Piratage de mon site marchand

fraxa Messages postés 18 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Je suis victime d'un piratage depuis mardi 18 mai 2010. J'ai un site marchand, et depuis mardi je ne peux plus y accéder car mon antivirus me bloque la page d'accès au site, ainsi qu'à mon outil d'administration.
Depuis, le site n'existe plus, quand je veux y accéder, mon navigateur me renvoie une erreur 500.

Voici la chronologie des faits :
Mardi : les produits du site ont été effacés l'espace d'une heure, puis ont réapparus
Mercredi : mon antivirus me détecte des trojans Illredir-BV, je ne peux donc plus accéder à mon site en toute sécurité.
Jeudi : mon antivirus me renvoie sur une page avec un gros sens interdit, me disant que mon site contient des éléments provenant du site westcountry.ru, lequel semble héberger des logiciels malveillants. J'abandonne donc la connexion à mon site.
Vendredi : Quand je veux me rendre sur la page d'accueil de mon site, plus rien, page blanche et erreur 500...

Comment faire pour récupérer mon site ?
Etant donné que j'ai à chaque fois été averti par mon antivirus, y a t'il un risque que mon pc soit qd même infecté ?

Merci pour votre aide !

20 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    "Erreur de connexion !"
    Ta base de données tourne pas ou les infos de connexion sont erronées.
    Mais bon c'est pas le plus grave.

    hxtp://www.deco-line.fr/admin/

    y a un javascript malicieux tout en bas, c'est ce que ton antivirus détecte.
    Tu es infecté par Daurso/bubnix.

    Tes identifiants FTP ont été volé par ce malware - lire : https://forums.commentcamarche.net/forum/affich-17637285-rkit-bubnix-s#10

    Sur le PC dont tu te sers pour accéder à ton site par FTP :

    Désactive les logiciels de protection (Antivirus, Antispywares) puis :

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

    Eventuellement, installe la console de récupération comme cela est conseillé

    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

    Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

    Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    Madness Rox \o/
    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Comment veux-tu qu'on t'aide sans avoir l'adresse du site ?!
    0
  3. fraxa Messages postés 18 Statut Membre
     
    Le site est www.deco-line.fr

    Merci...!
    0
  4. fraxa Messages postés 18 Statut Membre
     
    Merci Malekal pour ton aide. Après qqs problèmes, j'ai réussi à obtenir ce rapport :

    ComboFix 10-05-21.06 - Admin 22/05/2010 13:31:51.1.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3038.2017 [GMT 2:00]
    Lancé depuis: c:\users\Admin\Desktop\ComboFix.exe
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    .
    .
    .
    .etc.

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-22 au 2010-05-22 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-22 11:45 . 2010-05-22 11:45 -------- d-----w- c:\users\postgres\AppData\Local\temp
    2010-05-22 11:45 . 2010-05-22 11:45 -------- d-----w- c:\users\Fx\AppData\Local\temp
    2010-05-22 11:45 . 2010-05-22 11:45 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-05-19 09:43 . 2010-05-19 09:43 -------- d-----w- c:\users\Fx\AppData\Roaming\Foxit Software
    2010-05-16 17:32 . 2010-05-16 17:32 -------- d-----w- c:\program files\Sweet Home 3D
    2010-05-16 16:48 . 2010-05-16 16:48 -------- d-----w- c:\program files\IKEA HomePlanner
    2010-05-16 16:48 . 2010-05-16 16:48 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
    2010-05-15 20:24 . 2010-05-21 21:02 -------- d-----w- c:\users\Fx\AppData\Roaming\vlc
    2010-05-12 08:20 . 2010-01-29 15:40 738816 ----a-w- c:\windows\system32\inetcomm.dll
    2010-05-06 07:45 . 2010-05-06 07:46 -------- d-sh--w- c:\windows\system32\MPK
    2010-05-04 20:08 . 2010-05-04 20:08 56766 ----a-w- c:\programdata\DivX\DivXPlusShortcuts\Uninstaller.exe
    2010-05-04 20:08 . 2010-05-04 20:03 754984 ----a-w- c:\programdata\DivX\Setup\Resource.dll
    2010-05-04 20:08 . 2010-05-04 20:03 1180952 ----a-w- c:\programdata\DivX\Setup\DivXSetup.exe
    2010-05-04 20:08 . 2010-02-27 23:46 530625 ----a-w- c:\programdata\DivX\DivX7\DivX Plus DirectShow Filters\DivXDSFiltersUninstall.exe
    2010-05-04 20:08 . 2009-04-23 11:10 508712 ----a-w- c:\programdata\DivX\DivX7\DivX Converter\DivXConverterUninstall.exe
    2010-05-04 20:08 . 2010-05-04 20:08 56978 ----a-w- c:\programdata\DivX\WebPlayer\Uninstaller.exe
    2010-05-04 20:08 . 2010-05-04 20:08 57679 ----a-w- c:\programdata\DivX\Player\Uninstaller.exe
    2010-05-04 20:08 . 2010-05-04 20:08 53600 ----a-w- c:\programdata\DivX\Update\Uninstaller.exe
    2010-05-04 20:03 . 2010-05-04 20:03 144696 ----a-w- c:\programdata\DivX\RunAsUser\RUNASUSERPROCESS.exe
    2010-05-04 20:03 . 2010-05-04 20:08 -------- d-----w- c:\programdata\DivX
    2010-05-03 08:55 . 2010-05-07 10:09 -------- d-----w- c:\users\Fx\AppData\Local\CutePDF Writer
    2010-05-03 08:54 . 2010-05-03 08:54 -------- d-----w- c:\program files\GPLGS
    2010-05-03 08:53 . 2009-11-05 06:39 87552 ----a-w- c:\windows\system32\cpwmon2k.dll
    2010-05-03 08:53 . 2010-05-03 08:53 -------- d-----w- c:\program files\Acro Software
    2010-04-27 07:15 . 2010-04-27 07:15 -------- d-----w- C:\VAIO Entertainment
    2010-04-27 05:49 . 2010-04-27 05:49 -------- d-----w- c:\windows\system32\syncdb

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-22 11:46 . 2009-03-23 16:28 12 ----a-w- c:\windows\bthservsdp.dat
    2010-05-22 11:00 . 2010-05-22 11:00 -------- d-----w- c:\users\Admin\AppData\Roaming\Sony Corporation
    2010-05-22 11:00 . 2010-05-22 11:00 95304 ----a-w- c:\users\Admin\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-05-22 10:56 . 2009-08-29 17:45 -------- d-----w- c:\users\Fx\AppData\Roaming\uTorrent
    2010-05-22 10:10 . 2010-04-13 20:32 -------- d-----w- c:\program files\Windows Live Safety Center
    2010-05-20 09:43 . 2008-01-21 08:40 679418 ----a-w- c:\windows\system32\perfh00C.dat
    2010-05-20 09:43 . 2008-01-21 08:40 128418 ----a-w- c:\windows\system32\perfc00C.dat
    2010-05-20 07:04 . 2009-08-29 17:45 -------- d-----w- c:\program files\uTorrent
    2010-05-18 20:43 . 2009-12-27 22:36 -------- d-----w- c:\users\Fx\AppData\Roaming\Spotify
    2010-05-14 09:13 . 2009-09-17 01:04 1356 ----a-w- c:\users\Fx\AppData\Local\d3d9caps.dat
    2010-05-12 11:26 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-05-12 11:26 . 2009-04-23 11:18 -------- d-----w- c:\programdata\Microsoft Help
    2010-05-12 09:21 . 2009-10-02 17:03 221568 ------w- c:\windows\system32\MpSigStub.exe
    2010-05-11 12:23 . 2009-11-28 12:36 -------- d-----w- c:\program files\Everest Poker
    2010-05-06 19:56 . 2009-09-03 20:37 -------- d-----w- c:\users\Fx\AppData\Roaming\DivX
    2010-05-05 07:06 . 2009-04-23 11:10 -------- d-----w- c:\program files\DivX
    2010-05-04 20:00 . 2009-10-16 09:01 -------- d-----w- c:\users\Fx\AppData\Roaming\dvdcss
    2010-04-28 06:38 . 2010-04-13 19:59 -------- d-----w- c:\program files\a-squared Anti-Malware
    2010-04-27 07:19 . 2010-03-23 13:22 -------- d-----w- c:\users\Fx\AppData\Roaming\Paltalk
    2010-04-27 07:17 . 2009-03-24 08:22 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-04-27 07:17 . 2009-12-29 23:35 -------- d-----w- c:\program files\Movies2iPhone
    2010-04-27 07:15 . 2009-11-28 09:10 -------- d-----w- c:\program files\MediaInfo
    2010-04-27 07:15 . 2009-03-24 09:42 -------- d-----w- c:\programdata\Sony Corporation
    2010-04-27 07:15 . 2009-03-23 16:29 -------- d-----w- c:\program files\sony
    2010-04-27 07:13 . 2009-12-06 13:14 -------- d-----w- c:\program files\Easy MPEG AVI DIVX WMV RM to DVD
    2010-04-27 05:55 . 2009-03-24 09:41 -------- d-----w- c:\program files\Common Files\Adobe
    2010-04-27 05:44 . 2009-08-29 15:03 95304 ----a-w- c:\users\Fx\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-04-27 05:26 . 2010-03-15 12:43 -------- d-----w- c:\programdata\Codemasters
    2010-04-27 05:25 . 2009-03-24 08:19 -------- d-----w- c:\program files\ATI
    2010-04-15 11:26 . 2010-02-28 22:31 -------- d-----w- c:\users\Fx\AppData\Roaming\FileZilla
    2010-04-14 07:43 . 2010-04-07 10:37 -------- d-----w- c:\program files\UltraVNC
    2010-04-07 12:36 . 2010-04-07 12:36 -------- d-----w- c:\program files\QS
    2010-04-07 12:36 . 2010-04-07 12:36 -------- d-----w- c:\users\Fx\AppData\Roaming\TeamViewer
    2010-03-31 01:58 . 2009-04-23 11:29 133616 ------w- c:\windows\system32\pxafs.dll
    2010-03-31 01:58 . 2008-06-16 10:55 125424 ------w- c:\windows\system32\pxinsi64.exe
    2010-03-30 07:12 . 2009-09-04 15:40 2485883 ----a-w- c:\programdata\ArcSoft\Global Deploy\CheckUpdate\ArcConnect.exe
    2010-03-15 18:08 . 2010-03-12 13:50 215104 ----a-w- c:\windows\system32\PnkBstrB.exe
    2010-03-15 17:51 . 2010-03-12 13:51 138576 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
    2010-03-14 14:15 . 2010-03-12 13:50 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
    2010-03-12 13:51 . 2010-03-12 13:51 22328 ----a-w- c:\users\Fx\AppData\Roaming\PnkBstrK.sys
    2010-03-12 13:51 . 2010-03-12 13:51 22328 ----a-w- c:\users\Fx\AppData\Roaming\PnkBstrK.sys
    2010-03-08 17:59 . 2009-01-14 22:06 94208 ----a-w- c:\windows\system32\dpl100.dll
    2010-03-05 14:01 . 2010-04-14 13:23 420352 ----a-w- c:\windows\system32\vbscript.dll
    2010-02-23 11:10 . 2010-04-14 13:23 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
    2010-02-23 11:10 . 2010-04-14 13:23 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
    2010-02-23 11:10 . 2010-04-14 13:23 106496 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2010-02-23 06:39 . 2010-03-31 18:35 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-02-23 06:33 . 2010-03-31 18:35 109056 ----a-w- c:\windows\system32\iesysprep.dll
    2010-02-23 06:33 . 2010-03-31 18:35 71680 ----a-w- c:\windows\system32\iesetup.dll
    2010-02-23 04:55 . 2010-03-31 18:35 133632 ----a-w- c:\windows\system32\ieUnatt.exe
    2006-05-03 09:06 . 2009-12-06 12:46 163328 --sh--r- c:\windows\System32\flvDX.dll
    2007-02-21 10:47 . 2009-12-06 12:46 31232 --sh--r- c:\windows\System32\msfDX.dll
    2008-03-16 12:30 . 2009-12-06 12:46 216064 --sh--r- c:\windows\System32\nbDX.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NSUFloatingUI"="c:\program files\Sony\Network Utility\LANUtil.exe" [2008-12-21 274432]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
    "DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-04-12 1135912]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
    2009-01-19 10:49 98304 ----a-w- c:\windows\System32\VESWinlogon.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
    2009-08-29 17:33 133104 ----atw- c:\users\Fx\AppData\Local\Google\Update\GoogleUpdate.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
    2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
    2010-05-19 09:40 322352 ----a-w- c:\program files\uTorrent\uTorrent.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):7b,0f,ab,ea,75,35,ca,01

    R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\RaInfo.sys [x]
    R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-02-09 29736]
    R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-09-23 238960]
    R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys [x]
    R3 SOHCImp;VAIO Media plus Content Importer;c:\program files\Common Files\Sony Shared\SOHLib\SOHCImp.exe [2009-02-05 120104]
    R3 SOHDBSvr;VAIO Media plus Database Manager;c:\program files\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe [2009-02-05 70952]
    R3 SOHDms;VAIO Media plus Digital Media Server;c:\program files\Common Files\Sony Shared\SOHLib\SOHDms.exe [2009-02-05 390440]
    R3 SOHDs;VAIO Media plus Device Searcher;c:\program files\Common Files\Sony Shared\SOHLib\SOHDs.exe [2009-02-05 75048]
    R3 SOHPlMgr;VAIO Media plus Playlist Manager;c:\program files\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe [2009-02-05 91432]
    R3 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2009-01-19 394536]
    R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe [2009-01-16 83240]
    R3 VUAgent;VUAgent;c:\program files\sony\VAIO Update 5\VUAgent.exe [2009-12-08 673136]
    R4 RFNP32;WebDrive Provider; [x]
    S0 shpf;Sony HDD Protection Filter Driver;c:\windows\system32\DRIVERS\shpf.sys [2008-08-26 23712]
    S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-09-03 721904]
    S1 aswSP;avast! Self Protection; [x]
    S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-07-10 176128]
    S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-11-24 20560]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2009-11-24 53328]
    S2 NSUService;NSUService;c:\program files\sony\Network Utility\NSUService.exe [2008-12-21 303104]
    S2 pgsql-8.2;PostgreSQL Database Server 8.2;c:\program files\PostgreSQL\8.2\bin\pg_ctl.exe [2008-03-17 84657]
    S2 regi;regi;c:\windows\system32\drivers\regi.sys [2007-04-17 11032]
    S2 RtkAudioService;Realtek Audio Service;c:\program files\Realtek\Audio\HDA\RtkAudioService.exe [2009-01-06 109088]
    S2 uCamMonitor;CamMonitor;c:\program files\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [2008-09-18 104960]
    S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [2008-12-19 415592]
    S2 VCFw;VAIO Content Folder Watcher;c:\program files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [2009-01-14 5184872]
    S2 WebDriveFSD;WebDrive File System Driver;c:\program files\NetDrive\rffsd.sys [2002-11-27 67032]
    S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilter.sys [2008-04-24 17920]
    S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2009-05-28 4233728]
    S3 pnetmdm;PdaNet Modem;c:\windows\system32\DRIVERS\pnetmdm.sys [2006-09-28 9472]
    S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2008-11-19 9344]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    bthsvcs REG_MULTI_SZ BthServ
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    .
    Contenu du dossier 'Tâches planifiées'

    2010-05-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3604794011-1830294855-4145430544-1000Core.job
    - c:\users\Fx\AppData\Local\Google\Update\GoogleUpdate.exe [2009-08-29 17:33]

    2010-05-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3604794011-1830294855-4145430544-1000UA.job
    - c:\users\Fx\AppData\Local\Google\Update\GoogleUpdate.exe [2009-08-29 17:33]

    2010-05-22 c:\windows\Tasks\User_Feed_Synchronization-{B376F7CB-5B8C-4004-8D92-2DCBC8BA1E12}.job
    - c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SNYT&bmod=EU01
    mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SNYT&bmod=SNYT
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    FF - ProfilePath -
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\program files\DivX\DivXCodecUninstall.exe

    **************************************************************************
    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés:

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:0000003d

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'Explorer.exe'(5800)
    c:\program files\WIDCOMM\Bluetooth Software\btncopy.dll
    c:\program files\WinSCP\DragExt.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\EGYUQD~1.EXE
    c:\windows\system32\atieclxx.exe
    c:\program files\Alwil Software\Avast4\aswUpdSv.exe
    c:\program files\Alwil Software\Avast4\ashServ.exe
    c:\windows\system32\WLANExt.exe
    c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    c:\program files\WIDCOMM\Bluetooth Software\btwdins.exe
    c:\program files\Intel\WiFi\bin\EvtEng.exe
    c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
    c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
    c:\windows\system32\PnkBstrA.exe
    c:\windows\system32\PnkBstrB.exe
    c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe
    c:\program files\sony\VAIO Event Service\VESMgr.exe
    c:\program files\PostgreSQL\8.2\bin\postgres.exe
    c:\windows\system32\DllHost.exe
    c:\program files\PostgreSQL\8.2\bin\postgres.exe
    c:\program files\PostgreSQL\8.2\bin\postgres.exe
    c:\program files\PostgreSQL\8.2\bin\postgres.exe
    c:\program files\sony\VAIO Event Service\VESMgrSub.exe
    c:\windows\system32\DllHost.exe
    c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
    c:\windows\system32\WUDFHost.exe
    c:\program files\Alwil Software\Avast4\ashMaiSv.exe
    c:\program files\Alwil Software\Avast4\ashWebSv.exe
    c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    c:\windows\servicing\TrustedInstaller.exe
    c:\program files\Sony\VAIO Power Management\SPMgr.exe
    c:\windows\system32\conime.exe
    c:\program files\Sony\VAIO Update 5\VAIOUpdt.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-05-22 14:09:36 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-05-22 12:09

    Avant-CF: 116 635 713 536 octets libres
    Après-CF: 116 560 605 184 octets libres

    - - End Of File - - 8A007A70C58C7191237FB0028187843F
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Faudrait le rapport en entier, tu as masqué les suppressions.
    Si c'est trop long, envoie là : http://www.cijoint.fr/
    et donne le lien ici.
    0
  7. fraxa Messages postés 18 Statut Membre
     
    Merci pour ton aide, voici le log :

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijq4jk1IW.txt

    Merci encore.
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Affiche les fichiers cachés : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

    Supprime : c:\windows\system32\MPK
    Refog.Keylogger apparemment.

    Malwarebyte le vire apparemment, si tu veux faire un scan, voir : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    Dans tous les cas, tu n'as pas le malware a l'origine de la modification de ton site.
    L'accès FTP à ton site, il se fait que depuis ton PC ou d'autres personnes y ont accès ?
    0
  9. fraxa Messages postés 18 Statut Membre
     
    Après un scan avec Spyware Doctor, j'ai nettoyé toutes les infections, il y en avait 166 réparties dans 6 malwares, dont Keylogger, KGB Trojan et Trojan Downloader.

    L'accès FTP à mon site se fait par Celeonet, donc par mon pc ou d'autres, puisque j'ai les codes pour accéder au ftp hébergé par Celeonet.

