mail bizarre impossible à éliminer

[abracadabra75]

Bonjour.
Revenant de déplacement, je collecte environ 1800 spams.
Ce n'est pas un problème: Thunderbird me les a envoyés dans le dossier 'Indésirables', et expédiés illico à la poubelle. Mais....
ces spams étaient précédés de mails bizarres(environ 20): pas de sujet, pas de nom d' expéditeur, date de création 01/01/1970 à 01:00... et vides (semble-t-il).
Pour les éliminer, il m' a fallu cliquer dessus un à un et cliquer ensuite sur 'Supprimer' (élimination par sélection totale inopérante).
ça a marché sauf pour le dernier qui lui reste dans le dossier, sans pouvoir l' éradiquer.
Autre bizarrerie: le dossier indique qu' il y a 2 indésirables, alors qu' il n' en apparait qu' un....

Alors? malware ou pas malware???

Avant de penser à effectuer la procédure en cas d' infection, j' ai fait un nettoyage avec Ccleaner, Spybot, et Ad-Aware. Sans résultat.
Je n' ai pas effectué de scan Avast.
Mon Firewall est Zone alarm avec bouclier (je ne sais plus son nom) désactivé.

J' ai alors effectué la procédure préliminaire, ATF-Cleaner, DiagHelp et Hijackthis.
J' ai voulu charger rooulkit, par curiosité, et suis tombé sur une page écrite en caractères cyrilliques, sans doute en russe? L' adresse serait-elle erronée?

Merci de jeter un coup d' oeil aux pj.
A+
-----

[abracadabra75]

Je reviens à la charge:
maintenant le nombre de mails ineffaçables a augmenté, est passé de 2 à 7 en deux jours.
De plus le dossier 'Indésirables' ne peut pas être supprimé.

Il y a bien quelque chose de bizarre.

Si quelqu' un a une idée, merci d' avance.
A+

[invitebf5cd8b2]

Bonjour abracadabra,

Je ne vois rien de suspect dans tes rapports. On va pousser un peu la détection :

Télécharge Dr Web Cure it

• Double clique sur drweb-cureit.exe puis sur Analyse. Accepte le scan rapide en cliquant sur Ok.
• Le programme va scanner la mémoire ton pc. Clique sur Oui pour supprimer ce qu'il te trouve. Cela ne devrai pas prendre longtemps.
• Une fois cela fait, clique sur Tous les disques durs.
• Clique sur la flèche verte à droite, en dessous du logo. Le scan va démarrer.
• Choisis "Oui pour tous" s'il te demande de nettoyer/déplacer (cure/move) les fichiers trouvés.
• Une fois le scan finis, tu devrais pouvoir cliquer sur cette icône =>
• Clique ensuite sur l'icône suivant et sélectionne "Move incurable".
  
• Une fois cela fait, fait Fichier - Enregistrer le rapport.
• Sauvegarde le rapport sur ton Bureau. Il devrait se nommer DrWeb.csv.
• Redemarre ton ordinateur, car des fichiers peuvent necessiter un redemarrage pour être supprimés.
• Poste le contenu du rapport en pièces jointes (pense à renommer DrWeb.csv en DrWeb.txt).

J' ai voulu charger rooulkit, par curiosité, et suis tombé sur une page écrite en caractères cyrilliques, sans doute en russe? L' adresse serait-elle erronée?

Il ne vaut mieux pas utiliser un outil de sécurité "par curiosité". Ces outils sont puissants et pourraient endommager ton pc.

Le lien est correct, et est direct. Je ne vois pas comment tu as pu atterir sur la page du site, le lien renvoyant sur l'archive elle même.

Réessaye.

Bonne journée
Cyrrus

[abracadabra75]

Merci Cyrrus.
Il y a bien un troyen....
Ce petit vicieux (autant que je puisse en juger, n' en étant pas vraiment pas capable) se logerait dans les outils de maintenance, spybot et toolkit?

Je ne suis pas encore allé voir si les mails bizarres étaient encore là, par prudence peut-être exagére?

Quant à roolkit, j' ai récidivé (non pas pour exécuter l' outil, mais uniquement pour voir la page de présentation) et suis retombé toujours sur cette page en cyrillique (et sans charger l' outil). Pour y arriver, je sus passé par la page 5 du dossier.

Ci-joint la pj DrWeb.

Merci encore
A+

Ps. pour info, mon disque D est un clone de sauvegarde du disque C, exécuté il y a environ 15 jours.

[A voir en vidéo sur Futura]

[abracadabra75]

Je viens de lancer Thunderbird: les mails sont toujours là, ineffaçables.

[Stan_94]

Bonjour,

je veux juste dire que moi aussi je tombe sur la page du site narod.yandex.ru permettant de télécharger le fichier rar, mais pas de le downloader directement.
Et comme on ne comprend pas ce qui est écrit, ça ne donne pas envie de cliquer sur lien de télechargement...

[invitebf5cd8b2]

Bonsoir Stan,

Ce n'est pas la bonne page...et je ne comprends pas :

Le lien direct est celui ci => http://rkunhooker1.narod.ru/rkunhook...31.150.420.rar

Et si vous faites un clic droit - Enregistrer la cible sous ?

La page dont tu me parles n'a aucun rapport avec le domaine de la page de RkU....la page de rku étant sensiblement différente et en anglais.

Bonne soirée
Cyrrus

[abracadabra75]

Bonsoir Cyrrus.
Ce lien me dirige aussi sur la page russe.
Et en faisant 'Enregistrer sous', winrar répond que le fichier n'est pas .rar ou corrompu...
Voici le lien de la page obtenue semble-t-il par redirection?
http://narod.yandex.ru/100.xhtml?rku...31.150.420.rar

Et pour le mail bizarre, as-tu eu le temps de voir le pb?
A+

[invitec35bc9ea]

bonsoir,
juste par curiosité, j'ai cliqué sur le lien de Cyrrus. il ne s'ajit en effet pas du lien direct.
peut etre celui là:

http://rkunhooker1.narod.ru/rkunhook...31.150.420.rar

[invitebf5cd8b2]

Salut einstein,

j'ai cliqué sur le lien de Cyrrus. il ne s'ajit en effet pas du lien direct.

...je bigle ou quoi ?? Nos deux liens sont les mêmes...

En attendant de comprendre le pourquoi du comment, Igor l'a mis sur sa page :

http://perso.orange.fr/igor51/RkU.rar

...mais honnêtement je ne comprends pas..ni Igor ni Synthexe n'ont de problème...

Désolé de dériver un peu du sujet de départ. Je ne pense pas que cela vienne d'une bestiole; Je regarderai plus en profondeur les logs plus tard.

Cyrrus

[invitec35bc9ea]

rebonsoir,
le lien que j'ai inscrit est:

ttp://rkunhooker1.narod.ru/rkunhooker_v3/RkU3.31.150.420.rar

le tien aussi surement.

mais en crliquant dessus, on est dirigé vers:

ttp://narod.yandex.ru/100.xhtml?rkunhooker1.narod.ru/rkunhooker_v3/RkU3.31.150.420.rar

PS: j'ai enlevé le "h", pour que tu puisse voir le chemin.

[Stan_94]

Bonsoir Stan,

Ce n'est pas la bonne page...et je ne comprends pas :

Le lien direct est celui ci => http://rkunhooker1.narod.ru/rkunhook...31.150.420.rar

Et si vous faites un clic droit - Enregistrer la cible sous ?

La page dont tu me parles n'a aucun rapport avec le domaine de la page de RkU....la page de rku étant sensiblement différente et en anglais.

Bonne soirée
Cyrrus

Et bien, le lien direct m'améne toujour sur la page russe, et enregistrer la cible sous demande l'enregistrement du fichier RkU3.31.150.420.rar...

Bon, c'est vrai qu'on pollue un peu ce post, mais en mettant www devant rkunhooker1, ça marche mieux !!!

[abracadabra75]

Comme je suis têtu, que le 1er DrWebCureIt a éliminé 'quelque chose', que ma bizarrerie est encore là, j' ai refait une 2ème exécution de ce cher DrWebC., cette fois ci en mode sans échec. (Je pense que ça ne peut pas nuire).
Et il a encore trouvé 'quelque chose'.

Mais ma bizarrerie est toujours là....

2ème rapport en PJ.
A+

[abracadabra75]

Problème résolu:
ce mail bizarre signale que le dossier a été compacté....
Il suffit de cliquer sur 'Compacter le dossier' pour exécuter le manip inverse: apparaissent alors les vrais mails, dont on peut faire ce que l' on veut.

Merci à .... ma baguette magique.
A+

[invitebf5cd8b2]

Bonjour abracadabra,

Content que tu es trouvé la solution à ton problème, là pour le coup je n'ai pas été d'une grande aide (enfin si j'ai mis le boxon dans ton topic ).

Pour ce qu'a trouvé dr web, ce n'est pas méchant (des exe utilisés par ce que je t'ai fait utiliser, potentiellement dangereux si mit entre de mauvaises mains), on va juste nettoyer la restauration système.

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

Voilou

Bonne journée
Cyrrus