Mon site Web en Chinois Fermé

Question

Bonjour,  
Alors voilà j'ai eu un soucis sur un serveur de paiement en ligne sur lequel est installé un serveur web Apache Tomcat. 
Un jour un client s'est plaint que la page affichée au moment du paiement (là ou normalement on clique sur le logo de la carte bancaire) apparaissait en Chinois. 

Cette page s'affichait sous forme de formulaire avec un bouton de validation. 
J'ai en cherchant un peu découvert qu'il y avait un service sur ce poste qui écoutait sur le même port (8080) que mon serveur Tomcat et empêchait Tomcat de démarrer. 
Ce service tournait dans un processus SVHOST.EXE. 

J'ai réussit à le désactiver et donc à relancer mon serveur mais ça me fait tout de même un peu peur car je soupçonne très clairement un virus sur ce poste. 
N'y connaissant rien dans ce domaine, je viens ici pour demander un petit coup de main. 

Pour info : Le PC en question est un EeePC avec Windows 7 édition Starter. 

Merci de m'aider. 
Seb 

Configuration: Windows XP / Safari 534.30

Redbart · Answer

https://www.commentcamarche.net/contents/945-svhost-svhost-exe

Malekal_morte- · Answer

Salut,

N'y connaissant rien dans ce domaine, je viens ici pour demander un petit coup de main.

et tu gères un site avec des paiements en ligne ?!

incseb · Answer

Salut à vous, 
Je parlais de désinfection de virus... 
Quant à un site avec des paiement en ligne, c'est juste un serveur qui fait un pont avec les applications sécurisées de la banque. Quand tu héberges toi même ton site de vente, les banques demandent que tu installe un serveur dédié à leur application.  

Par contre il est vrai que je parlais de svchost.exe, désolé pour la faute de frappe.

Malekal_morte- · Answer

Tu as eu combien d'appel avec ce problème ?   
1 seul ?   
Tu arrives à le reproduire ? j'imagine que non sinon tu aurais plus d'infos ?   

C'était quoi le service en question qui ouvrait le port 8080 ?   
C'était un serveur WEB derrière ?   

Ca me paraît bizarre que tu ne constates pas le problème par toi meme, ça fait penser que le problème se situe plus chez ton client que sur ton serveur.  

En plus si c'était ton serveur, tu aurais des connexions vers ce serveur chinois, des trucs bizarre sur tes logs... 

Peux-être que le problème se situe sur le poste de ton client et qu'au moment où ton serveur doit rediriger vers les applis de la banque, un malware présent sur le PC le redirige vers un autre (soit sur le net, soit en local) pour récup ses identifiants de banque ?  



~~  

Pour "voir", fais ça sur ton serveur :   

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

* Lance OTL    
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :    
netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s   
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop   
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s   
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    
* Clique sur le bouton Analyse.    
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.    
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.   

Yes, no, maybe   
I don't know   
Can you repeat the question?   
You're not the boss of me now

incseb · Answer

Salut,
Tout d'abord merci de jeter un oeil à mon problème.
Pour répondre à tes questions, tous les clients ayant essayé de payer en ligne ont eu le même problème. J'ai moi même réussit à afficher la page en Chinois.
Je ne sais pas répondre à ta question en ce qui concerne le service.
Ce que je sais c'est que mon serveur Tomcat ne démarrait plus (j'avais la page en  Chinois aussi bien en local sur le PC qu'à distance via Internet).

J'ai fait le scan OTL et voici donc le lien vers le fichier pjjoint :
https://pjjoint.malekal.com/files.php?id=fb8bf02de6y13p12v7b9n1114d8t8c7h10n7t5o11t14k5p15h5i13c10w14

Encore merci
Seb

incseb · Answer

Et voici le second rapport que je n'avais pas vu...
https://pjjoint.malekal.com/files.php?id=97dcebe3e3t6p11b511e1114z10d7u13z12h6e10q8l8m13t10c10o10b9x6

Malekal_morte- · Answer

La machine est infectée donc serveur compromis :/   
En plus, ca n'a pas l'air qu'il y est d'antivirus installé ...   

genre :   
  SRV - [2011/04/24 08:58:32 | 000,717,656 | --S- | M] (360.cn) [Auto | Stopped] -- C:\Windows\System32\360fix.exe -- (UtilMans)    

Si c'est le mm fichier (faut ocmparer le hash) - il est relativement bien détecté : http://file.virscan.org/report/437f4c37dc9f2627176cb5533236999e.html   

Hupignon étant une m*rde chinoise...   

Envoie ces deux fichiers sur http://upload.malekal.com   
C:\Windows\system\svchost.exe   
C:\Windows\System32\360fix.exe   
C:\windows\Wiainst.exe  

~~   

Relance OTL.    
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:    

:OTL   
PRC - [2011/05/29 10:13:27 | 000,407,040 | ---- | M] () -- C:\Windows\system\svchost.exe     
SRV - [2011/05/29 10:13:27 | 000,407,040 | ---- | M] () [Auto | Running] -- C:\Windows\system\svchost.exe -- (svchost)    
PRC - [2008/11/17 16:59:52 | 001,040,384 | ---- | M] (Youngzsoft) -- C:\Windows\System32\Microsoft\Protect\svchost.exe   
SRV - [2011/04/24 08:58:32 | 000,717,656 | --S- | M] (360.cn) [Auto | Stopped] -- C:\Windows\System32\360fix.exe -- (UtilMans)  
:files  
C:\windows\Wiainst.exe
C:\Windows\System32\Microsoft\Protect\svchost.exe    

* redemarre le pc sous windows et poste le rapport ici    

~~   


Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/     
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.     
!!! Malwarebyte doit être à jour avant de faire le scan !!!    

~~   

Refais un scan OTL, envoie le sur pjjoint et donne le rapport ici.   


Yes, no, maybe   
I don't know   
Can you repeat the question?   
You're not the boss of me now

incseb · Answer

Je m'en doutais un peu...
J'ai uploadé les 2 fichiers comme demandé.

Je confirme qu'il n'y a pas d'Antivirus sur le PC (c'est malheureusement le choix de mon client, sans rentrer dans les détails nous sommes éditeur de progiciel et donc pas responsable de leur parc informatique, je fais appel à vous pour les dépanner...).

Le scan OTL est en cours.
Par contre tu dis de redémarrer le PC sous Windows, dois-je en déduire que je devais redémarrer le PC en mode sans échec avant de lancer ce scan OTL ?

Malekal_morte- · Answer

Non redémarrer tout court en mode normal.  

fichiers reçus.  
J'imagine que c'est ça la page Chinoise dont tu parles : https://pjjoint.malekal.com/files.php?id=35cf995ba7r11x13l6b79g13k11t6u5w8p11s12t15h7u11z11w6d15i11o7 ?  

C'est une page de logging pour le pirate à priori offerte par le malware pour la prise de controle du serveur.  
Pour le peu que je vois, le malware permet d'utiliser le serveur comme proxy, y a des fonctionnalités de serveur FTP etc.  

Tu montreras ces scans à ton client :  
http://www.virustotal.com/file-scan/report.html?id=b3398ebf2bb1745907f76d753897e8046210480fb817210b912963dabf34e1e3-1312301589  
http://www.virustotal.com/file-scan/report.html?id=cc8befc1bfe00c1c261a8b597e7594249c1f229c0ca2be3213d2149023da4412-1312301593  

ca parle d'eux même...  

Yes, no, maybe  
I don't know  
Can you repeat the question?  
You're not the boss of me now

incseb · Answer

C'est exactement cette page....
Les scans parlent en effet d'eux même. Je pense que ça les fera réfléchir un peu. Et puis moi de mon côté je ne me priverai pas de leur faire une petite morale...

Par contre, il n'y a plus personne sur le site pour redémarrer le poste et me redonner la main. Je rentre donc chez moi pour ce soir.

Je te renverrai tout ce que tu as demandé demain matin.

