Piratage de mon site marchand Fermé

Question

Bonjour, 


Je suis victime d'un piratage depuis mardi 18 mai 2010. J'ai un site marchand, et depuis mardi je ne peux plus y accéder car mon antivirus me bloque la page d'accès au site, ainsi qu'à mon outil d'administration.
Depuis, le site n'existe plus, quand je veux y accéder, mon navigateur me renvoie une erreur 500.

Voici la chronologie des faits :
Mardi : les produits du site ont été effacés l'espace d'une heure, puis ont réapparus
Mercredi : mon antivirus me détecte des trojans Illredir-BV, je ne peux donc plus accéder à mon site en toute sécurité.
Jeudi : mon antivirus me renvoie sur une page avec un gros sens interdit, me disant que mon site contient des éléments provenant du site westcountry.ru, lequel semble héberger des logiciels malveillants. J'abandonne donc la connexion à mon site.
Vendredi : Quand je veux me rendre sur la page d'accueil de mon site, plus rien, page blanche et erreur 500...


Comment faire pour récupérer mon site ? 
Etant donné que j'ai à chaque fois été averti par mon antivirus, y a t'il un risque que mon pc soit qd même infecté ?

Merci pour votre aide !

Configuration: Windows Vista / Safari 532.5

Malekal_morte- · Answer

Salut,

Comment veux-tu qu'on t'aide sans avoir l'adresse du site ?!

fraxa · Answer

Le site est www.deco-line.fr

Merci...!

Malekal_morte- · Answer

"Erreur de connexion !"
Ta base de données tourne pas ou les infos de connexion sont erronées.
Mais bon c'est pas le plus grave.

hxtp://www.deco-line.fr/admin/ 

y a un javascript malicieux tout en bas, c'est ce que ton antivirus détecte. 
Tu es infecté par Daurso/bubnix. 

Tes identifiants FTP ont été volé par ce malware - lire : https://forums.commentcamarche.net/forum/affich-17637285-rkit-bubnix-s#10 

Sur le PC dont tu te sers pour accéder à ton site par FTP : 


Désactive les logiciels de protection (Antivirus, Antispywares) puis :        

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!        

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.        

Eventuellement, installe la console de récupération comme cela est conseillé        

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.        

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix        

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.        

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.        


Madness Rox \o/

fraxa · Answer

Merci Malekal pour ton aide. Après qqs problèmes, j'ai réussi à obtenir ce rapport :


ComboFix 10-05-21.06 - Admin 22/05/2010  13:31:51.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3038.2017 [GMT 2:00]
Lancé depuis: c:\users\Admin\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
.
.
.etc.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-22 au 2010-05-22  ))))))))))))))))))))))))))))))))))))
.

2010-05-22 11:45 . 2010-05-22 11:45	--------	d-----w-	c:\users\postgres\AppData\Local	emp
2010-05-22 11:45 . 2010-05-22 11:45	--------	d-----w-	c:\users\Fx\AppData\Local	emp
2010-05-22 11:45 . 2010-05-22 11:45	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-05-19 09:43 . 2010-05-19 09:43	--------	d-----w-	c:\users\Fx\AppData\Roaming\Foxit Software
2010-05-16 17:32 . 2010-05-16 17:32	--------	d-----w-	c:\program files\Sweet Home 3D
2010-05-16 16:48 . 2010-05-16 16:48	--------	d-----w-	c:\program files\IKEA HomePlanner
2010-05-16 16:48 . 2010-05-16 16:48	--------	d-----w-	c:\program files\Common Files\Wise Installation Wizard
2010-05-15 20:24 . 2010-05-21 21:02	--------	d-----w-	c:\users\Fx\AppData\Roaming\vlc
2010-05-12 08:20 . 2010-01-29 15:40	738816	----a-w-	c:\windows\system32\inetcomm.dll
2010-05-06 07:45 . 2010-05-06 07:46	--------	d-sh--w-	c:\windows\system32\MPK
2010-05-04 20:08 . 2010-05-04 20:08	56766	----a-w-	c:\programdata\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-05-04 20:08 . 2010-05-04 20:03	754984	----a-w-	c:\programdata\DivX\Setup\Resource.dll
2010-05-04 20:08 . 2010-05-04 20:03	1180952	----a-w-	c:\programdata\DivX\Setup\DivXSetup.exe
2010-05-04 20:08 . 2010-02-27 23:46	530625	----a-w-	c:\programdata\DivX\DivX7\DivX Plus DirectShow Filters\DivXDSFiltersUninstall.exe
2010-05-04 20:08 . 2009-04-23 11:10	508712	----a-w-	c:\programdata\DivX\DivX7\DivX Converter\DivXConverterUninstall.exe
2010-05-04 20:08 . 2010-05-04 20:08	56978	----a-w-	c:\programdata\DivX\WebPlayer\Uninstaller.exe
2010-05-04 20:08 . 2010-05-04 20:08	57679	----a-w-	c:\programdata\DivX\Player\Uninstaller.exe
2010-05-04 20:08 . 2010-05-04 20:08	53600	----a-w-	c:\programdata\DivX\Update\Uninstaller.exe
2010-05-04 20:03 . 2010-05-04 20:03	144696	----a-w-	c:\programdata\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-05-04 20:03 . 2010-05-04 20:08	--------	d-----w-	c:\programdata\DivX
2010-05-03 08:55 . 2010-05-07 10:09	--------	d-----w-	c:\users\Fx\AppData\Local\CutePDF Writer
2010-05-03 08:54 . 2010-05-03 08:54	--------	d-----w-	c:\program files\GPLGS
2010-05-03 08:53 . 2009-11-05 06:39	87552	----a-w-	c:\windows\system32\cpwmon2k.dll
2010-05-03 08:53 . 2010-05-03 08:53	--------	d-----w-	c:\program files\Acro Software
2010-04-27 07:15 . 2010-04-27 07:15	--------	d-----w-	C:\VAIO Entertainment
2010-04-27 05:49 . 2010-04-27 05:49	--------	d-----w-	c:\windows\system32\syncdb

