Posez votre question Signaler

Virus HTML:Iframe-inf (Moteur B) [Résolu]

o.ala 45Messages postés samedi 2 décembre 2006Date d'inscription 26 juin 2010Dernière intervention - Dernière réponse le 20 août 2009 à 00:38
Bonjour chers forumistes,
j'ai un problème qui rend l'utilisation de mon pc une galère,
en fait je suis victime d'un virus qui infecte pour le moment firefox et internet explorer, sur iece virus bloque l'accès à toute page et redirige directement vers www.msn.com
ce virus c'était exprimé en la présence de Kaspersky 7 mis à jour, il le signalait en étant un cheval de troie win32.exploit....... je me rappelle plus
suite à l'inefficacité de kaspersky, j'ai opté pour un autre antivirus G Data en version total Care 2009 (version d'essai bien sur) et là même problème mais cette fois il signale un virus HTML:Iframe-inf
help me please, mon pc est devenu inutilisable
Lire la suite 
Réponse
+0
moins plus
Re bonjour à tous,

Voilà le rapport hijack fait il ya 5 minutes au demarrage de windows après 1 scan avast et d'autres antispywares.

Merci pour votre aide!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:35, on 04/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Program Files\Samsung\Samsung Recovery Solution III\WCScheduler.exe
C:\Program Files\Samsung\Samsung Update Plus\SUPBackGround.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Program Files\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Fabien\vdesu.exe \s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DMHotKey] C:\Program Files\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [SamsungWInClon] C:\Program Files\Samsung\Samsung Recovery Solution III\WCScheduler
O4 - HKLM\..\Run: [MagicKeyboard] C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [SUPBackGround] C:\Program Files\Samsung\Samsung Update Plus\SUPBackGround.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)
Ju- 15 avril 2009 à 00:07
J'ai été victime de la même chose. La cause : mon logiciel de ftp cuteftp qui était vérolé et qui injectait des hidden iframe pointant vers des sites malveillants. Je suis passé sous filezilla, j'ai récupéré tous mes fichiers en filtrant uniquement les fichiers %index%. Car visiblement la bête ne s'attaquait qu'aux fichiers portant ce nom. J'ai réuploadé les fichiers nettoyés. Et j'ai également changé les mots de passe ftp et cie des sites que je gère. Bien galère ce truc.
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
je fais un ptit up, j'ai exactement le même problème à l'adresse: http://www.stop-migraines.com , HTML:Iframe-inf , avast me met sa :
http://www.stop-migraines.com/favicon.ico\{gzip}

Alors j'ai formaté mon pc, le ver à infecté plusieurs serveurs donc plusieurs de mes sites, web j'ai arrêté d'en registré les pass et logion dans filezilla, j'ai changé ces mot de passe etc, j'ai regardé dans l'index de la page en question qui est infecté car le ver n'infecte que les page index.html, mais je n'ai rien trouvé, pas de ligne de code dans le code source, comment puis-je détecter sa?

J'ai également installer le script crawltrack qui permet de voir si des robots font des injections dans les pages, et crawltrack ne trouve rien pourtant il se passe bien quelque chose sur mon site http://www.stop-migraines.com

Aidez moi je suis dépassé ...je trouve pas de solutions. Je voudrais également faire une analyse approdonfi de mon système car avast etc ne trouve rien.

cordialement.
Ajouter un commentaire
Réponse
+0
moins plus
Bonjour,

et encore un p'tit up et car je n'ai pas trouvé de solution pour l'instant.

Là j'ai modifié ma feuille de style en ajoutant

iframe{display:none;}

Et mis en 444 les autorisations du fichier.

Ceci à le bon gout de ne plus décaler la déco de mon site, mais cela n'arrange rien.
Ajouter un commentaire
Réponse
+0
moins plus
Voilà une semaine que je n'ai plus l'iframe qui se réécrit sur mon index.php... Voilà mes dernières actions :
- tous les fichiers bizarres + index.php (genre _htaccess) en CHMOD 444
- j'ai supprimé et réinstallé à jour Filezilla
- j'ai supprimé l'historique de connexion de Filezilla (je crois que le bot se servait de cet historique)

Affaire à suivre...
Ajouter un commentaire
Réponse
+1
moins plus
Salut, pour ma part la seul solution que j'ai trouvé:

Backer tout le site en local, scanner tout le site avec avast, supprimer les pages infecté ou nettoyer chaque page ( donc virer le code injecté par le virus ) , virer tout se qu'il y à sur le serveur, transferer tout votre site nettoyé avec un autre logiciel que filezilla, ne pas enregistrer les pass et login dans le client FTP.

( core ftp marche bien )

Rebacker tout le site avec avast allumé en scan résident pour vérifier qu'il à plus de page infecté et normalement c'est bon.

J'ai pas eu d'autre solution, sinon fraudais creer une page .php avec un script qui empêche l'injection de code mais bon, faut trouver.

bon courage.
ps: pour ma part il n'y avait pas que les index.php qui étaient infecté
Ajouter un commentaire
Réponse
+14
moins plus
Bonjour,
Une solution détaillée pour ce problème d'injection iframe:
http://blog.galerie-cesar.com/...
Ajouter un commentaire
Ce document intitulé «  virus HTML:Iframe-inf (Moteur B)  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.