S/Danger.DoubleExtension

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 256
Inscription : 20 juil. 2010 16:47

S/Danger.DoubleExtension

Message par yoz »

Bonjour,

Ce matin mon AV (Eset endpoint) a intercepté une PJ infectée dans thunderbird.

Je n'ai pas ouvert la PJ, j'ai juste fait "afficher le code source du message", pour vérifier de chez qui il provenait, car le titre était cohérent.

Voici le message d'ESET :

Filtre IMAP;courrier électronique;de : [email protected] objet Analyse technique et spécification du projet date Thu, 24 Sep 2020 06:55:15 +0000 ;une variante de JS/Danger.DoubleExtension cheval de troie;contenait des fichiers infectés;Un événement s'est produit lors de la réception d'un e-mail par l'application : C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe

Bref, depuis je cogite un peu, un script a-t-il pu avoir le temps de se lancer ? Avec la puissance des ransomwares actuelle, je deviens parano.

Voici mes logs FRST :

- FRST : https://pjjoint.malekal.com/files.php?i ... 14p10e7e13
- Addition : https://pjjoint.malekal.com/files.php?i ... 0u7w6p11z5
- Shortcut : https://pjjoint.malekal.com/files.php?i ... 5k11b12h14

*mdp : paleo

Merci d'avance pour votre aide.

Bonne journée.

Malekal_morte
Site Admin
Site Admin
Messages : 104584
Inscription : 10 sept. 2005 13:57
Contact :

Re: S/Danger.DoubleExtension

Message par Malekal_morte »

Salut,

Bha normal, c'est le boulot de l'antivirus qui détecte et intercepte les PJ malveillantes.
Tant que tu n'ouvres pas la pièce jointe, aucun problème.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 256
Inscription : 20 juil. 2010 16:47

Re: S/Danger.DoubleExtension

Message par yoz »

Salut,

Oui je sais bien, mais on devient tellement parano en ce moment....

C'est très rare que mon AV réagisse, c'est ce qui me surprend. C'est passé à travers les autres couches empilées avant (FAI, hébergeur mail pro, firewall fortigate, OSarmor)..... Et comme on a déjà gouté à une infection crypto par JS il y a 3 ou 4 ans (heureusement avortée), je dors sur une seule oreille :)

Du coup les logs frst, tu les regardes ou pas ? J'ai fait une analyse auto sur zhplite, mais je ne sais pas si c'est fiable ?

A+

Malekal_morte
Site Admin
Site Admin
Messages : 104584
Inscription : 10 sept. 2005 13:57
Contact :

Re: S/Danger.DoubleExtension

Message par Malekal_morte »

C'est bon pour FRST, ne t'inquiètes pas.
ZHPLite, bof bof =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 256
Inscription : 20 juil. 2010 16:47

Re: S/Danger.DoubleExtension

Message par yoz »

Ok merci.

J'ai même flippé car j'ai aperçu dans process explorer un processus nommé "vmmem" qui bouffait de la mémoire. Et comme j'ai lu que les dernières versions de ransomwares commencent à être déployées dans des petites VM pour ne pas attirer l'attention, j'ai commencé à douter. Mais en fait le processus "vmmem" était lié à la sandbox de W10. Après une désinstallation et un reboot le proc avait disparu.

Une dernière question Mak, à quoi correspond cette entrée ? Car bizarrement ce fichier host.ics a été modifié ce matin à 10h22 ???

==================== Hosts contenu: =========================

2020-02-25 14:45 - 2020-09-24 10:22 - 000000527 _____ C:\WINDOWS\system32\drivers\etc\hosts.ics
172.19.170.45 a38a86d5-aa27-4ff7-8ab3-93cecde0301b.mshome.net # 2020 10 4 1 8 22 4 234
172.19.160.1 XXXX.mshome.net # 2025 9 2 23 8 22 4 234
687

Malekal_morte
Site Admin
Site Admin
Messages : 104584
Inscription : 10 sept. 2005 13:57
Contact :

Re: S/Danger.DoubleExtension

Message par Malekal_morte »

aux serveurs Microsoft à priori.
C'est peut-être un soft anti-télémétrie qui l'a mis.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »