Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blacole.

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

machdeux
newbie
newbie
Messages : 8
Inscription : 13 juin 2013 00:10

PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blacole.

Message par machdeux »

Bonsoir,

Voilà, depuis hier plusieurs personnes m'ont signalées un pb avec mon site internet (CMS Joomla). Pb d'infection à priori avec JS:Decode-AHR [Trj] ou S/Exploit-Blacole en fonction des AV.

Je suis équipé de ZoneAlarm qui lui ne détecte rien.

Quelqu'un pourrait il m'aider et me transmettre les procédures pour désinfecter mon site web ?

Je suis assez novice sur cette partie.

merci d'avance pour vos réponses

Machdeux

Malekal_morte
Site Admin
Site Admin
Messages : 102022
Inscription : 10 sept. 2005 13:57
Contact :

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Message par Malekal_morte »

Salut,

Quelle est l'adresse de ton site ?
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

machdeux
newbie
newbie
Messages : 8
Inscription : 13 juin 2013 00:10

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Message par machdeux »

Bonjour,

http://www.rscbo.fr que j'ai pour le moment "désactivé". j'ai en premier lieu vérifié mon poste avec Hitmanpro et malwarebyte. aucun des 2 ne m'a détecté ce trj mais par contre j'ai installé trend micro web protection addon qui me signale régulièrement qu'il a bloqué accés à hitmanpro htpp//cloud.hitmanpro.com hash.ashx et htpp//cloud.hitmanpro.com/Gossi p.ashx?guid=%..(serie de nombre). il m'a aussi bloqué l'accès à mon site donc maintenant je n'arrive plus à y accéder.

Pour le moment ce trj a été détecté avec norton internet security et avast mais pas zonealarm.

je ne sais pas comment faire pour nettoyer mon site. PDT_013


machdeux

Malekal_morte
Site Admin
Site Admin
Messages : 102022
Inscription : 10 sept. 2005 13:57
Contact :

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Message par Malekal_morte »

Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

machdeux
newbie
newbie
Messages : 8
Inscription : 13 juin 2013 00:10

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Message par machdeux »

c'est justement le nettoyage de mon site qui me pose problème.

J'ai lancé virustotal qui ne détecte rien mais ne peut analyser le contenu (Le contenu de la réponse de l'URL ne peut pas être récupéré ou il s'agit d'un format texte (HTML, XML, CSV, TXT, etc.), cela n'a donc pas été ajouté à la file d'attente).
J'ai lancé http://sitecheck.sucuri.net rien non plus mais un messge dans l'onglet détail que je ne comprend pas.
System Details:
Running on: Apache/2.2.X
System info: (OVH)
Powered by: PHP/5.3.16
Unable to properly scan your site. Site returning error: HTTP/1.1 503 Service Temporarily Unavailable

J'ai lance jsunpack.jeek.org vu dans l'article mais le résultat me parle complètement chinois (cf ex fichier joint) PDT_014

comment donc puis je faire pour donc arriver à nettoyer mon site ? j'ai vu qu'il existait une façon manuelle (
Pour trouver ce qui génère le script malicieux, il faut donc faire une recherche dans les pages PHP du site sur les mots eval ou base_64) mais comment j'ouvre ses pages et que dois je faire si je trouve ces mots ?

merci pour votre aide
Pièces jointes
65cb_ff4e9d95d47a6f31d96ab4ea361c1f538a7b.zip
(70.71 Kio) Téléchargé 69 fois

Malekal_morte
Site Admin
Site Admin
Messages : 102022
Inscription : 10 sept. 2005 13:57
Contact :

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Message par Malekal_morte »

C'est la lib Jquery ton truc.

Ca sert à rien de faire des tests sur ton site s'il est désactivé.
Pour trouver ce qui génère le script malicieux, il faut donc faire une recherche dans les pages PHP du site sur les mots eval ou base_64) mais comment j'ouvre ses pages et que dois je faire si je trouve ces mots ?
Ouaip voir si des pages n'ont pas été touchées.
Faut regarder aussi le .htaccess à la racine du site.

et pendant qu'on y est, ça retourne quoi cette commande ?
ls -lhtr /etc/apache2/mods-enabled/
Bon en espérant que ce soit le bon chemin, il change selon la distrib.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

machdeux
newbie
newbie
Messages : 8
Inscription : 13 juin 2013 00:10

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Message par machdeux »

j'avais réactivé le site avant de lancer les différents scan PDT_015

la commande je la lance comment et ou ?

machdeux

Malekal_morte
Site Admin
Site Admin
Messages : 102022
Inscription : 10 sept. 2005 13:57
Contact :

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Message par Malekal_morte »

Laisse tomber, c'est du mutualisé ton site.

Bref faut inspecter les pages.
Sinon repart sur une sauvegarde.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

machdeux
newbie
newbie
Messages : 8
Inscription : 13 juin 2013 00:10

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Message par machdeux »

Bonjour,

Etant en période d'examen j'ai pas eu le temps de travailler hier sur mon site. Suite à ton message et pour être moins bête j'ai encore quelques questions sur le sujet :

Que dois je chercher exactement dans mes fichiers ? dois je ouvrir tous les fichiers PHP, HTMl et autre ?

Sinon ça change quoi le fait que ce soit mutualisé par rapport aux analyses effectuées ?

Merci pour tes réponses

machdeux

Malekal_morte
Site Admin
Site Admin
Messages : 102022
Inscription : 10 sept. 2005 13:57
Contact :

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Message par Malekal_morte »

Je ne peux pas te dire exactement ce que tu dois chercher.
Faut que tu trouves le code qui génère le javascript qui provique les redirections vers l'Exploit Kit.

Si tu sais pas faire, fais toi aider.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

machdeux
newbie
newbie
Messages : 8
Inscription : 13 juin 2013 00:10

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Message par machdeux »

Ben heu c'est pour ça que je poste mon pb sur les forums ... PDT_014

machdeux

Malekal_morte
Site Admin
Site Admin
Messages : 102022
Inscription : 10 sept. 2005 13:57
Contact :

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Message par Malekal_morte »

Mais c'est pas possible de t'aider sur un forum.
Faut trouver le code malicieux et l'enlever des pages WEB de ton site.
Ca peux pas se faire par forum interposé.

Quand je te dis de te faire aider, c'est soit un amis compétent qui peux aller en FTP sur ton site avec toi et qui va virer le code malicieux.
Soit tu fais payer une prestation à une entreprise ou OVH.

Soit tu remets une sauvegarde saine de ton site.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

machdeux
newbie
newbie
Messages : 8
Inscription : 13 juin 2013 00:10

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Message par machdeux »

J'ai récupéré le message d'avast en rapport au trj et le lien de renvoi : treasurestexta .... donc ma question maintenant c'est : il y a t-il un moyen de rechercher dans une série de fichier un texte d'une façon automatique plutôt que d'ouvrir chacun les uns après les autres ?

est-ce que le trj peut renvoyer à plusieurs URL différents d'une façon aléatoire ?

machdeux

Malekal_morte
Site Admin
Site Admin
Messages : 102022
Inscription : 10 sept. 2005 13:57
Contact :

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Message par Malekal_morte »

Comme là : https://forum.malekal.com/probleme-viru ... 43685.html

Je pense que tu n'as pas le minimum de connaissances pour te désinfecter ton site.
Pour la 3e fois : remets une sauvegarde ou fais toi aider.

Tu peux toujours me contacter en privé avec les identifiants FTP pour que je regarde, si tu le souhaites.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 102022
Inscription : 10 sept. 2005 13:57
Contact :

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Message par Malekal_morte »

Grâce à un sujet identique : site-web-infeste-par-blackhole-exploit-kit-t43779.html
On a la portion de code utilisé pour créer le Javascript.
Ca peux donc aider les webmaster pour nettoyer leur site.

J'ai mis à jour la page : https://www.malekal.com/2012/08/28/pirat ... malicieux/

Ca ressemble à cela :

Image

ATTENTION :
Changez vos mots de passe FTP.
j'en profite aussi pour signaler qu'il y a une mise à jour de sécurité pour WordPress : http://blog.sucuri.net/2013/06/wordpres ... lease.html
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »