Dossier infecté avec Clamscan
Bonjour,
Le résultat de l'analyse effectué avec l'Antivirus Clamscan me donne un dossier infecté. Après avoir effectué une purge des courriels non supprimés dans la boite de réception (sauf quelques courriels dont je connais la provenance), la corbeille et dans les pourriels; j'ai relancé un scan avec l'antivirus et il indique toujours un dossier infecté.
Peut-être avez vous des solutions pour trouver ce dossier infecté?
Merci .
I am a translator!
Je comprend pas bien le contexte du scan. Vous avez lancer un scan antivirus sur un dossier ou dans un logiciel de messagerie (comme Evolution...).
Dans les deux cas un scan complet de votre dossier home (voir même de /) pourrait vous fournir le dossier incriminé.
sudo clamscan -ir
J'ai lancé un scan antivirus dans le logiciel de messagerie "Evolution" et le résultat m'indique un dossier infecté. Je viens de faire: "sudo clamscan -ir" et j'ai toujours le même résultat.
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ sudo clamscan -ir
[sudo] password for utilisateur:
/home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/8151: Doc.Dropper.Agent-1417782 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 4397124
Engine version: 0.98.7
Scanned directories: 2169
Scanned files: 11171
Infected files: 1
Data scanned: 864.58 MB
Data read: 694.49 MB (ratio 1.24:1)
Time: 95.039 sec (1 m 35 s)
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$
I am a translator!
8151 est un dossier ou un fichier ? Logiquement cela devrait un fichier. Pouvez vous faire un ll 8151 pour en savoir plus ?
Personnellement quand je fait des testes j'ai ça
trisquel@trisquel-pc:~/Bureau/teste$ sudo clamscan -ir
/home/trisquel/Bureau/teste/Virus Teste: Eicar-Test-Signature FOUND
----------- SCAN SUMMARY -----------
Known viruses: 4397124
Engine version: 0.98.7
Scanned directories: 1
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 27.279 sec (0 m 27 s)
$ ll Virus\ Teste
-rw-rw-r-- 1 trisquel trisquel 69 mai 26 18:14 Virus Teste
Donc c'est bien un fichier et il est infecté (par EICAR).
J'ai fait toutes les commandes que tu m'indiques, mais je n'ai pas de résultat:
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ ll 8151
ls: impossible d'accéder à 8151: Aucun fichier ou dossier de ce type
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ ll 8151
ls: impossible d'accéder à 8151: Aucun fichier ou dossier de ce type
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ trisquel@trisquel-pc:~/Bureau/teste$ sudo clamscan -ir
bash: trisquel@trisquel-pc:~/Bureau/teste$: Aucun fichier ou dossier de ce type
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ /home/trisquel/Bureau/teste/Virus Teste: Eicar-Test-Signature FOUND
bash: /home/trisquel/Bureau/teste/Virus: Aucun fichier ou dossier de ce type
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ ll Virus\ Teste
ls: impossible d'accéder à Virus Teste: Aucun fichier ou dossier de ce type
I am a translator!
Il faut tout d'abord se déplacer dans le dossier parent de 8151 en fesant un
cd /home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/
Tout ce qui qui suit 'Personnellement quand je fait des testes j'ai ça' c'était un essai que j'ai fait sur mon PC et qui doit être adpater à votre situation.
Je fais comme tu me dis:
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21$ cd /home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21$
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21$ ll Virus\ Teste
ls: impossible d'accéder à Virus Teste: Aucun fichier ou dossier de ce type
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21$ /home/trisquel/Bureau/teste/Virus Teste: Eicar-Test-Signature FOUND
bash: /home/trisquel/Bureau/teste/Virus: Aucun fichier ou dossier de ce type
I am a translator!
Je reprend. Je veux savoir si l'entité 8151 est dossier ou un fichier. Pour cela j'utilise la commande ll 8151 qui va me donner cette information.
Cependant cette commande écrite comme ça ne fonctionne uniquement que si le dossier courrant dans la console est le dossier parent contenant 8151 c'est à dire le dossier 21.
