Aide desinfection trojan html phish

[WhyMite]

Bonjour,

En voulant me connecter au serveur mail pro de chez moi (via thunderbird), j'ai contracté un cheval de troie apparemment localisé dans mon fichier inbox.
Détecté par par windows defender et d'après l'historique, le cheval de troie est parfois en statut "mis en quarantaine" et parfois en statut "abandonné"
J'ai tenté windows defender offline : sans succès.
J'ai tenté de booter windows def avec clé usb : sans succès
J'ai fait de multiples scans complets - dont eset online - et on ne me trouve rien. Mais vu la lenteur de la bête (qui n'était déjà pas bien aidée), je ne crois pas à l'erreur d'affichage. Surtout, quand j'essaie de supprimer définitivement, le seul choix qui m'apparaît est "activer".
Je serais super heureuse de me tromper

Mes fichiers FRST sont prêts, merci pour votre aide.

WhyMite

[angelique]

Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[Malekal_morte]

Salut

Il faut supprimer le mail à l'origine de la détection.

[WhyMite]

Hello,

Je me reconnecterai juste après la vérif (des fois qu'il y ait bcp de choses à dégager, parce que mon pc est vraiment très ralenti)

Voici les liens générés :
https://pjjoint.malekal.com/files.php?i ... 0z14e13l12
https://pjjoint.malekal.com/files.php?i ... 11v7l11z12

Merci

[WhyMite]

Alors je me suis connectée au serveur : il m'est malheureusement impossible de supprimer quoi que ce soit...
- De Thunderbird, je ne peux pas traquer et/ou supprimer les indésirables ou mettre un quelconque mail dans la corbeille.
- Quand j'enfonce la touche supprimer il ne se passe rien ou les mails n'apparaissent plus en gras, comme si je les avais consultés (en revanche je peux charger mes nouveaux mails)
- Dans l'historique de menace Windows Defender, j'ai à la date d'aujourd'hui, 2 menaces repérées dont le statut est affiché actif

Du coup j'attends vos avis. Merci pour votre aide.

[angelique]

Le rapport FRST.txt est incomplet.

Addition.txt nous renseigne de ton événement dans les messages reçu de Thunderbird (Inbox):

C:\Users\mithy\AppData\Roaming\Thunderbird\Profiles\4xsg4rp4.default\Mail\cigalon.cogitel-forum.fr\Inbox

Ton message est la dedans , supprime le

Exécuter➯%appdata%

ouvrir Roaming\Thunderbird\Profiles\4xsg4rp4.default\Mail\cigalon.cogitel-forum.fr\Inbox avec un éditeur texte

Le message reçu commence par "From - date heure ****", suffit de supprimer cette partie du texte, celui que tu ne peux pas supprimer!

Tu vas regarder et tu vas comprendre, voir Vidéo ➯ http://angelik.altervista.org/Malekal/I ... B/plop.ogv

La vidéo est faite pour Gnu_Linux mais le principe est le même, c'est juste le chemin du profil de TB pour Windows qui diffère(moi c'est /home/kitty/.thunderbird/b5zw1j7k.default/Mail/pop.orange.fr/ c'est le chemin du profil de Thunderbird TOI c'est celui que je t'ai indiqué précédemment)

Je peux pas faire mieux

NB: Mon mail est dans la Vid , les Bots n'extraient pas les mails des vids que je sache.

[WhyMite]

Merci beaucoup Angélique (et pas de bol pour le rapport, je pensais qu'il était complet)
Je vais regarder, je reviendrai demain pour dire ce qu'il en est

[WhyMite]

Version courte :
ça a l'air de s'être arrangé, merci !

Version epic fails, ça peut éventuellement en aider d'autres.

Mon PC était ralenti, les ports usb ne fonctionnaient plus, Thunderbird mourrait et Windows Defender luttait contre un cheval de troie.
Pour les ports usb, les pilotes n'étaient simplement pas à jour. Quand une menace est détectée, on a tendance à tout lui attribuer.
Moi en tous cas.

Thunderbird corrompu story :
- j'avais déjà tenté d'ouvrir mon dossier inbox avec un éditeur : j'avais juste oublié qu'un dossier de + de 1Go (n'imp...) vs blocnote = no pasaran.
- j'ai téléchargé un éditeur de texte adapté mais une fois le dossier chargé, impossible d'y trouver l' email "From, etc.", la situation avait du évoluer.
- j'ai fermé l'éditeur pour me reconnecter à Thunderbird et cette fois Windows Defender a réussi à bloquer et supprimer le cheval de troie
- j'ai fini par voir que le dossier poubelle de Thunderbird avait disparu, du coup je l'ai recréé facilement https://support.mozilla.org/fr/kb/vous- ... s-messages
- je suis devenue écolo : scan windows defender puis archivage, tri vertical et compactage

Résultat : mon dossier inbox est shiny and new, il semble que je n'ai plus de cheval de troie
Un scan malwarabytes et roguekiller pour conclure.

En conclusion : j'aurais pu régler mon problème plus rapidement si mon dossier inbox n'était pas aussi lourd.
Ce n'est pas mon imprudence qui m'a fait contracter le canasson, mais c'est en partie ma flemme (connerie : la taille initiale du dossier inbox) qui a freiné les solutions

Bref, merci Angélique pour le tuto - et ta patience

[angelique]

OK, ça servira à d'autres la méthode si besoin.