Dossier infecté avec Clamscan

22 replies [Last post]
Sisco
Offline
Joined: 11/04/2015

Bonjour,

Le résultat de l'analyse effectué avec l'Antivirus Clamscan me donne un dossier infecté. Après avoir effectué une purge des courriels non supprimés dans la boite de réception (sauf quelques courriels dont je connais la provenance), la corbeille et dans les pourriels; j'ai relancé un scan avec l'antivirus et il indique toujours un dossier infecté.
Peut-être avez vous des solutions pour trouver ce dossier infecté?
Merci .

HKR
HKR

I am a translator!

Offline
Joined: 04/18/2015

Je comprend pas bien le contexte du scan. Vous avez lancer un scan antivirus sur un dossier ou dans un logiciel de messagerie (comme Evolution...).

Dans les deux cas un scan complet de votre dossier home (voir même de /) pourrait vous fournir le dossier incriminé.

sudo clamscan -ir

Sisco
Offline
Joined: 11/04/2015

J'ai lancé un scan antivirus dans le logiciel de messagerie "Evolution" et le résultat m'indique un dossier infecté. Je viens de faire: "sudo clamscan -ir" et j'ai toujours le même résultat.

utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ sudo clamscan -ir
[sudo] password for utilisateur:
/home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/8151: Doc.Dropper.Agent-1417782 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4397124
Engine version: 0.98.7
Scanned directories: 2169
Scanned files: 11171
Infected files: 1
Data scanned: 864.58 MB
Data read: 694.49 MB (ratio 1.24:1)
Time: 95.039 sec (1 m 35 s)
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$

HKR
HKR

I am a translator!

Offline
Joined: 04/18/2015

8151 est un dossier ou un fichier ? Logiquement cela devrait un fichier. Pouvez vous faire un ll 8151 pour en savoir plus ?

Personnellement quand je fait des testes j'ai ça

trisquel@trisquel-pc:~/Bureau/teste$ sudo clamscan -ir
/home/trisquel/Bureau/teste/Virus Teste: Eicar-Test-Signature FOUND
----------- SCAN SUMMARY -----------
Known viruses: 4397124
Engine version: 0.98.7
Scanned directories: 1
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 27.279 sec (0 m 27 s)

$ ll Virus\ Teste
-rw-rw-r-- 1 trisquel trisquel 69 mai 26 18:14 Virus Teste

Donc c'est bien un fichier et il est infecté (par EICAR).

Sisco
Offline
Joined: 11/04/2015

J'ai fait toutes les commandes que tu m'indiques, mais je n'ai pas de résultat:

utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ ll 8151
ls: impossible d'accéder à 8151: Aucun fichier ou dossier de ce type
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ ll 8151
ls: impossible d'accéder à 8151: Aucun fichier ou dossier de ce type
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ trisquel@trisquel-pc:~/Bureau/teste$ sudo clamscan -ir
bash: trisquel@trisquel-pc:~/Bureau/teste$: Aucun fichier ou dossier de ce type
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ /home/trisquel/Bureau/teste/Virus Teste: Eicar-Test-Signature FOUND
bash: /home/trisquel/Bureau/teste/Virus: Aucun fichier ou dossier de ce type
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ ll Virus\ Teste
ls: impossible d'accéder à Virus Teste: Aucun fichier ou dossier de ce type

HKR
HKR

I am a translator!

Offline
Joined: 04/18/2015

Il faut tout d'abord se déplacer dans le dossier parent de 8151 en fesant un

cd /home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/

Tout ce qui qui suit 'Personnellement quand je fait des testes j'ai ça' c'était un essai que j'ai fait sur mon PC et qui doit être adpater à votre situation.

Sisco
Offline
Joined: 11/04/2015

Je fais comme tu me dis:

utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21$ cd /home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21$

utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21$ ll Virus\ Teste
ls: impossible d'accéder à Virus Teste: Aucun fichier ou dossier de ce type

utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21$ /home/trisquel/Bureau/teste/Virus Teste: Eicar-Test-Signature FOUND
bash: /home/trisquel/Bureau/teste/Virus: Aucun fichier ou dossier de ce type

HKR
HKR

I am a translator!

Offline
Joined: 04/18/2015

Je reprend. Je veux savoir si l'entité 8151 est dossier ou un fichier. Pour cela j'utilise la commande ll 8151 qui va me donner cette information.

Cependant cette commande écrite comme ça ne fonctionne uniquement que si le dossier courrant dans la console est le dossier parent contenant 8151 c'est à dire le dossier 21.

