Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Tout d'abord bonjour à vous et merci pour le travail que vous faites. Alors j'ai plusieurs soucis et sollicite votre aide car je suis un peu perdu et j'aimerais faire les choses proprement. Voilà mon problème : je gère un blog sous dotclear qui a récemment été épinglé comme malveillant par google. Après m'etre un peu renseigné, j'ai changer mes codes ftp (je suis hébergé chez OVH), désinstaller Filezilla et fait un scan de mon DD avec Malwarebyte's qui m'a trouvé 9 infections. J'ai aussi vérifié les fichiers du blog et il s'avère effectivement qu'ils comportent des lignes de codes de type script src=htp://porn-dvd-store.com... et d'autre codé en base64 qui après décodage sont à peu près similaires. Je dispose d'une sauvegarde de l'intégralité du blog sur mon DD.

Mes questions sont :

 

comment être certain que mon disque dur n'est pas/plus infecté ?

 

sachant que je suis la seule personne à uploader des fichiers par ftp mais que d'autres utilisateurs utilisent la console d'administration en ligne de dotclear est ce que l'infection du blog peut venir d'un autre PC que le mien ?

 

Est ce que je peux désinfecter les fichiers du blog ou est ce qu'il est préférable de les remplacer par la sauvegarde que j'ai faite il y a 8 mois ?

 

J'utilise Avast et après avoir parcouru le forum et notamment les post de Malekal j'ai pu voir qu'il était préférable de changer pour Antivir ? Est ce nécessaire et si oui qu'elle est la procédure pour désinstaller proprement Avast ?

 

Voilà, ca fait beaucoup de questions et j'espère (pour moi) que vous trouverez le temps d'y répondre. En attendant je vous souhaite une bonne soirée.

Posté(e)

rebonjour, donc entre temps j'ai remplacé avast par antivir en suivant la procédure de Malekal. J'ai fait un scan de mon disque en mode sans echec (il a trouvé et réparé 7 nouvelles infections). J'ai suivi la procédure de indiquée avant de poster un rapport HijackThis que voici. Si quelqu'un aurait l'amabilité de se pencher dessus pour me dire si tout est ok. Merci :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:55:10, on 16/11/2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18319)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\System32\WLTRAY.EXE

C:\Program Files\Dell Support Center\bin\sprtcmd.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

C:\Windows\ehome\ehmsas.exe

C:\Windows\System32\mobsync.exe

C:\Program Files\XPSMiniViewGadget\XPSMiniViewGadget.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\system32\wuauclt.exe

C:\Program Files\HijackThis\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig/dell?hl=fr&cli...amp;ibd=4080623

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fourni par Dell

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [bluetooth HCI Monitor] RunDll32 HCIMNTR.DLL,RunCheckHCIMode

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\Windows\system32\WLTRAY.exe

O4 - HKLM\..\Run: [dellsupportcenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter

O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [bboxUpdate] C:\Program Files\BboxUpdate\eStantAutoRunV.exe

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\BEN&B~1\AppData\Local\Temp\urqPfcbb.dll,#1

O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series (Copie 1)] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\Windows\TEMP\E_SBACA.tmp" /EF "HKCU"

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200

O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Unibet - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\unibetpokerMPP\MPPoker.exe (HKCU)

O13 - Gopher Prefix:

O17 - HKLM\System\CCS\Services\Tcpip\..\{AC2B5DEF-3B1F-4C6F-8F9C-E47FC5050636}: NameServer = 194.158.122.10,194.158.122.15

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S30RP1.EXE

O23 - Service: BboxUpdate (eStantLaunchService) - TechCity Solutions France - C:\Program Files\BboxUpdate\eSRunService.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Program Files\FileZilla Server\FileZilla Server.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Desktop Manager 5.7.801.7324 (GoogleDesktopManager-010708-104812) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Update Service (gupdate1c8f0d73ab2daf0) (gupdate1c8f0d73ab2daf0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: LiveShare P2P Server 10 (RoxLiveShare10) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe

O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe

O23 - Service: Roxio Hard Drive Watcher 10 (RoxWatch10) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: SessionLauncher - Unknown owner - C:\Users\ADMINI~1\AppData\Local\Temp\DX9\SessionLauncher.exe (file missing)

O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Windows\system32\STacSV.exe

O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\WLTRYSVC.EXE

 

--

End of file - 10467 bytes

Posté(e)

Personne pour m'aider ?

 

Bon vous etes surement très occuper. Pour mon blog, j'ai supprimé touts les codes "malicieux" de tous les fichiers et j'ai redemander une évaluation du site par google (pour l'instant j'attends). Mais j'aurais surtout aimé savoir comment protéger mon site dorénavant et surtout si mon pc est clean.

 

Alors si quelqu'un peut se pencher sur mon rapport HijackThis posté hier ce serait vraiment sympa.

  • 3 semaines après...
  • Modérateurs
Posté(e)

Bonjour PCKC :P

 

Navré des délais, il y a beaucoup d'attente. Où en tu de ton infection depuis le temps ?

  • 1 mois après...
Posté(e)

Bonjour,

de retour sur le forum je viens de voir votre réponse. Pas de problème pour les délais, j'imagine que vous êtes bien occupés.

Pour mon problème, comme expliqué auparavant, j'ai immédiatement changé mes codes ftp et supprimé filezilla pour le réinstaller (j'ai lu qu'il ne fallait pas utiliser l'option de filezilla pour enregistrer les codes dans le logiciel donc dorénavant je les inscrit dans un cahier comme d'antan...)

J'ai ensuite nettoyé tout les fichiers de mon blog. J'ai downloadé la totalité du blog sur mon disque et fait une recherche multi-fichiers avec Notepad++ (très pratique) avec différents termes dont script, http://, base64 etc. pour identifier les fichiers infectés. J'ai supprimé les codes et remis le tout en ligne, j'ai supprimé deux modules de Dotclear (Contibute et Contact) car je les soupçonnais d'être à l'origine de mon problème (peut être à tort) car c'étaient les seuls à envoyé des $_GET et $_POST.

J'ai fait une demande de réinspection de mon blog par google. Il était de nouveau disponible (au bout de 24 ou 48 heures). J'ai ensuite vérifié régulièrement que de nouveau codes ne se réinscrivent pas dans les fichiers.

 

Pour la désinfection de mon DD j'ai désinstaller Avast pour Antivir (je ne sais pas si c'est mieux ou pas mais les différentes et nombreuses discussions à ce sujet m'ont convaincu de la meilleur performance d'Antivir...) j'ai fait différents scan en mode sans echec (avec Antivir et Malwarebytes). Aujourd'hui tout semble être rentré dans l'ordre.

 

Voilà donc on peut dire problème résolu et encore bravo pour votre boulot et votre implication.

  • Modérateurs
Posté(e)

Bonsoir PCKC :P

 

Encore une fois, le quotidien et ses évènements impondérables ont eu raison de ma disponibilité, une semaine sans donner signe de vie. Désolé.

 

En effet, ta méthode est drastique mais elle a sans doute permis de nettoyer toutes les pages.

j'ai supprimé deux modules de Dotclear (Contibute et Contact) car je les soupçonnais d'être à l'origine de mon problème (peut être à tort) car c'étaient les seuls à envoyé des $_GET et $_POST.

J'ai fait une demande de réinspection de mon blog par google. Il était de nouveau disponible (au bout de 24 ou 48 heures). J'ai ensuite vérifié régulièrement que de nouveau codes ne se réinscrivent pas dans les fichiers.

Je ne suis pas certain que ces modules soient en cause.

 

Malekal Morte a présenté un sujet sur ce type d'infections, tu peux le consulter ici : Hack Site web.

 

Il est probable que le souci provienne (provenait) du PC en lui-même. Les outils que tu as exécutés par toi-même ont-ils été concluant et neutralisés quelques éléments ?

  • 2 semaines après...
Posté(e)

Bonjour,

tout à fait d'accord avec toi sur le fait que l'infection venait du PC et pas des modules dotclear. Les différents scan de mon DD m'ont permis de détecter un malware de type Gumblar qui d'après l'article que tu m'as conseillé aurait la faculté de récupérer les codes de connexion... Cet article a d'ailleurs de quoi rendre parano !

 

Je pense qu'aujourd'hui mon problème est résolu. Je n'ai malheureusement pas gardé les logs des scans effectués donc je ne peux pas te les montrer.

  • 2 semaines après...
  • Modérateurs
Posté(e)

Bonsoir PCKC :P

 

D'accord, tant pis pour les logs. Tu sembles néanmoins avoir réussi à te débarrasser de l'infection. Si tu désires que l'on creuse, on peut prendre le temps de le faire si tu le souhaites. Si tu n'as plus rencontré de symptômes depuis, et que les analyses des outils présents sur ton système sont propres, il ne devrait plus y avoir de soucis.

 

Beaucoup de sites se sont fait infecter par Gumblar et variantes, des petits comme des gros. Tu n'as pas été le premier, et sans doute pas le dernier :P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...