CouponDropDown Résolu/Fermé

Question

Bonjour, 

Il semblerait que mon ordi soit infecté par Coupondropdown , ce qui aurait infecte mon site marchand dont je suis admin ...
C'est ce que m'a dit Clicboutic qui héberge ma boutique.

Des pub "coupondropdown" apparaissaient quand on cliquait sur les articles de mon site .
Clicboutic ayant été contacté ...on  m'a dit que c'est moi qui avait introduit des "codes" via mon interface admin ... 
Une dizaine de personnes ont constaté ce problème sur toute la France

Clicboutic a  nettoyé aujourd'hui ... (pas gratuitement, bien sur ) plus de pub sur les articles, mais j'ai toujours des pub sur des pages du site ...
Que faire ???

Merci d'avance
Bernardo



Configuration: Windows 7 / Firefox 35.0

Malekal_morte- · Answer

Salut, 

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB. 
Voici la procédure à suivre pour les supprimer : 

Commence par ceci :

Suis le tutorial AdwCleaner https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= ( d'Xplode ) 
Télécharge le sur ton bureau ou dossier de téléchargement.  
Lance AdwCleaner, clique sur [Scanner].
L'analyse peux durer plusieurs minutes, patiente.
Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  


puis :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

bernardo31 · Answer

# AdwCleaner v4.110 - Rapport créé le 06/02/2015 à 22:44:34
# Mis à jour le 05/02/2015 par Xplode
# Base de données : 2015-02-05.2 [Serveur]
# Système d'exploitation : Windows 7 Professional Service Pack 1 (x64)
# Nom d'utilisateur : Bernardo - TOSHIBA
# Exécuté depuis : C:\Users\Bernardo\Downloads\adwcleaner_4.110.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{92780B25-18CC-41C8-B9BE-3C9C571A8263}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263}

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.17496


-\ Mozilla Firefox v35.0.1 (x86 fr)


-\ Comodo Dragon v


*************************

AdwCleaner[R0].txt - [6410 octets] - [12/02/2014 09:06:21]
AdwCleaner[R10].txt - [1907 octets] - [01/02/2015 18:36:48]
AdwCleaner[R11].txt - [2028 octets] - [03/02/2015 12:44:00]
AdwCleaner[R12].txt - [2150 octets] - [06/02/2015 16:33:07]
AdwCleaner[R13].txt - [2494 octets] - [06/02/2015 22:42:54]
AdwCleaner[R1].txt - [1141 octets] - [12/02/2014 19:31:47]
AdwCleaner[R2].txt - [2468 octets] - [28/06/2014 10:24:38]
AdwCleaner[R3].txt - [2157 octets] - [13/01/2015 23:32:58]
AdwCleaner[R4].txt - [5555 octets] - [14/01/2015 20:08:18]
AdwCleaner[R5].txt - [5615 octets] - [14/01/2015 20:10:30]
AdwCleaner[R6].txt - [1503 octets] - [16/01/2015 10:20:43]
AdwCleaner[R7].txt - [1613 octets] - [21/01/2015 11:54:53]
AdwCleaner[R8].txt - [1731 octets] - [21/01/2015 12:21:24]
AdwCleaner[R9].txt - [2361 octets] - [01/02/2015 11:51:02]
AdwCleaner[S0].txt - [5957 octets] - [12/02/2014 09:07:54]
AdwCleaner[S10].txt - [2213 octets] - [06/02/2015 16:35:20]
AdwCleaner[S11].txt - [1880 octets] - [06/02/2015 22:44:34]
AdwCleaner[S1].txt - [2495 octets] - [28/06/2014 10:26:20]
AdwCleaner[S2].txt - [2228 octets] - [13/01/2015 23:35:01]
AdwCleaner[S3].txt - [5352 octets] - [14/01/2015 20:12:03]
AdwCleaner[S4].txt - [1565 octets] - [16/01/2015 10:24:41]
AdwCleaner[S5].txt - [1675 octets] - [21/01/2015 11:56:59]
AdwCleaner[S6].txt - [1793 octets] - [21/01/2015 12:28:54]
AdwCleaner[S7].txt - [2434 octets] - [01/02/2015 11:52:36]
AdwCleaner[S8].txt - [1968 octets] - [01/02/2015 18:40:38]
AdwCleaner[S9].txt - [2089 octets] - [03/02/2015 12:50:46]

########## EOF - C:\AdwCleaner\AdwCleaner[S11].txt - [2481  octets] ##########

bernardo31 · Answer

https://pjjoint.malekal.com/files.php?id=20150206_x11g67g10o5 (shortcuts)
https://pjjoint.malekal.com/files.php?id=20150206_v5b8m7k13j10 (addition)

Impossible de joindre le FSRT , soit copier/coler, soit en PJ "page unavailable"

bernardo31 · Answer

Bonjour,
C'est fait ...