Bonne soirée
Seb

incseb · Answer

Salut,
Voilà donc le scan OTL est terminé, voici le rapport :


========== OTL ==========
Process svchost.exe killed successfully!
Service svchost stopped successfully!
Service svchost deleted successfully!
C:\Windows\system\svchost.exe moved successfully.
Process svchost.exe killed successfully!
Service UtilMans stopped successfully!
Service UtilMans deleted successfully!
File move failed. C:\Windows\System32\360fix.exe scheduled to be moved on reboot.
 
OTL by OldTimer - Version 3.2.26.1 log created on 08022011_183321

Files\Folders moved on Reboot...
C:\Windows\System32\360fix.exe moved successfully.

Registry entries deleted on Reboot...


Je viens de lancer le scan Malwarebyte, je reviens vers toi quand il est terminé.

Seb

incseb · Answer

Scan Malwarebyte terminé, voici le rapport :


Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7364

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

03/08/2011 10:19:13
mbam-log-2011-08-03 (10-19-13).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 152449
Temps écoulé: 5 minute(s), 20 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Je lance le scan OTL

incseb · Answer

Re,

Le scan OTL est terminé, tu trouveras le rapport demandé ici :

https://pjjoint.malekal.com/files.php?id=06703a0a5ae8k15n9e15i12s7u9y5p5o12g10k14r8x12s15g7b8j7t6b11

Seb

Malekal_morte- · Answer

Tu avais enregistré la procédure qq part et tu leurs avais envoyé ? 
car j'ai dû l'éditer un peu après avoir posté. 

il reste ça sur ton dernier rapport : 
  SRV - [2008/11/17 16:59:52 | 001,040,384 | ---- | M] (Youngzsoft) [Auto | Running] -- C:\Windows\System32\Microsoft\Protect\svchost.exe -- (Beehserv)  
 [2011/02/21 18:56:18 | 000,120,688 | ---- | C] () -- C:\windows\Wiainst.exe 

or ils sont mentionnés dans le script OTL de suppression : https://forums.commentcamarche.net/forum/affich-22782958-mon-site-web-en-chinois#10 

Faudrait le refaire. 

Je me demande comment c'est possible que Malwarebyte ne détecte rien \o 

Yes, no, maybe 
I don't know 
Can you repeat the question? 
You're not the boss of me now

incseb · Answer

Non j'ai tout fait moi même.

Je dois refaire le scan Malwarebyte ?
Ou le scan OTL personnalisé comme tu l'avais indiqué plus haut ?
Dans le doute je relance déjà le scan Malwarebyte.

incseb · Answer

Voilà, c'est fait et voici donc le rapport :


========== OTL ==========
Process svchost.exe killed successfully!
Error: No service named svchost was found to stop!
Service\Driver key svchost not found.
File C:\Windows\system\svchost.exe not found.
Process svchost.exe killed successfully!
Error: No service named UtilMans was found to stop!
Service\Driver key UtilMans not found.
File C:\Windows\System32\360fix.exe not found.
========== FILES ==========
C:\windows\Wiainst.exe moved successfully.
C:\Windows\System32\Microsoft\Protect\svchost.exe moved successfully.
 
OTL by OldTimer - Version 3.2.26.1 log created on 08032011_114746

incseb · Answer

C'est fait, tu trouveras le rapport ici :

https://pjjoint.malekal.com/files.php?id=62aa454353q5k6i11k7z14e8b9v5s9r10u12b13b7d5f15i6g10p13v9e8

Malekal_morte- · Answer

OK ben ça doit être mieux.
Eventuellement soumet ce fichier C:\Windows\cwbrxd.exe  sur https://www.virustotal.com/gui/ mais il doit être OK.

Ce serait bien de coller un antivirus pour faire un scan.

incseb · Answer

Salut, 
Le fichier cwbrxd.exe est OK. Je pense même savoir de quoi il s'agit et ça vient d'une application que j'ai installé sur le poste.

Je charge un antivirus et te tiens informé du résultat du scan.
Tu as une préférence pour l'antivirus ?

Mon site Web en Chinois

19 réponses

Discussions similaires