8.pdf
https://clonix.com/download/ransomd [...] 4%ec%96%bc

 

https://zupimages.net/up/21/22/99py.jpg
https://zupimages.net/up/21/22/ypf0.jpg

 

Je vais désinstaller ce logiciel RansomDefender 1.5.9 build 984.

 

@Kerri : peux-tu poster les url des sites coréens stp ?

Message cité 1 fois
Message édité par popeye0 le 31-05-2021 à 15:58:48

---------------
✖ => Escroc de haut vol  et rentier de père en fils depuis 1848. <= ✖
Reply

Marsh Posté le 31-05-2021 à 15:09:52    

popeye0 a écrit :

Merci Kerri et Fork Bomb pour votre aide.


 

popeye0 a écrit :


Ah, maintenant que tu me dis ça, logiciel + coréen, je pense savoir ce que c'est.
J'ai installé il y a quelques jours RansomDefender 1.5.9 build 984 de l'éditeur Clonix dans mon PC.
https://clonix.com/en/security/ransomdefender
 
https://zupimages.net/up/21/22/99py.jpg
https://zupimages.net/up/21/22/ypf0.jpg
Je vais le désinstaller.
 
@Kerri : peux-tu poster les url des sites coréens stp ?


En voici quelques uns:
https://blog.naver.com/PostView.nhn [...] 2107433532
https://m.blog.naver.com/PostView.n [...] 0742607118
https://twitter.com/algorithmkcm/st [...] 1120096256
 
Sur le dernier, ransomdefender est évoqué, donc j’ai tendance à penser que c’est bien lui qui te crées ces fichiers.


---------------
Liste de téléphones compatibles 4g :) Comparatif débit 3G+ vs 4G
Reply

Marsh Posté le 31-05-2021 à 15:11:14    


Merci Kerri.

Kerri a écrit :

Sur le dernier, ransomdefender est évoqué, donc j’ai tendance à penser que c’est bien lui qui te crées ces fichiers.


Oui, tout à fait.
Je l'ai désinstallé.


---------------
✖ => Escroc de haut vol  et rentier de père en fils depuis 1848. <= ✖
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed