supprimer cheval de troieFermé

Question

Bonjour, avast m'a trouver un cheval de troie sur un site de vente (dont je suis un habitué )
depuis ce matin j'essaie de le retirer par du nettoyage mais sans succès
est ce que quelqu'un pourrait m'aider a m'en débarrasser
merci d'avance
Mourad


Configuration: Windows XP / Firefox 3.5.9

Scavengey · Answer

go dl spybot search and destroy update et scan complet !

=> https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

verni29 · Answer

Bonjour, 

As-tu noté le nom et la localisation du fichier ?
Quand tu parles de nettoyage, quels logiciels as-tu déjà utilisé ?

A+

fidraman · Answer

salut
qu'il est le chemin oû il trouve le cheval de troie ? et c'est quoi son nom ce cheval (si avast l'indique) ?

k974 · Answer

Salut  

"Le plus simple c'est d'essayer en mode sans échec et lancer ton antivirus....!"

lap1bis · Answer

Utilise Malwarebytes ou Spybot............

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

et  

https://www.commentcamarche.net/telecharger/securite/20939-spybot-search-and-destroy/

Ça devrait t'aider...........

k974 · Answer

Voir aussi ceci:https://www.commentcamarche.net/contents/1234-chevaux-de-troie-informatique

k974 · Answer

Et en plus ceci:https://www.microsoft.com/de-ch!!!!

verni29 · Answer

Pour répondre déjà à ceux qui préconisent spybotS&D, ce logiciel ne sert à rien.

Ensuite, comme c'est parti sur cette discussion, vous allez proposer une douzaine d'outils différents à l'internaute.
Je ne vois pas l'intérêt. Vous proposez des outils sans même avoir identifier l'infection.
Et puis, si l'internaute revient avec toujours son infection, vous faites quoi ensuite ?
Ce n'est pas une surenchère. La désinfection sur un forum est plus méthodique que cela.

@+

mourad · Answer

bonjour a tous et merci pour vos reponses 
donc j'ai fait un scan spybot =rien trouvé
cleaner pour nettoyer 
et le nom du virus est js:illredir-bx(trj)
est il se trouve sur documents and settings
merci
mourad

hatcham15 · Answer

dsl pour toi khouya mourad il faut formater votre pc et il faut le faire le plus vite possible

verni29 · Answer

Hatcham15, 

Tu veux arriver à quoi avec ce genre de proposition. A faire peur à l'internaute ?
Il y a d'autres solutions avant ces solutions extrêmes.

-------------------------------------------------------------------------------

Mourad, 

C'est OK pour la localisation du fichier.

Commence par ceci pour plus d'infos.

Télécharge OTL (de OldTimer) sur ton Bureau.  
http://oldtimer.geekstogo.com/OTL.scr 

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.  

* Double-clique sur  OTL.scr  pour le lancer.  
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.  
* Sélectionne l'option tous les utilisateurs. 
* Dans la partie  Personnalisation, copie/colle la liste suivante. 

 netsvcs  
Drivers32 
%SYSTEMDRIVE%\*.exe  
/md5start  
eventlog.dll  
scecli.dll  
netlogon.dll  
cngaudit.dll  
sceclt.dll  
ntelogon.dll  
logevent.dll  
iaStor.sys  
nvstor.sys  
atapi.sys  
IdeChnDr.sys  
viasraid.sys  
AGP440.sys  
vaxscsi.sys  
nvatabus.sys  
viamraid.sys  
nvata.sys  
nvgts.sys  
iastorv.sys  
ViPrt.sys  
eNetHook.dll  
ahcix86.sys  
KR10N.sys  
nvstor32.sys  
ahcix86s.sys  
nvrd32.sys  
/md5stop  
%systemroot%\*. /mp /s  
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide.  

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)  

Utilise un site comme http://cijoint.fr pour les déposer.  
indique ensuite les deux liens crées. 

A+

mourad · Answer

avant de formater y'aurait pas une autre solution
je vais essayer les différents liens
merci
mourad

verni29 · Answer

mourad, 

C'est une infection javascript sur des pages que tu as visités.
Je ne sais pas si tu as un ou des sites web que tu administres mais si c'est le cas dis le moi pour qu'on vérifie cela.

Passe OTL qu'on vérifie cela.

A+

mourad · Answer

si je comprends bien je depose sur le lien cijoint.fr le resultat d'analyse  verni

merci
mourad

verni29 · Answer

Oui, tu vas sur le site et tu y déposes les deux fichiers crées par OTL.

# Clique sur parcourir pour sélectionner succesivement les fichiers .txt .
# Ensuite tu cliques sur cliquez ici pour déposer votre fichier
Ceci va créer un lien que tu m'indiqueras.

refais la manip pour l'autre fichier.

A+

mourad · Answer

ah ok je fais 2 fois l'analyse
la1ere est faite et je la depose
merci
mourad

mourad · Answer

http://www.cijoint.fr/cjlink.php?file=cj201005/cijYrprKl3.txt
je refais un coup l'analyse
mourad

mourad · Answer

http://www.cijoint.fr/cjlink.php?file=cj201005/cij32p2nzW.txt
c'est le 2eme
merci de ton aide
mourad

verni29 · Answer

mourad, 

Une bonne chose déjà. Ton antivirus est Avast5 
avast intègre dans sa nouvelle version un module qui détecte ces pages web infectées par un script java infectieux.
Ce qui veut dire que le script java est détecté par l'antivirus et bloqué avant de propager sur le PC l'infection.
En deux mots, il a stoppé l'infection.

----------------------------------------------------------------------------------------

C'est le même fichier que tu as posté deux fois.
Inutile de relancer le logiciel. 
regarde si tu as un fichier extra.txt sur le bureau.
C'est celui- la qu'il faudrait poster.

----------------------------------------------------------------------------------------

Cet outil n'est en aucun cas à utiliser en dehors d'un forum et préconisé par un intervenant.

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )   
http://download.bleepingcomputer.com/sUBs/ComboFix.exe   

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )   
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.   

# Lance Combofix.exe et suis les invites.   
# Il te sera demandé d'installer la console de récupération.   
Important. Fais le absolument.   

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.    

# Une fois le scan fini, un rapport va apparaitre.   

Copie/colle ce rapport dans ta prochaine réponse.   

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.   

A+

Je m'absente pour une petite heure.

mourad · Answer

ok je fais ca pour ton retour
le fichier extra le voici :http://www.cijoint.fr/cjlink.php?file=cj201005/cijphc8g0N.txt
jespere que c'est le bon cette fois ci
merci a toi
mourad

mourad · Answer

voilà ce que me donne le rapport



ComboFix 10-05-17.05 - mourad belmihoub 19/05/2010  17:26:31.1.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.446.164 [GMT 2:00]
Lancé depuis: c:\documents and settings\mourad belmihoub\Mes documents\Téléchargements\ComboFix.exe
AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\mourad belmihoub\Application Data\Desktopicon
c:\documents and settings\mourad belmihoub\Application Data\Desktopicon\eBay.ico
c:\documents and settings\mourad belmihoub\Application Data\Desktopicon\uninst.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-19 au 2010-05-19  ))))))))))))))))))))))))))))))))))))
.

2010-05-19 09:57 . 2010-05-19 09:57	--------	d-----w-	c:\documents and settings\mourad belmihoub\Application Data\Yahoo!
2010-05-19 09:57 . 2010-05-19 09:57	--------	d-----w-	c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-05-19 09:57 . 2010-05-19 09:57	--------	d-----w-	c:\program files\Yahoo!
2010-05-19 09:57 . 2010-05-19 09:57	--------	d-----w-	c:\program files\CCleaner
2010-05-14 06:13 . 2010-05-14 06:13	--------	d-----w-	c:\documents and settings\All Users\Application Data\WholeSecurity
2010-05-14 06:12 . 2010-05-14 06:12	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-05-14 06:12 . 2010-05-14 06:12	--------	d-----w-	c:\documents and settings\mourad belmihoub\Application Data\InstallShield
2010-05-12 17:39 . 2008-07-06 12:06	1676288	-c----w-	c:\windows\system32\dllcache\xpssvcs.dll
2010-05-12 17:39 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\xpssvcs.dll
2010-05-12 16:51 . 2010-05-12 16:51	--------	d-----w-	c:\documents and settings\All Users\Application Data\UAB
2010-05-12 16:51 . 2010-05-12 16:51	--------	d-----w-	c:\documents and settings\mourad belmihoub\Local Settings\Application Data\PC_Drivers_Headquarters
2010-05-12 16:50 . 2010-05-12 16:50	--------	d-----w-	c:\documents and settings\All Users\Application Data\Driver Whiz
2010-05-12 06:40 . 2009-08-06 17:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2010-05-12 06:40 . 2009-08-06 17:23	215920	----a-w-	c:\windows\system32\muweb.dll
2010-05-11 20:53 . 2010-05-11 20:53	--------	d--h--w-	c:\windows\PIF
2010-05-11 20:45 . 2010-05-12 16:59	--------	d-----w-	c:\program files\ma-config.com
2010-05-11 20:45 . 2010-05-11 20:49	--------	d-----w-	c:\documents and settings\All Users\Application Data\ma-config.com
2010-05-11 20:34 . 2010-05-11 20:34	--------	d-----w-	c:\documents and settings\All Users\Application Data\PC Drivers HeadQuarters
2010-05-11 19:45 . 2010-05-19 15:05	--------	d-----w-	c:\documents and settings\mourad belmihoub\Tracing
2010-05-11 19:43 . 2010-05-11 19:43	--------	d-----w-	c:\program files\Microsoft Sync Framework
2010-05-11 19:42 . 2010-05-11 19:42	--------	d-----w-	c:\program files\Microsoft
2010-05-11 19:42 . 2010-05-11 19:42	--------	d-----w-	c:\program files\Windows Live SkyDrive
2010-05-11 19:42 . 2010-05-11 19:43	--------	d-----w-	c:\program files\Windows Live
2010-05-11 19:29 . 2010-05-11 19:29	--------	d-----w-	c:\program files\Fichiers communs\Windows Live
2010-05-11 13:17 . 2008-04-14 12:00	26624	----a-w-	c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-05-11 13:16 . 2010-05-11 13:16	--------	d-----w-	c:\program files\Windows Media Connect 2
2010-05-11 13:16 . 2010-05-11 13:16	--------	d-----w-	C:\d8f1359cab1bdfee6f
2010-05-11 13:15 . 2010-05-11 13:15	--------	d-----w-	c:\windows\system32\drivers\UMDF
2010-05-11 13:15 . 2010-05-11 13:15	--------	d-----w-	c:\windows\system32\LogFiles
2010-05-11 08:32 . 2010-05-11 08:32	--------	d-----w-	c:\documents and settings\mourad belmihoub\Local Settings\Application Data\Identities
2010-05-11 06:17 . 2010-05-19 15:02	--------	d-----w-	c:\program files\Wanadoo
2010-05-11 06:08 . 2010-05-11 06:08	278528	----a-w-	c:\program files\Fichiers communs\FDEUnInstaller.exe
2010-05-11 06:07 . 2010-05-11 06:07	--------	d-----w-	c:\program files\Securitoo
2010-05-11 04:37 . 2010-05-11 04:37	--------	d-----w-	c:\documents and settings\mourad belmihoub\Local Settings\Application Data\Help
2010-05-10 21:09 . 2010-05-10 21:09	2550	----a-r-	c:\documents and settings\mourad belmihoub\Application Data\Microsoft\Installer\{D5EA1755-1899-4380-A4BA-83840648CBDA}\MainExecutableShortcutIcon.exe
2010-05-10 21:09 . 2010-05-10 21:09	--------	d-----w-	c:\program files\Votre Opinion
2010-05-10 21:09 . 2010-05-10 21:09	--------	d-----w-	c:\documents and settings\mourad belmihoub\Local Settings\Application Data\Votre Opinion
2010-05-10 12:05 . 2010-05-19 15:20	12912	----a-w-	c:\documents and settings\mourad belmihoub\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-10 12:02 . 2010-05-12 16:59	--------	d-----w-	c:\program files\Unlocker
2010-05-10 11:59 . 2010-05-10 11:59	--------	d-----w-	c:\documents and settings\mourad belmihoub\Application Data\MSNInstaller

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-19 10:00 . 2010-05-10 10:42	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-05-14 06:13 . 2010-05-10 08:50	--------	d-----w-	c:\documents and settings\mourad belmihoub\Application Data\eBay
2010-05-14 06:13 . 2010-05-10 08:50	--------	d-----w-	c:\documents and settings\All Users\Application Data\eBay
2010-05-14 06:12 . 2010-05-10 08:50	--------	d-----w-	c:\program files\eBay
2010-05-12 18:06 . 2008-04-14 12:00	80748	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-12 18:06 . 2008-04-14 12:00	500900	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-12 17:57 . 2010-05-10 08:23	76507	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-05-12 17:57 . 2010-05-12 17:57	102656	----a-w-	c:\windows\pchealth\helpctr\Config\Cache\Personal_32_1036.dat
2010-05-12 17:40 . 2010-05-12 17:40	--------	d-----w-	c:\program files\MSBuild
2010-05-12 17:40 . 2010-05-12 17:40	--------	d-----w-	c:\program files\Reference Assemblies
2010-05-12 16:58 . 2010-05-10 08:38	--------	d-----w-	c:\program files\Inventel
2010-05-10 10:27 . 2010-05-10 10:27	86576	----a-w-	c:\documents and settings\mourad belmihoub\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2010-05-10 10:27 . 2010-05-10 10:27	392728	----a-w-	c:\documents and settings\mourad belmihoub\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2010-05-10 10:27 . 2010-05-10 10:27	132672	----a-w-	c:\documents and settings\mourad belmihoub\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2010-04-16 20:12 . 2010-04-16 20:12	48464	----a-w-	c:\windows\system32\sirenacm.dll
2010-03-11 12:34 . 2008-04-14 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2008-04-14 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2008-04-14 12:00	17408	----a-w-	c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2008-04-14 12:00	430080	----a-w-	c:\windows\system32\vbscript.dll
2010-02-24 13:11 . 2008-04-14 12:00	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"SpybotSD TeaTimer"="d:\spybot - search & destroy\TeaTimer.exe" [2009-03-05 2260480]
"PanelApp"="c:\documents and settings\mourad belmihoub\Local Settings\Application Data\Votre Opinion\PanelApp\PanelApp.exe" [2009-12-30 31232]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-05-06 2815192]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2009-10-26 15872]
"eBayToolbar"="c:\program files\eBay\eBay Toolbar2\eBayTBDaemon.exe" [2009-03-19 632048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [10/05/2010 11:25 164048]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [10/05/2010 11:25 19024]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [11/05/2010 11:34 271728]
S3 PanelSvc;PanelSvc;c:\program files\Votre Opinion\PanelApp\PanelSvc.exe [30/12/2009 11:20 91136]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - HTTPFILTER
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE: Recherche sur eBay - c:\program files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
IE: { - c:\program files\Messenger\msmsgs.exe
FF - ProfilePath - c:\documents and settings\mourad belmihoub\Application Data\Mozilla\Firefox\Profiles\9p1yar54.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MOAWA1&q=
FF - component: c:\documents and settings\mourad belmihoub\Local Settings\Application Data\Votre Opinion\PanelApp\ff\components\FFoxAddinStub.dll
FF - plugin: c:\program files\ma-config.com
phardwaredetection.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-eBay Icon - c:\documents and settings\mourad belmihoub\Application Data\Desktopicon\uninst.exe
AddRemove-FranceTelecomUninstall_FTBrowser - c:\progra~1\Wanadoo\Shell.exe inst\uninst_FTBrowser.shl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-19 17:29
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-05-19  17:30:44
ComboFix-quarantined-files.txt  2010-05-19 15:30

Avant-CF: 94 874 828 800 octets libres
Après-CF: 94 855 933 952 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 98DDFC6696EEE7C30AE27FA979E8F156


merci beaucoup pour ton aide
mourad

verni29 · Answer

Mourad, 

1/ télécharge AFT Cleaner et enregistre-le sur le bureau. 
http://www.atribune.org/ccount/click.php?id=1 

Ferme ton navigateur. Double clique sur ATF-Cleaner.exe. 
Si Tu as Firefox, clique dans le menu sur ce nom. 

Choisis l'option Select All puis valide.

2/ Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir. 

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur. 
# Clique sur lancer l'examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

A+

mourad · Answer

voilà le résultat ,apparemment pas d'infection


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4117

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

19/05/2010 18:47:38
mbam-log-2010-05-19 (18-47-38).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 129813
Temps écoulé: 15 minute(s), 15 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

merci
mourad

verni29 · Answer

mourad, 

voilà le résultat ,apparemment pas d'infection 
Oui, mais c'est bon signe.
Avast5 a bien joué son rôle en bloquant l'infection.

Pour ce logiciel, malwarebytes, garde le . C'est le meilleur antimalware.
Si tu as des doutes sur une infection possible sur le PC, tu peux toujours le lancer.

------------------------------------------------------------------------------------------

Une dernière vérification.
Tu vas lancer Avast mais auparavant fais le réglage suivant :

# Ouvre Avast5 en cliquant sur l'icône dans la barre des taches.
# Clique sur paramètres en haut à droite de la fenêtre ouverte.
# sélectionne l'option Afficher les résultats à la fin du scan dans la partie Comportement.

Si des infections sont trouvés, cela génèrera un rapport.

lance un scan minutieux avec l'antivirus.

A+

mourad · Answer

he ben non rien de rien ,pas de virus détecté
pourtant lorsque je veux aller sur le site d'enchère (ou j'ai mes annonces)
o-puces.com la fenêtre  :cheval de Troie réapparait
alors comprends pas
merci
Mourad

verni29 · Answer

Mourad, 

C'est ce que je t'expliquais.
Avast5 intègre un nouveau module qui détecte les pages web infectés par du javascript.
Et il te signale la page infectée.

Vide les dossiers temporaires avec AFT.

-----------------------------------------------------------

Tu peux m'indiquer le lien du site.
Attention, au lieu de http://..... indique le lien en hxxp://....

Il faut les alerter que leur site est infecté.

A+

mourad · Answer

le problème est que il n'est plus en quarantaine non plus apparemment
quand je veux ouvrir la page de ce site il me l'annonce
Mourad

verni29 · Answer

J'avais lu trop vite ta réponse.
le site des puces.com.
je vais regarder cela.

A+

mourad · Answer

Verni , 

pour supprimer les dossiers temporaires avec AFT comment faut faire
je connais rien en anglais
merci
mourad

verni29 · Answer

mourad, 

c'est l'option temporary internet files.

Je viens de voir le code source du site.
Oui, il y a bien un script.
je vais les contacter pour les en informer.

De toute façon, comme avast te bloque cette page, le PC n'est pas infecté.

Je te mets les consignes de fin après manger.

A+

mourad · Answer

donc bon appétit
tu m'expliqueras après ce qu'est un script car là je nage
merci
Mourad

verni29 · Answer

Mourad, 

Ton antivirus t'a bien protégé. 
Le site que tu cites est détourné vers un site russe qui redirige vers un site pornographique. :-(

Je t'explique succinctement comment cela se passe.
le site a été piraté et du langage de programmation ( javascript ) a été introduit dans la page d'accueil de ce site.
Pourquoi ? pour rediriger ce site vers un autre.

C'est quoi un javascript ? c'est du langage utilisé dans les pages web pour y ajouter des fonctionnalités. C'est très utilisé et aussi par des hackers pour infectés des sites web.

-----------------------------------------------------------------------------

Donc, aucune crainte. Ton PC est propre.

1/ Enlève les outils utilisés.

pour cela, lance OTL et clique sur Purge Outils.
Le PC va redémarrer et enlever certains outils.

vérifie au redémarrage que ComboFix est supprimé ainsi que C:\Qoobox

2/ Vu que tu utilises Firefox, tu devrais utiliser un add-on qui s'appelle NoScript ( bien que Avast5 fasse le boulot maintenant mais il n'est pas infaillible ):
https://addons.mozilla.org/fr/firefox/addon/noscript/
Il sert justement à contrôler les script java sur les pages web.
Tu devrais l'installer. Tu verras apparaitre en bas ( à droite ) de ton navigateur l'icône de cet add-on. Et tu acceptes ensuite au cas pas et temporaiement les scripts sur les sites que tu connais.

3/ Crée un point de restauration propre sur ton PC.

Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

---------------------------------------------------------------------------------

Ton PC est propre.

Un peu de lecture pour mieux comprendre les risques du net : projet antimalwares : https://www.malekal.com/projet-antimalware-2/

--------------------------------------------------------------------------------

En te souhaitant bonne lecture et bon surf.

Si tu as d'autres questions.

@+

mourad · Answer

ah pour le coup j'ai de la lecture oui ahahaaahah
donc le mieux est d'arreter d'aller sur ce site car il risque d'etre infecté sans arret si j'ai bien compris
je vais suivre les instructions pour tout retirer
en tout cas un grand merci
bonne soirée a toi aussi
mourad

verni29 · Answer

donc le mieux est d'arreter d'aller sur ce site car il risque d'etre infecté sans arret si j'ai bien compris 
Ils sont informés.
cela devrait se régler assez vite ( si ils sont compétents ).
Tu verras bien de toute façon . Si avast te bloque la page, c'est que ce n'est pas encore réglé.

Bonne soirée à toi aussi.

mourad · Answer

merci encore
mourad

gladiator2b · Answer

Bonjour je suis le  webmaster du site o-puces et je tiens à remercier mourad ainsi que verni29 de m'avoir prévenu j'ai effacé le script maintenant.

2 questions svp la 1ere pourquoi McAfee ne m'a pas prévenu pour mon site et si je lis le rapport de McAfee je cite :


o-puces.com
Green Verdict Image

Nous avons testé ce site et n'avons relevé aucun problème important.

Etes-vous le propriétaire de ce site ? Déposer un commentaire

2eme question comment un pirate peut mettre un script sur ma page d'accueil alors que les chmod sont à 644 sur l'index.php ?

mourad · Answer

bonsoir , perso je n'y comprends rien du tout 
ce matin en allant sur le site (comme ts les jours en tant que vendeur ) j'ai eu message de cheval de Troie ,alors j'espère que quelqu'un pourra vous répondre 
merci 
Mourad

gladiator2b · Answer

Bonsoir Mourad, j'espère moi aussi que je trouverais une réponse on vient de me dire que le site était peut être infecté par le virus gumblar.

Donc je vais télécharger ce logiciel et l'installer sur http://www.o-puces.com

FillPCA · Answer

Bonjour,

Il y a en effet encore du js malveillant à l'heure actuelle.
On a ces iframes qui ont été insérées :
hxxp://tenthprofit.ru:8080/ow-ly/google.com/usatoday.com.php	200	text/javascript
hxxp://tenthprofit.ru:8080/index.php?pid=1&home=1

Celui-ci semble hébergé en Allemagne : http://whois.domaintools.com/88.84.145.36

Il faut supprimer tout le code js pourri sur l'ensemble des pages.

Apparemment, ton hébergeur est OVH. Es-tu limité en nombre de caractères pour le mot de passe ftp ?