Malekal_morte- · Answer

ok le lien : https://pjjoint.malekal.com/files.php?id=20150207_h7h6h13t9g15

je regarde =)

Malekal_morte- · Answer

c'est le boxon au niveau des antitrucs.

Déjà deux antivirus + Superantispyware + AVG PC TuneUp
Désinstalle tout et ne garde que Avast! avec éventuellement Malwarebytes.

AV: Microsoft Security Essentials (Enabled - Up to date) {4F35CFC4-45A3-FC37-EF17-759A02E39AB1}
AV: avast! Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AS: Microsoft Security Essentials (Enabled - Up to date) {F4542E20-6399-F3B9-D5A7-4EE87964D00C}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: avast! Antivirus (Enabled - Up to date) {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
FW: avast! Antivirus (Enabled) {2F96FC65-F07D-9D1E-5A6E-3DA5C487EAF0} 
 

~~

Pas grand chose après.

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

 2015-02-06 08:05 - 2015-02-06 08:07 - 00000000 ____D () C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7 


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur



Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
* Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=
* Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=

bernardo31 · Answer

Bonjour,

Tune up n'est ni antivirus ni antimalware  ;)
Je vais suivre tes conseils, mais si tu peux m'expliquer comment je peux moi même infecter mon site via l'interface administrateur ...
Il m'est reproché par Clicboutic d'avoir "injecté du code"  alors que j'ai fait des mises à jour de la description articles ... je n'ai pas accédé au ftp ni à l'éditeur de code. 

Merci pour tes conseils ... 
Bernardo

bernardo31 · Answer

www.argent-vital.com  (base Prestashop revue par "clicboutic" )

Malekal_morte- · Answer

Les publicités Ads by CouponDown sont normalement affichése sur les ordinateurs qui ont installés des adwares. Voir la fiche Ads by CouponDropDown.

Effectivement ton site affiche ces publicités, ce qui est anormal.



Je pense que le code à l'origine de ces publicités est le suivant (côté client)
Il faut que tu trouves la source qui génère ce code, extension malicieuse, modification de pages de WordPress etc afin que les publicités s'arrêtent.

Si tu ne trouves pas ou si tu n'as pas les compétences, le mieux serait de repartir d'un backup ou d'une installation saine.


 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

bernardo31 · Answer

Je n'ai pas la main sur le site ... Clicboutic me dit que c'est MA FAUTE
Or j'ai trouvé des tas de sites Prestashop infectés par cette saloperie

Il suffit de taper "prestashop coupondropdown" dans google pour avoir la liste.

Est il normal que en modifiant le texte des articles sur le site par le biais de l'interface admin,  "j'injecte du code" ?? ... sans aller dans le ftp ??

Malekal_morte- · Answer

Ca ne veut rien dire les "plaintes", ça peut venir de ton PC.

Sur deux autres sites de commerces clicboutic, le problème ne se présente pas :
http://www.ateliersmoke.fr/en/cigarettes-electroniques/359-kit-starter-aspire-.html
http://www.boutique-uda.com/fr/21-polos

donc c'est vraiment spécifique au tiens.

Y a un script qui a été ajouté (voir plus haut) qui provoque ces publicités.
A toi de faire le nécessaire pour le supprimer.

bernardo31 · Answer

"les plaintes" ? quelles plaintes STP ?
En tout cas merci pour ton aide ... 

Tu as une idée ? ce script a pu être ajouté par mon ordi ?? ou bien par un hacker?
S'il y a une faille dans la sécurité du site ?? 
Merci de me répondre à l'adresse mail à laquelle j'ai envoyé le fichier FSRT
Merci beaucoup
bernardo

bernardo31 · Answer

Merci pour tout Malekal_Morte 
Bon week end

Malekal_morte- · Answer

Merci à toi aussi =)