Colis-info-2.zip : infection possible du PC ou du

Conydoll Messages postés 10 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai reçu un mail frauduleux provenant soi-disant de Mondial Relay.

Malheureusement, croyant d'abord que c'était simplement une erreur, j'ai téléchargé leur dossier zip, "colis-info-2.zip", pensant qu'il y aurait des informations sur le destinataire concerné, afin de signaler l'erreur de destinataire à Mondial Relay.

Donc, j'ai ce fichier sur mon ordinateur, et lorsque j'ai cliqué dessus, il s'est ouvert avec VLC. Rien ne s'est passé.

J'ai ensuite supprimé ce dossier "colis-info-2.zip", réalisant que c'était une possible source d'infection pour mon ordinateur. J'ai lancé une analyse complète avec mon anti-virus AVG qui n'a rien détecté. Mais cela n'est peut-être pas suffisant.

Ce dossier de 8 ko a t-il pu infecter mon PC ou mon navigateur même si je ne l'ai pas dézippé ni exécuté? Comment vérifier de manière plus fine s'il n'y a aucun malware sur mon PC et si mon navigateur est OK?
Il n'y a aucun symptôme pour l'instant, mais j'ai lu par ailleurs que cela pouvait également par la suite infecter les clés USB.

Merci d'avance pour vos réponses!

Conydoll

2 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Il faut commencer par désinfection l'ordinateur :

    Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST,
    Attendre la fin du scan, un message indique que l'analyse est terminée.

    Trois rapports FRST seront générés :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
    En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok l'ordinateur n'est pas touché.

    Pour nettoyer les disques amovibles des virus USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

    1°) Remediate VBS Worm

    Brancher toutes les clefs USB et autres périphériques amovibles.
    • Télécharger Remediate VBS Worm
    • Lancer l'option B
    • Taper la lettre de la clef USB, par exemple, E et entrée

    [color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
    • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

    Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

    ~~

    Pour te protéger des infections amovibles type Wscript (Windows Script Host)
    Télécharger et installer Marmiton
    Clic sur Désactiver au niveau de Windows Script Host.
    Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

    0
    1. Conydoll Messages postés 10 Statut Membre
       
      Super pour le PC, merci.

      Voici le rapport de l'analyse des disques amovibles
      Rem-VBSworm v8.0

      =========== - General info:

      Running under: Antoine on profile: C:\Documents and Settings\Antoine
      Computer name: NOUVEAU-PC

      Operating System:
      Patientez pendant l'installation de WMIC.Caption

      Microsoft Windows XP Professionnel

      Boot Mode:
      Normal boot

      Antivirus software installed:

      Executed on: 11/04/2018 @ 16:52:32,66

      =========== - Drive info:

      Listing currently attached drives:
      Caption Description VolumeName

      C: Disque fixe local

      D: Disque fixe local HP_RECOVERY

      E: Disque CD-ROM

      F: Disque amovible

      G: Disque amovible

      H: Disque amovible

      I: Disque amovible

      J: Disque amovible PNY UFD 3.0



      Physical drives information:
      :
      :
      :

      =========== - Disinfection info:


      =========== - USB drive info:

      j: selected

      USB Device ID:
      IDE\DISKWDC_WD2500AAJS-60M0A0___________________02.03E02\5&2359C0F4&0&0.0.0

      USBSTOR\DISK&VEN_GENERIC-&PROD_COMPACT_FLASH&REV_1.00\20021111153705700&0

      USBSTOR\DISK&VEN_GENERIC-&PROD_MS/MS-PRO&REV_1.00\20021111153705700&3

      USBSTOR\DISK&VEN_GENERIC-&PROD_SD/MMC&REV_1.00\20021111153705700&2

      USBSTOR\DISK&VEN_GENERIC-&PROD_SM/XD-PICTURE&REV_1.00\20021111153705700&1

      USBSTOR\DISK&VEN_PNY&PROD_USB_3.0_FD&REV_PMAP\0701523126279229&0



      WARNING... Possible Andromeda/Gamarue infection...
      Listing root contents of j:
      Le volume dans le lecteur J s'appelle PNY UFD 3.0
      Le num‚ro de s‚rie du volume est 1452-54EE

      R‚pertoire de J:\

      03/10/2017 21:33 <REP> m‚diatJean-Monnet
      04/10/2017 19:34 <REP> nouvelles photos
      07/12/2017 15:23 13ÿ751 lien compteur de passage.docx
      17/12/2017 15:42 10ÿ788ÿ673 docRenduVersion5.docx
      21/12/2017 23:19 <REP> Devoir4janvier
      07/01/2018 19:29 <REP> photos fa‡ade
      07/01/2018 19:30 <REP> visite m‚diathŠque
      07/01/2018 19:30 <REP> expos‚ cloud
      18/01/2018 17:54 <REP> Grande Guerre Femmes France
      31/01/2018 11:23 228ÿ944 Devoir UNIMARC Gon‡alo DUARTE.docx
      08/03/2018 16:19 4ÿ096 ._.Trashes
      08/03/2018 16:19 <REP> .Trashes
      08/03/2018 16:19 <REP> .Spotlight-V100
      08/03/2018 16:20 <REP> Dossier commerce ‚quitable
      08/03/2018 16:26 4ÿ096 ._.TemporaryItems
      08/03/2018 16:26 <REP> .TemporaryItems
      12/03/2018 17:14 19ÿ105 Nouveaux docs.rdf
      12/03/2018 17:23 13ÿ263 Intro tout ‡a.docx
      12/03/2018 17:29 542ÿ734 zotzot.rdf
      22/03/2018 15:36 <REP> Supports
      09/04/2018 11:40 11ÿ962 Planning bibliothŠque.docx
      9 fichier(s) 11ÿ626ÿ624 octets
      13 R‚p(s) 15ÿ614ÿ361ÿ600 octets libres

      USB drive disinfected and files unhidden!!
      0
    2. Conydoll Messages postés 10 Statut Membre
       
      Je voudrais faire le nettoyage de l'ordinateur avec l'option A comme indiqué dans le tuto, mais Remediate VBS Worm reste sur ce message :

      "ERREUR :
      Code = 0x8004100e
      Description = Espace de noms non valide
      Facilité = WMI"
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Conydoll Messages postés 10 Statut Membre
         
        non oublie l'option A, ça n'est pas utile.
        du coup je pense que c'est bon.
        0
    3. Conydoll Messages postés 10 Statut Membre
       
      Merci!!
      Je vais de nouveau faire le nettoyage de ma clé USB car elle a été insérée dans les ordinateurs à mon université.
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Conydoll Messages postés 10 Statut Membre
         
        ok mais elle n'a pas l'air infectée
        0