    Mon pc est donc hors de danger ?
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ton PC ouaip.
    Mais y a un des PC qui a accès au site qui est infecté, faut déterminer lequel c'est.

    En attendant ce que tu peux faire, c'est changer les mots de passe FTP.
    Nettoyer le site.

    Et faut donner le nouveau mot de passe aux personnes qui ont un PC sain, sinon ça va revenir.
    0
  11. fraxa Messages postés 18 Statut Membre
     
    Le PC de ma femme doit être infecté, parce que quand je tape sur google spyware doctor pour le télécharger, mon navigateur se ferme automatiquement. Quand je tape une autre requête, pas de problème.
    De plus, j'ai transféré le prog d'installation sur son PC avec une clé USB, et quand je lance l'install, le prog se ferme également irrémédiablement.

    Comment faire pour vérifier si son pc est infecté sans pouvoir installer spyware doctor ?

    Autre question : comment nettoyer mes fichiers html, css, php etc. de mon site ? Je dois les aspirer avec filezilla, les mettre sur mon DD et relancer spyware doctor ? Tous mes fichiers sont sur le ftp de mon hébergeur...

    Si je comprends bien, le problème vient de certains scripts présents dans certains fichiers de mon site. Spyware doctor est il capable de détecter des scripts malveillants ?

    Encore une fois 1000 mercis pour ton aide qui m'est très précieuse dans ces moments pénibles...!
    0
    1. alhuno1 Messages postés 2079 Statut Contributeur 226
       
      Exactement.
      Tu récupères les fichiers par FTP et tu refais un ComboFix après.
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Possible pour le PC de ta femme mais bon les plantages de programmes c'est pas certains que cela vienne d'une infection.
      Tu n'as qu'à poster un rapport Combofix en précisant que c'est le PC de ta femme.

      Par contre.... tu devrais pas installer Spyware Doctor... c'est de la m*rde....
      Les antispywares gratuits servent à rien, ils protègent de pas grand chose.... et il est pas capable de détecter et encore moins de supprimer les grosses infections....

      Si je comprends bien, le problème vient de certains scripts présents dans certains fichiers de mon site. Spyware doctor est il capable de détecter des scripts malveillants ?

      oui ça vient des scripts qui ont été ajoutés qui infectent les visiteurs.
      Pour Spyware Doctor y a peu de chance.
      0
  12. fraxa Messages postés 18 Statut Membre
     
    Ok, je vais aspirer mon site dans la matinée, refaire un ComboFix et poster le nouveau log généré.

    Depuis que j'ai fait le 1er ComboFix, j'ai un message d'erreur à chaque fois que j'entre ou quitte une session windows :
    "mpnotify.exe : le fichier RFHelper.dll est endommagé ou manquant".

    Je vois sur les forums que ce programme est souvent lié à des infections. Comment corriger cette erreur ?

    Je repose également la question du PC de ma femme, que j'ai postée dans mon dernier message.

    Merci, grâce à vous, je suis sûr que je vais réussir à tout remettre en ordre !
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      RFHelper.dll a été supprimé pra Combofix.
      µIl est dans C:\qoobox\quarantine\c\windows\system32\RFHelper.dll
      Recopie le dans C:\Windows\system32
      0
    2. fraxa Messages postés 18 Statut Membre
       
      Merci Malekal, problème corrigé !
      0
  13. fraxa Messages postés 18 Statut Membre
     
    Je suis en train d'aspirer le site, et avast me trouve une quantité impressionnante de troyens, quasiment tous dans des fichiers index ou .js. Je les mets donc en quarantaine comme avast me le recommande, mais une fois que l'aspiration du site sera finie, comment faudra t'il que je procède pour nettoyer tous ces fichiers ?

    Faudra t'il que je les ouvre et que j'efface les scripts un à un ??
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Faudra t'il que je les ouvre et que j'efface les scripts un à un ??

      oui. Faut nettoyer les pages..... le code Javascript qui a été ajouté.
      Si tu les mets en quarantaine, tu vas perdre les fichiers.