Pour que le dossier courant devienne le dossier 21. Il faut utiliser la commande cd
Dans l'ordre, il faut taper
cd /home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/
ll 8151
PS: https://trisquel.info/fr/filter/tips pour le formatage
Merci pour ta patience, mais j'avoue que le langage informatique me laisse perplexe!
j'ai donc refait dans l'ordre les commandes que tu m'as décrites et voici le résultat:
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ clamscan -i -r /home
/home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/8151: Doc.Dropper.Agent-1417782 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 4397124
Engine version: 0.98.7
Scanned directories: 2170
Scanned files: 11204
Infected files: 1
Data scanned: 869.47 MB
Data read: 694.86 MB (ratio 1.25:1)
Time: 95.665 sec (1 m 35 s)
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ cd /home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21$ ll 8151
-rw------- 1 utilisateur utilisateur 80K mai 19 15:03 8151
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21$
I am a translator!
Ceci est bien un fichier (car il y a pas de d (d pour dossier) avant le r dans -rw------- 1 utilisateur utilisateur 80K mai 19 15:03 8151))
Donc appriori c'est lui le fichier infecté.
Pour savoir de quel type de fichier c'est (une image, un son et etc)
Utilise la commande file 8151 ou essais de voir dans l'explorateur nautilus à quoi ressemble ce fichier.
Note pour afficher les fichiers cachés (commençans par un point) il faut utiliser les touches CTRL + H au clavier.
Par la commande "file 8151":
09201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21$ file 8151
8151: SMTP mail, ASCII text, with CRLF line terminators
I am a translator!
Essayez de lire votre mail en utilisant la commande
less 8151 (fléche haut et bas pour naviguer)
Normalement, cela devrait afficher votre mail dans la console avec plus moins de symbôle non imprimable. Le texte compréhensible se situe vers le millieu.
Ensuite il n'y cas retrouver votre mail dans votre logiciel de messagerie.
Je pense avoir trouvé le mail en question dans la console mais je ne l'ai plus dans mon logiciel de messagerie. Je me souviens d'un mail dont la provenance utilisait mon domaine "@flament-embort.fr", je ne me souviens plus de ce qu'il y avait avant l'arobase et de toute façon je l'ai supprimé automatiquement sans le l'ouvrir. Et donc je ne sais comment le retrouver.
Je vous fait une copie d'une partie de l'affichage de la console où on peut le retrouver:
Return-Path: <name at domain>
Delivered-To: name at domain
Received: from localhost (HELO queue) (127.0.0.1)
by localhost with SMTP; 19 May 2016 14:45:36 +0200
Received: from out2.mail.ovh.net (37.187.175.52)
by mx1.ovh.net with AES256-GCM-SHA384 encrypted SMTP; 19 May 2016 14:45:27 +0
200
--------------038027964981814097130832
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit
Scanner:
Scanner id: AF5AA7D683_F4414A424B
Scanner Program: HP Scanjet 300 Flatbed Scanner
Software ver. #0045048782.#16086297.#0631848
File: MSG00079677
To:name at domain
------------------------------------------------------------
Save time with fast scanning speeds and intuitive controls.
Set up quickly, using a single cable. Enjoy high-resolution
document detail. One-touch scan-to buttons let you start
working and sharing fast. Place this compact scanner almost
anywhere.
------------------------------------------------------------
Bonjour,
D'abord merci à HKR et root_vegetable pour leurs aides et explications et ensuite j'ai, à la suite d'un nouveau scan dans Evolution, un 2ème dossier infecté.
En effectuant les commandes indiquées par HKR précédemment, j'obtiens un résultat assez semblable et donc je pense que c'est de nouveau un fichier qui est infecté. Voici ci-dessous le résultat obtenu:
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ clamscan -i -r /home
/home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/8151: Doc.Dropper.Agent-1417782 FOUND
/home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/25/8196: Doc.Dropper.Agent-1423761 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 4409748
Engine version: 0.98.7
Scanned directories: 2194
Scanned files: 11413
Infected files: 2
Data scanned: 882.15 MB
Data read: 707.12 MB (ratio 1.25:1)
Time: 95.986 sec (1 m 35 s)
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ cd /home/utilisateur/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/25/
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/25$ ll 8196
-rw------- 1 utilisateur utilisateur 72K mai 26 14:07 8196
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~/.cache/evolution/mail/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/25$ file 8196
8196: SMTP mail, ASCII text, with CRLF line terminators
Peu-être que c'est le même virus "EICAR" qu'au 1er fichier infecté, mais j'aurai souhaité votre avis!