Il faut choisir un mot de passe fort mélangeant lettres, chiffres et caractères spéciaux en utilisant au minimum 8 caractères. Ensuite, le mdp ne doit pas être enregistré par le client ftp.

FillPCA

verni29 · Answer

gladiator2b, 

Bonjour. Désolé de ne pas vous répondre auparavant.
Je ne pensais que vous auriez répondu aussi vite.

Pourquoi MacAffe n'a rien détecté ? C'est quelle version de cet AV ?

Comment le fichier index.php a pu être modifié alors qu'il n'y a que l'administrateur qui a les droits en écriture ?
Le principe de l'infection Gumblar est de réussir à infecter un PC et de là trouver les mdp du client ftp sur un PC.
Certains clients ftp comme filezilla conservent les mdp dans des fichiers .xml.
Puis de là avoir les droits administrateurs sur les sites accessibles via le ftp.

Si votre hébergeur est en effet ovh, vous trouverez des liens sur le forum de ce site qui parlent de ces infections :
https://forum.ovh.net/

Il semblerait que la méthode manuelle soit la plus utilisée ( nettoyage des pages, changement du mdp  ).

Le principe étant de descendre le site sur un PC pour le nettoyer.
Comme le signale FillPCA, il faut nettoyer toutes les pages infectées.
Il n'y a pas que la page d'accueil du site qui est infecté.

En vous souhaitant bon courage.

@+

Salut, Fill.

gladiator2b · Answer

Merci verni29 pour tous ses conseils.

Je vais sur ce pas allez voir sur le site de ovh pour enlever ce foutu virus

je viens d'installer sur mon site le logiciel web server guardien qui est sois disant le spécialiste pour enlever gumblar mais je doutes un peu

Ce logiciel m'indique qu'il vient de scanner mon site et que tout va bien, mais j'en doutes fort

Mon antivirus MacAfee est la version 13.15 c'est la derniere version (payante bien sur)

je pense que je vais désinstaller cet antivirus pour m'acheter avast 

est ce une bonne idée de changer pour avast ?

verni29 · Answer

gladiator2b, 

La dernière vérification du code source du script montre une modification par rapport à celui d'hier ( et de celui de ce matin )

Hier soir, on trouvait ceci dans le code source ( en bas de page ) :

var dM="http"+"://t"+"ornm"+"um.r"+y("u:QEWY",0,2);
Et actuellement, le code a changé( en haut de page )  :

httTUHL",0,3)+g("ETgJp:/JgET",4,3)+"/te"+"nth"+g("proaFB",0,3)+"fit"+".ru
l'analyse du code entier ne montre plus de redirection ou d'iframe.

Tu as commencé à nettoyer ?

Je vais poser la question .

A+

gladiator2b · Answer

Oui j'ai commencé à netoyer et j'ai pris la derniere version avast.

Lorsque je surfe sur mon site avast ne me dit rien 

est ce bon signe ?

verni29 · Answer

Re, 

C'est bon signe.
Poursuis le nettoyage.

@+

gladiator2b · Answer

Re,

Oui mais je préfere tout effacer sauf les images des membres et je renvois tous les fichiers sains

Je suis obligé de tout effacer car j'ai des nouveaux fichier js et php.

Lorsque je fais une recherche sur ;M=function() j'ai 387 fichiers infectés

gladiator2b · Answer

Bonjour

voila le site est opérationnel maintenant et j'espère qu"il n'y a plus de virus

verni29 · Answer

Bonjour, 

oui, j'ai vu que le site était opérationnel en fin de matinée.
Plus de script infectieux. :-)
Bon boulot en peu de temps.

@+

mourad · Answer

merci verni 29 pour toute cette aide
mourad

gladiator2b · Answer

Bonsoir tout le monde le site est a nouveau opérationnel je vous remercie tous pour m'avoir aidé

Amicalement

Fabrice

Supprimer cheval de troie

49 réponses

Discussions similaires

Newsletters