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-22 11:46 . 2009-03-23 16:28	12	----a-w-	c:\windows\bthservsdp.dat
2010-05-22 11:00 . 2010-05-22 11:00	--------	d-----w-	c:\users\Admin\AppData\Roaming\Sony Corporation
2010-05-22 11:00 . 2010-05-22 11:00	95304	----a-w-	c:\users\Admin\AppData\Local\GDIPFONTCACHEV1.DAT
2010-05-22 10:56 . 2009-08-29 17:45	--------	d-----w-	c:\users\Fx\AppData\Roaming\uTorrent
2010-05-22 10:10 . 2010-04-13 20:32	--------	d-----w-	c:\program files\Windows Live Safety Center
2010-05-20 09:43 . 2008-01-21 08:40	679418	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-20 09:43 . 2008-01-21 08:40	128418	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-20 07:04 . 2009-08-29 17:45	--------	d-----w-	c:\program files\uTorrent
2010-05-18 20:43 . 2009-12-27 22:36	--------	d-----w-	c:\users\Fx\AppData\Roaming\Spotify
2010-05-14 09:13 . 2009-09-17 01:04	1356	----a-w-	c:\users\Fx\AppData\Local\d3d9caps.dat
2010-05-12 11:26 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-05-12 11:26 . 2009-04-23 11:18	--------	d-----w-	c:\programdata\Microsoft Help
2010-05-12 09:21 . 2009-10-02 17:03	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-05-11 12:23 . 2009-11-28 12:36	--------	d-----w-	c:\program files\Everest Poker
2010-05-06 19:56 . 2009-09-03 20:37	--------	d-----w-	c:\users\Fx\AppData\Roaming\DivX
2010-05-05 07:06 . 2009-04-23 11:10	--------	d-----w-	c:\program files\DivX
2010-05-04 20:00 . 2009-10-16 09:01	--------	d-----w-	c:\users\Fx\AppData\Roaming\dvdcss
2010-04-28 06:38 . 2010-04-13 19:59	--------	d-----w-	c:\program files\a-squared Anti-Malware
2010-04-27 07:19 . 2010-03-23 13:22	--------	d-----w-	c:\users\Fx\AppData\Roaming\Paltalk
2010-04-27 07:17 . 2009-03-24 08:22	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-04-27 07:17 . 2009-12-29 23:35	--------	d-----w-	c:\program files\Movies2iPhone
2010-04-27 07:15 . 2009-11-28 09:10	--------	d-----w-	c:\program files\MediaInfo
2010-04-27 07:15 . 2009-03-24 09:42	--------	d-----w-	c:\programdata\Sony Corporation
2010-04-27 07:15 . 2009-03-23 16:29	--------	d-----w-	c:\program files\sony
2010-04-27 07:13 . 2009-12-06 13:14	--------	d-----w-	c:\program files\Easy MPEG AVI DIVX WMV RM to DVD
2010-04-27 05:55 . 2009-03-24 09:41	--------	d-----w-	c:\program files\Common Files\Adobe
2010-04-27 05:44 . 2009-08-29 15:03	95304	----a-w-	c:\users\Fx\AppData\Local\GDIPFONTCACHEV1.DAT
2010-04-27 05:26 . 2010-03-15 12:43	--------	d-----w-	c:\programdata\Codemasters
2010-04-27 05:25 . 2009-03-24 08:19	--------	d-----w-	c:\program files\ATI
2010-04-15 11:26 . 2010-02-28 22:31	--------	d-----w-	c:\users\Fx\AppData\Roaming\FileZilla
2010-04-14 07:43 . 2010-04-07 10:37	--------	d-----w-	c:\program files\UltraVNC
2010-04-07 12:36 . 2010-04-07 12:36	--------	d-----w-	c:\program files\QS
2010-04-07 12:36 . 2010-04-07 12:36	--------	d-----w-	c:\users\Fx\AppData\Roaming\TeamViewer
2010-03-31 01:58 . 2009-04-23 11:29	133616	------w-	c:\windows\system32\pxafs.dll
2010-03-31 01:58 . 2008-06-16 10:55	125424	------w-	c:\windows\system32\pxinsi64.exe
2010-03-30 07:12 . 2009-09-04 15:40	2485883	----a-w-	c:\programdata\ArcSoft\Global Deploy\CheckUpdate\ArcConnect.exe
2010-03-15 18:08 . 2010-03-12 13:50	215104	----a-w-	c:\windows\system32\PnkBstrB.exe
2010-03-15 17:51 . 2010-03-12 13:51	138576	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2010-03-14 14:15 . 2010-03-12 13:50	75064	----a-w-	c:\windows\system32\PnkBstrA.exe
2010-03-12 13:51 . 2010-03-12 13:51	22328	----a-w-	c:\users\Fx\AppData\Roaming\PnkBstrK.sys
2010-03-12 13:51 . 2010-03-12 13:51	22328	----a-w-	c:\users\Fx\AppData\Roaming\PnkBstrK.sys
2010-03-08 17:59 . 2009-01-14 22:06	94208	----a-w-	c:\windows\system32\dpl100.dll
2010-03-05 14:01 . 2010-04-14 13:23	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-02-23 11:10 . 2010-04-14 13:23	212992	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2010-02-23 11:10 . 2010-04-14 13:23	79360	----a-w-	c:\windows\system32\drivers\mrxsmb20.sys
2010-02-23 11:10 . 2010-04-14 13:23	106496	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-23 06:39 . 2010-03-31 18:35	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-23 06:33 . 2010-03-31 18:35	109056	----a-w-	c:\windows\system32\iesysprep.dll
2010-02-23 06:33 . 2010-03-31 18:35	71680	----a-w-	c:\windows\system32\iesetup.dll
2010-02-23 04:55 . 2010-03-31 18:35	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2006-05-03 09:06 . 2009-12-06 12:46	163328	--sh--r-	c:\windows\System32\flvDX.dll
2007-02-21 10:47 . 2009-12-06 12:46	31232	--sh--r-	c:\windows\System32\msfDX.dll
2008-03-16 12:30 . 2009-12-06 12:46	216064	--sh--r-	c:\windows\System32
bDX.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NSUFloatingUI"="c:\program files\Sony\Network Utility\LANUtil.exe" [2008-12-21 274432]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-04-12 1135912]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\VESWinlogon]
2009-01-19 10:49	98304	----a-w-	c:\windows\System32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2009-08-29 17:33	133104	----atw-	c:\users\Fx\AppData\Local\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 14:44	3883856	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2010-05-19 09:40	322352	----a-w-	c:\program files\uTorrent\uTorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):7b,0f,ab,ea,75,35,ca,01

R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\RaInfo.sys [x]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-02-09 29736]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-09-23 238960]
R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys [x]
R3 SOHCImp;VAIO Media plus Content Importer;c:\program files\Common Files\Sony Shared\SOHLib\SOHCImp.exe [2009-02-05 120104]
R3 SOHDBSvr;VAIO Media plus Database Manager;c:\program files\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe [2009-02-05 70952]
R3 SOHDms;VAIO Media plus Digital Media Server;c:\program files\Common Files\Sony Shared\SOHLib\SOHDms.exe [2009-02-05 390440]
R3 SOHDs;VAIO Media plus Device Searcher;c:\program files\Common Files\Sony Shared\SOHLib\SOHDs.exe [2009-02-05 75048]
R3 SOHPlMgr;VAIO Media plus Playlist Manager;c:\program files\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe [2009-02-05 91432]
R3 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2009-01-19 394536]
R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe [2009-01-16 83240]
R3 VUAgent;VUAgent;c:\program files\sony\VAIO Update 5\VUAgent.exe [2009-12-08 673136]
R4 RFNP32;WebDrive Provider; [x]
S0 shpf;Sony HDD Protection Filter Driver;c:\windows\system32\DRIVERS\shpf.sys [2008-08-26 23712]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-09-03 721904]
S1 aswSP;avast! Self Protection; [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-07-10 176128]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-11-24 20560]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2009-11-24 53328]
S2 NSUService;NSUService;c:\program files\sony\Network Utility\NSUService.exe [2008-12-21 303104]
S2 pgsql-8.2;PostgreSQL Database Server 8.2;c:\program files\PostgreSQL\8.2\bin\pg_ctl.exe [2008-03-17 84657]
S2 regi;regi;c:\windows\system32\driversegi.sys [2007-04-17 11032]
S2 RtkAudioService;Realtek Audio Service;c:\program files\Realtek\Audio\HDA\RtkAudioService.exe [2009-01-06 109088]
S2 uCamMonitor;CamMonitor;c:\program files\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [2008-09-18 104960]
S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [2008-12-19 415592]
S2 VCFw;VAIO Content Folder Watcher;c:\program files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [2009-01-14 5184872]
S2 WebDriveFSD;WebDrive File System Driver;c:\program files\NetDriveffsd.sys [2002-11-27 67032]
S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilter.sys [2008-04-24 17920]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2009-05-28 4233728]
S3 pnetmdm;PdaNet Modem;c:\windows\system32\DRIVERS\pnetmdm.sys [2006-09-28 9472]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2008-11-19 9344]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-05-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3604794011-1830294855-4145430544-1000Core.job
- c:\users\Fx\AppData\Local\Google\Update\GoogleUpdate.exe [2009-08-29 17:33]

2010-05-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3604794011-1830294855-4145430544-1000UA.job
- c:\users\Fx\AppData\Local\Google\Update\GoogleUpdate.exe [2009-08-29 17:33]

2010-05-22 c:\windows\Tasks\User_Feed_Synchronization-{B376F7CB-5B8C-4004-8D92-2DCBC8BA1E12}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SNYT&bmod=EU01
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SNYT&bmod=SNYT
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
FF - ProfilePath - 
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\program files\DivX\DivXCodecUninstall.exe



**************************************************************************
Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:0000003d

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(5800)
c:\program files\WIDCOMM\Bluetooth Software\btncopy.dll
c:\program files\WinSCP\DragExt.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\EGYUQD~1.EXE
c:\windows\system32\atieclxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\WLANExt.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\WIDCOMM\Bluetooth Software\btwdins.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe
c:\program files\sony\VAIO Event Service\VESMgr.exe
c:\program files\PostgreSQL\8.2\bin\postgres.exe
c:\windows\system32\DllHost.exe
c:\program files\PostgreSQL\8.2\bin\postgres.exe
c:\program files\PostgreSQL\8.2\bin\postgres.exe
c:\program files\PostgreSQL\8.2\bin\postgres.exe
c:\program files\sony\VAIO Event Service\VESMgrSub.exe
c:\windows\system32\DllHost.exe
c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
c:\windows\system32\WUDFHost.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\servicing\TrustedInstaller.exe
c:\program files\Sony\VAIO Power Management\SPMgr.exe
c:\windows\system32\conime.exe
c:\program files\Sony\VAIO Update 5\VAIOUpdt.exe
.
**************************************************************************
.
Heure de fin: 2010-05-22  14:09:36 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-05-22 12:09

Avant-CF: 116 635 713 536 octets libres
Après-CF: 116 560 605 184 octets libres

- - End Of File - - 8A007A70C58C7191237FB0028187843F

Malekal_morte- · Answer

Faudrait le rapport en entier, tu as masqué les suppressions.
Si c'est trop long, envoie là : http://www.cijoint.fr/
et donne le lien ici.

fraxa · Answer

Merci pour ton aide, voici le log :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijq4jk1IW.txt

Merci encore.

Malekal_morte- · Answer

Affiche les fichiers cachés : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

Supprime : c:\windows\system32\MPK
Refog.Keylogger apparemment.

Malwarebyte le vire apparemment, si tu veux faire un scan, voir : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Dans tous les cas, tu n'as pas le malware a l'origine de la modification de ton site.
L'accès FTP à ton site, il se fait que depuis ton PC ou d'autres personnes y ont accès ?

fraxa · Answer

Après un scan avec Spyware Doctor, j'ai nettoyé toutes les infections, il y en avait 166 réparties dans 6 malwares, dont Keylogger, KGB Trojan et Trojan Downloader.

L'accès FTP à mon site se fait par Celeonet, donc par mon pc ou d'autres, puisque j'ai les codes pour accéder au ftp hébergé par Celeonet.