I am a translator!
Les noms des virus trouvés par ClamAV dans votre dossier sont
- Doc.Dropper.Agent-1423761
- Doc.Dropper.Agent-1417782
Une petite recherche sur internet vous dira leurs effets.
EICAR n'est pas un virus. C'est une suite de caractère que les antivirus reconnaissent comme un virus. N'ayant pas de virus sous la main j'ai utilisé cette signature pour faire mes tests de scan. Le teste c'était pour voir si ClamAV affichait le chemin complet lorsque qu'un virus est trouvé. (Car à ce moment-là je ne savais pas si l'élément 8151 était un fichier ou un dossier
Est-ce que vous réussisez à retrouver le mail infecté dans votre gestionnaire de mail ?
C'est ce qui m'inquiète, car pour le premier nom trouvé par clamAV j'avais déjà supprimé tous les mails et pour le second je ne retrouve pas de mails à la date et l'heure indiquée "-rw------- 1 utilisateur utilisateur 72K mai 26 14:07 8196"
Je vais aussi faire des recherches sur internet mais elles risquent d'être laborieuses car mes notions d'Anglais sont très limitées!
I am a translator!
14:07 c'est l'heure de la création (et/ou de la dernière modification) du fichier sur votre disque dur. En aucun cas cela correspond à la date de réception de votre mail.
Merci HKR, je vais de nouveau recherché le mail infecté.
Bonsoir,
J'ai fait des recherches pour tenter de retrouver les mails infectés,sans succès.
Ensuite j'ai supprimé totalement mon compte de messagerie et après cette suppression j'ai refait un scan de la messagerie Evolution.
Le résultat est presque identique, il y a toujours 2 mails infectés mais dans la description des virus il est rajouté "trash".
Donc je ne sais plus où chercher. J'ai d'autres comptes de messagerie, où j'ai fait des recherches, mais je ne pense pas qu'ils peuvent s'y trouver.
utilisateur@utilisateur-CR70-2M-CX70-2OC-CX70-2OD:~$ clamscan -i -r
/home/utilisateur/.cache/evolution/mail/trash/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/21/8151: Doc.Dropper.Agent-1417782 FOUND
/home/utilisateur/.cache/evolution/mail/trash/1450109201.5475.2@utilisateur-CR70-2M-CX70-2OC-CX70-2OD/folders/INBOX/cur/25/8196: Doc.Dropper.Agent-1423761 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 4417376
Engine version: 0.98.7
Scanned directories: 2192
Scanned files: 11646
Infected files: 2
Data scanned: 907.45 MB
Data read: 719.07 MB (ratio 1.26:1)
Time: 97.729 sec (1 m 37 s)
Grâce à vos explications, j'ai bien compris que ces virus trouvés par ClamAV n'infecteront pas mon ordinateur sous Trisquel. Mais j'aurai aimé savoir par quels mails ces virus se sont installés, j'ai cherché dans la boite de réception et dans la corbeille d'Evolution, ensuite j'ai vidé la corbeille mais sans résultat.
Dans ton explication Magic banana, tu me conseille de la vider à coup de 'rm' et en faisant des recherches sur le forum, le 02/01/2016 dans un post nommé VIRUS dans la corbeille tu as posté la formule suivante:
Essaie de vider la corbeille depuis le terminal et avec les droits d'administration :
$ sudo rm -fr ~/.local/share/Trash/*/*
Est que dans mon cas, cette formule peut-être utilisée et pourrais-je voir les mails infectés?
Non, ~/.local/share/Trash/ est la poubelle de l'environnement de bureau. Pas celle du client mail. Pour supprimer vider tous les courriels qui sont dans le cache de la corbeille d'Evolution, ce serait :
$ rm -fr ~/.cache/evolution/mail/trash/*
OK, pas de problème la commande que tu m'indique a bien supprimé les fichiers infectés. Je n'ai pas pu retrouver leurs origines, tant pis!
Merci Magic Banana