Pour que le dossier courant devienne le dossier 21. Il faut utiliser la commande cd

Dans l'ordre, il faut taper
cd /home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/
ll 8151

PS: https://trisquel.info/fr/filter/tips pour le formatage

Sisco
Offline
Joined: 11/04/2015

Merci pour ta patience, mais j'avoue que le langage informatique me laisse perplexe!
j'ai donc refait dans l'ordre les commandes que tu m'as décrites et voici le résultat:

utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ clamscan -i -r /home
/home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/8151: Doc.Dropper.Agent-1417782 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4397124
Engine version: 0.98.7
Scanned directories: 2170
Scanned files: 11204
Infected files: 1
Data scanned: 869.47 MB
Data read: 694.86 MB (ratio 1.25:1)
Time: 95.665 sec (1 m 35 s)
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ cd /home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21$ ll 8151
-rw------- 1 utilisateur utilisateur 80K mai 19 15:03 8151
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21$

HKR
HKR

I am a translator!

Offline
Joined: 04/18/2015

Ceci est bien un fichier (car il y a pas de d (d pour dossier) avant le r dans -rw------- 1 utilisateur utilisateur 80K mai 19 15:03 8151))

Donc appriori c'est lui le fichier infecté.
Pour savoir de quel type de fichier c'est (une image, un son et etc)

Utilise la commande file 8151 ou essais de voir dans l'explorateur nautilus à quoi ressemble ce fichier.
Note pour afficher les fichiers cachés (commençans par un point) il faut utiliser les touches CTRL + H au clavier.

Sisco
Offline
Joined: 11/04/2015

Par la commande "file 8151":

09201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21$ file 8151
8151: SMTP mail, ASCII text, with CRLF line terminators

HKR
HKR

I am a translator!

Offline
Joined: 04/18/2015

Essayez de lire votre mail en utilisant la commande

less 8151 (fléche haut et bas pour naviguer)

Normalement, cela devrait afficher votre mail dans la console avec plus moins de symbôle non imprimable. Le texte compréhensible se situe vers le millieu.

Ensuite il n'y cas retrouver votre mail dans votre logiciel de messagerie.

Sisco
Offline
Joined: 11/04/2015

Je pense avoir trouvé le mail en question dans la console mais je ne l'ai plus dans mon logiciel de messagerie. Je me souviens d'un mail dont la provenance utilisait mon domaine "@flament-embort.fr", je ne me souviens plus de ce qu'il y avait avant l'arobase et de toute façon je l'ai supprimé automatiquement sans le l'ouvrir. Et donc je ne sais comment le retrouver.
Je vous fait une copie d'une partie de l'affichage de la console où on peut le retrouver:

Return-Path: <name at domain>
Delivered-To: name at domain
Received: from localhost (HELO queue) (127.0.0.1)
by localhost with SMTP; 19 May 2016 14:45:36 +0200
Received: from out2.mail.ovh.net (37.187.175.52)
by mx1.ovh.net with AES256-GCM-SHA384 encrypted SMTP; 19 May 2016 14:45:27 +0
200

--------------038027964981814097130832
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit

Scanner:
Scanner id: AF5AA7D683_F4414A424B
Scanner Program: HP Scanjet 300 Flatbed Scanner
Software ver. #0045048782.#16086297.#0631848
File: MSG00079677
To:name at domain

------------------------------------------------------------
Save time with fast scanning speeds and intuitive controls.
Set up quickly, using a single cable. Enjoy high-resolution
document detail. One-touch scan-to buttons let you start
working and sharing fast. Place this compact scanner almost
anywhere.
------------------------------------------------------------

Sisco
Offline
Joined: 11/04/2015

Bonjour,

D'abord merci à HKR et root_vegetable pour leurs aides et explications et ensuite j'ai, à la suite d'un nouveau scan dans Evolution, un 2ème dossier infecté.
En effectuant les commandes indiquées par HKR précédemment, j'obtiens un résultat assez semblable et donc je pense que c'est de nouveau un fichier qui est infecté. Voici ci-dessous le résultat obtenu:

utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ clamscan -i -r /home
/home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/8151: Doc.Dropper.Agent-1417782 FOUND
/home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/25/8196: Doc.Dropper.Agent-1423761 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4409748
Engine version: 0.98.7
Scanned directories: 2194
Scanned files: 11413
Infected files: 2
Data scanned: 882.15 MB
Data read: 707.12 MB (ratio 1.25:1)
Time: 95.986 sec (1 m 35 s)

utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ cd /home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/25/
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/25$ ll 8196
-rw------- 1 utilisateur utilisateur 72K mai 26 14:07 8196

utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/25$ file 8196
8196: SMTP mail, ASCII text, with CRLF line terminators

Peu-être que c'est le même virus "EICAR" qu'au 1er fichier infecté, mais j'aurai souhaité votre avis!

HKR
HKR

I am a translator!

Offline
Joined: 04/18/2015

Les noms des virus trouvés par ClamAV dans votre dossier sont

  • Doc.Dropper.Agent-1423761
  • Doc.Dropper.Agent-1417782

Une petite recherche sur internet vous dira leurs effets.

EICAR n'est pas un virus. C'est une suite de caractère que les antivirus reconnaissent comme un virus. N'ayant pas de virus sous la main j'ai utilisé cette signature pour faire mes tests de scan. Le teste c'était pour voir si ClamAV affichait le chemin complet lorsque qu'un virus est trouvé. (Car à ce moment-là je ne savais pas si l'élément 8151 était un fichier ou un dossier

Est-ce que vous réussisez à retrouver le mail infecté dans votre gestionnaire de mail ?

Sisco
Offline
Joined: 11/04/2015

C'est ce qui m'inquiète, car pour le premier nom trouvé par clamAV j'avais déjà supprimé tous les mails et pour le second je ne retrouve pas de mails à la date et l'heure indiquée "-rw------- 1 utilisateur utilisateur 72K mai 26 14:07 8196"
Je vais aussi faire des recherches sur internet mais elles risquent d'être laborieuses car mes notions d'Anglais sont très limitées!

HKR
HKR

I am a translator!

Offline
Joined: 04/18/2015

14:07 c'est l'heure de la création (et/ou de la dernière modification) du fichier sur votre disque dur. En aucun cas cela correspond à la date de réception de votre mail.

Sisco
Offline
Joined: 11/04/2015

Merci HKR, je vais de nouveau recherché le mail infecté.

Sisco
Offline
Joined: 11/04/2015

Bonsoir,

J'ai fait des recherches pour tenter de retrouver les mails infectés,sans succès.
Ensuite j'ai supprimé totalement mon compte de messagerie et après cette suppression j'ai refait un scan de la messagerie Evolution.
Le résultat est presque identique, il y a toujours 2 mails infectés mais dans la description des virus il est rajouté "trash".
Donc je ne sais plus où chercher. J'ai d'autres comptes de messagerie, où j'ai fait des recherches, mais je ne pense pas qu'ils peuvent s'y trouver.

utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ clamscan -i -r
/home/utilisateur/.cache/evolution/mail/trash/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/8151: Doc.Dropper.Agent-1417782 FOUND
/home/utilisateur/.cache/evolution/mail/trash/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/25/8196: Doc.Dropper.Agent-1423761 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4417376
Engine version: 0.98.7
Scanned directories: 2192
Scanned files: 11646
Infected files: 2
Data scanned: 907.45 MB
Data read: 719.07 MB (ratio 1.26:1)
Time: 97.729 sec (1 m 37 s)

Magic Banana

I am a member!

Offline
Joined: 07/24/2010

Tu peux supprimer ces fichiers si tu veux (en vidant la poubelle depuis le client mail ou à coup de 'rm'). Ceci dit, ClamAV trouve des virus qui infectent Windows, pas GNU/Linux.

Sisco
Offline
Joined: 11/04/2015

Grâce à vos explications, j'ai bien compris que ces virus trouvés par ClamAV n'infecteront pas mon ordinateur sous Trisquel. Mais j'aurai aimé savoir par quels mails ces virus se sont installés, j'ai cherché dans la boite de réception et dans la corbeille d'Evolution, ensuite j'ai vidé la corbeille mais sans résultat.
Dans ton explication Magic banana, tu me conseille de la vider à coup de 'rm' et en faisant des recherches sur le forum, le 02/01/2016 dans un post nommé VIRUS dans la corbeille tu as posté la formule suivante:

Essaie de vider la corbeille depuis le terminal et avec les droits d'administration :
$ sudo rm -fr ~/.local/share/Trash/*/*

Est que dans mon cas, cette formule peut-être utilisée et pourrais-je voir les mails infectés?

Magic Banana

I am a member!

Offline
Joined: 07/24/2010

Non, ~/.local/share/Trash/ est la poubelle de l'environnement de bureau. Pas celle du client mail. Pour supprimer vider tous les courriels qui sont dans le cache de la corbeille d'Evolution, ce serait :
$ rm -fr ~/.cache/evolution/mail/trash/*

Sisco
Offline
Joined: 11/04/2015

OK, pas de problème la commande que tu m'indique a bien supprimé les fichiers infectés. Je n'ai pas pu retrouver leurs origines, tant pis!

Merci Magic Banana