Mon pc est donc hors de danger ?

Malekal_morte- · Answer

Ton PC ouaip.
Mais y a un des PC qui a accès au site qui est infecté, faut déterminer lequel c'est.

En attendant ce que tu peux faire, c'est changer les mots de passe FTP.
Nettoyer le site.

Et faut donner le nouveau mot de passe aux personnes qui ont un PC sain, sinon ça va revenir.

fraxa · Answer

Le PC de ma femme doit être infecté, parce que quand je tape sur google spyware doctor pour le télécharger, mon navigateur se ferme automatiquement. Quand je tape une autre requête, pas de problème.
De plus, j'ai transféré le prog d'installation sur son PC avec une clé USB, et quand je lance l'install, le prog se ferme également irrémédiablement.

Comment faire pour vérifier si son pc est infecté sans pouvoir installer spyware doctor ?

Autre question : comment nettoyer mes fichiers html, css, php etc. de mon site ? Je dois les aspirer avec filezilla, les mettre sur mon DD et relancer spyware doctor ? Tous mes fichiers sont sur le ftp de mon hébergeur...

Si je comprends bien, le problème vient de certains scripts présents dans certains fichiers de mon site. Spyware doctor est il capable de détecter des scripts malveillants ?


Encore une fois 1000 mercis pour ton aide qui m'est très précieuse dans ces moments pénibles...!

fraxa · Answer

Ok, je vais aspirer mon site dans la matinée, refaire un ComboFix et poster le nouveau log généré.

Depuis que j'ai fait le 1er ComboFix, j'ai un message d'erreur à chaque fois que j'entre ou quitte une session windows : 
"mpnotify.exe : le fichier RFHelper.dll est endommagé ou manquant".

Je vois sur les forums que ce programme est souvent lié à des infections. Comment corriger cette erreur ?

Je repose également la question du PC de ma femme, que j'ai postée dans mon dernier message.

Merci, grâce à vous, je suis sûr que je vais réussir à tout remettre en ordre !

fraxa · Answer

Je suis en train d'aspirer le site, et avast me trouve une quantité impressionnante de troyens, quasiment tous dans des fichiers index ou .js. Je les mets donc en quarantaine comme avast me le recommande, mais une fois que l'aspiration du site sera finie, comment faudra t'il que je procède pour nettoyer tous ces fichiers ?

Faudra t'il que je les ouvre et que j'efface les scripts un à un ??

fraxa · Answer

Malekal, je t'ai envoyé en mp le lien pour un fichier index infecté. Peux tu me dire ce que je dois remplacer ou tout simplement effacé ?

Merci.

Malekal_morte- · Answer

Pas reçu de PM. 

La même chose qui est donné en capture sur ce lien - paragraphe "Trojan.Daurso / Win32/Bubnix" : https://forum.malekal.com/viewtopic.php?t=22837&start= 

Soit donc sur la page admin, ça : http://www.cijoint.fr/cjlink.php?file=cj201005/cijsbXDyEi.png 

Madness Rox \o/

fraxa · Answer

Je crois que ça fonctionne pour les fichiers php, apres avoir effacé le script, avast ne détecte plus de troyen. 
En revanche, pour les .js, impossible de les ouvrir, car ils sont bloqués (accès refusé). A noter que j'ai un fichier *.js.lck avec chaque fichier .js 

Est ce un fichier Lock ?

fraxa · Answer

J'ai changé le mot de passe avant d'aspirer le site, à partir de mon pc.

Ca devrait aller non ?

fraxa · Answer

Est ce que cela te parait etre un script à effacer d'un fichier .js ?  


var E={S:"V"};...............................................................new Date();

fraxa · Answer

Bonjour Malekal, 


Je viens poster ce message pour te dire que j'ai réussi apparemment à désinfecter tous les fichiers de mon site, mais j'ai toujours un problème :
L'accès au site est toujours en "erreur de connexion", ainsi que la page admin de mon site.

Saurais tu pourquoi ?

fraxa · Answer

Bonjour Malekal,


Le problème est solutionné, j'ai retrouvé l'intégralité de mon site.
Je te remercie énormément pour ton aide, grâce à toi je saurai réparer le site bcp plus rapidement la prochaine fois, et surtout j'ai économisé 310 € HT de frais de remise en état que me demandais mon développeur...!


Un grand merci, et bonne continuation !

Fx

fraxa · Answer

C'était juste que j'avais changé le mdp de ma base de données... ;)
Oui, je crois que tu pourrais te faire des bons petits chèques à réparer les sites !

Merci encore, franchement !

Fx

Piratage de mon site marchand

20 réponses

Discussions similaires