site infecté par virus gifimg.php Fermé

Question

Bonjour, 

J'ai constaté que les 2 sites ( www.oab.fr et http://nedved.free.fr ) que je gère étaient infecté par un virus il y a 2 jours quand en voulant naviguer dessus google me dit "attention site malveillant" et bloque l'accès.

j'ai découvert un fichier gifimg.php dans le dossier image de chaque site.

Après il y a une ligne de script qui s'intercale entre le head et le body de chaque page htm.

ca fait deux jours de suite que je supprime ca manuellement mais ca revient chaque matin.

j'ai supprimé de nombreuses vieilles pages de peu d'importance et j'ai changé mes mots de passe ftp mais rien n'y fait.

dans un des journal des log j'ai ca en date du 10 mai, début supposé de l'infection :

oab.fr 79.98.28.12 - - [10/May/2010:08:37:47 +0200] "POST /images/gifimg.php HTTP/1.0" 200 26 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:47 +0200] "POST /php_tmp/weru.php HTTP/1.0" 404 214 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:47 +0200] "POST /images/gifimg.php HTTP/1.0" 200 30 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:48 +0200] "POST /php_sessions/oyf.php HTTP/1.0" 404 218 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:48 +0200] "POST /images/gifimg.php HTTP/1.0" 200 32 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:49 +0200] "POST /php_sessions/wwzbj.php HTTP/1.0" 404 220 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:49 +0200] "POST /images/gifimg.php HTTP/1.0" 200 32 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:49 +0200] "POST /php_sessions/iuvzq.php HTTP/1.0" 404 220 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:50 +0200] "POST /images/gifimg.php HTTP/1.0" 200 26 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:50 +0200] "POST /php_tmp/louz.php HTTP/1.0" 404 214 "-" "-"

que faire donc ?

EMMANUEL

Malekal_morte- · Answer

ca fait deux jours de suite que je supprime ca manuellement mais ca revient chaque matin.  

Salut, 

Lire ça : https://forum.malekal.com/viewtopic.php?t=22837&start= 
Y a de grandes chances que ce soit ça.

Madness Rox \o/

vol4807 · Answer

effectivement ça ressemble bien à ça... mais pourquoi une fois tous les codes malveillants supprimés et les mot de passe ftp changé ça revient quand même ? le virus est-il maintenant dans mon ordi ? comment donc s'en débarasser ?

Malekal_morte- · Answer

Peut-être que ton PC est infecté et il transmet à nouveau le mot de passe FTP :)

Pour voir :

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

Site infecté par virus gifimg.php

3 réponses

Discussions similaires

Newsletters