      Après tu peux le faire de manière automatique.... M'enfin si t'es sous Windows, c'pas simple... Dreamweaver doit le faire... ou faut un programme de recherche/remplacer sous Windows.

      Soit tu remets une sauvegarde....
      Si c'est un genre de framework tout fait, tu le réinstalles...
      0
  14. fraxa Messages postés 18 Statut Membre
     
    Malekal, je t'ai envoyé en mp le lien pour un fichier index infecté. Peux tu me dire ce que je dois remplacer ou tout simplement effacé ?

    Merci.
    0
  15. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Pas reçu de PM.

    La même chose qui est donné en capture sur ce lien - paragraphe "Trojan.Daurso / Win32/Bubnix" : https://forum.malekal.com/viewtopic.php?t=22837&start=

    Soit donc sur la page admin, ça : http://www.cijoint.fr/cjlink.php?file=cj201005/cijsbXDyEi.png

    Madness Rox \o/
    0
  16. fraxa Messages postés 18 Statut Membre
     
    Je crois que ça fonctionne pour les fichiers php, apres avoir effacé le script, avast ne détecte plus de troyen.
    En revanche, pour les .js, impossible de les ouvrir, car ils sont bloqués (accès refusé). A noter que j'ai un fichier *.js.lck avec chaque fichier .js

    Est ce un fichier Lock ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Le lck c'est peut-être dreamweaver.... quand le fichier est extrait par quelqu'un d'autres....
      Enfin en tout cas il fait ça.

      Bha faut pas mettre les fichiers en accès refusé sur Avast! si tu veux pouvoir les éditer...
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu es conscient que si le mot de passe FTP d'accès au site n'a pas été changé depuis un PC non infecté, cela sert à rien ce que tu fais ?
      0
  17. fraxa Messages postés 18 Statut Membre
     
    J'ai changé le mot de passe avant d'aspirer le site, à partir de mon pc.

    Ca devrait aller non ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      OK ça roule :)
      0
  18. fraxa Messages postés 18 Statut Membre
     
    Est ce que cela te parait etre un script à effacer d'un fichier .js ?

    var E={S:"V"};...............................................................new Date();
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      yep
      0
  19. fraxa Messages postés 18 Statut Membre
     
    Bonjour Malekal,

    Je viens poster ce message pour te dire que j'ai réussi apparemment à désinfecter tous les fichiers de mon site, mais j'ai toujours un problème :
    L'accès au site est toujours en "erreur de connexion", ainsi que la page admin de mon site.

    Saurais tu pourquoi ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      bha erreur de connexion, c'est certainement car ton site fonctionne avec une base de données et que le site n'arrive pas à joindre la bd, ça peux venir de plusieurs choses :
      * les infos de connexion dans la conf du site sont erronées
      * quelque chose bloque la connexion comme un pare-feu
      * le serveur de données tourne plus
      * le serveur de données tourne mais la base de ton site est dead ou il manque des tables

      ça peux venir de plein de choses.
      0
  20. fraxa Messages postés 18 Statut Membre
     
    Bonjour Malekal,

    Le problème est solutionné, j'ai retrouvé l'intégralité de mon site.
    Je te remercie énormément pour ton aide, grâce à toi je saurai réparer le site bcp plus rapidement la prochaine fois, et surtout j'ai économisé 310 € HT de frais de remise en état que me demandais mon développeur...!

    Un grand merci, et bonne continuation !

    Fx
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      bonne nouvelle.
      Puré 310 euros \o/
      Vais me mettre à réparer les sites moi :D

      Par curiosité, c'était quoi le prb de connexion ?
      0
  21. fraxa Messages postés 18 Statut Membre
     
    C'était juste que j'avais changé le mdp de ma base de données... ;)
    Oui, je crois que tu pourrais te faire des bons petits chèques à réparer les sites !

    Merci encore, franchement !

    Fx
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      :)
      0