L'Emploi et le Chômage en Débats

Sous Linux, je ne pense pas risquer grand chose, mais j'ai tout de même un petit antivirus installé... just in case!

MON ANTI VIRUS m'a signalé qu'il s'agissait d'un TROJAN. A confirmé code dangereux dans ACTU. A supprimé le fichier. J'ai fait un scan avec l'antivirus et également avec l'antispyware.

Le probleme c'est qu'avec WINDOWS VISTA on accede plus au registre comme avec windows XP .

Ce matin, il semble que tout soit rentré dans l'ordre.Les pages d'ACTU s'ouvrent normalement avec moins de lenteur et de blocage qu-hier.

Ben, pas pour moi

Alerte au trojan il y a quelques secondes en ouvrant actu, pffff

Fait un scan complet, c'est long et efficace.

Avec XP , j'avais pris l'habitude de nettoyer les fichiers en supprimant le fichier depuis le registre! Cela supprime le fichier infecté mais aussi le programme qui est à reinstaller, mais propre.

J'ai eu beaucoup d'attaques virales hier, jusqu'à ma connexion orange totalement ralentie.

Ave, Romain

Le problème est que ce langage m'est totalement inconnu, j'ai XP, mais ne sait pas scanner, je ne sais même pas ce que signifier "hacker", et en plus même pas honte

Mais apparemment l'anti virus est efficace.

Quoique j'ai des spams entre site de c.., la redoute et autres pubs intempestives, bien que j'ai mis la protection maximum, ça m'énerve !

Chacun ses trucs, Moi je suis plus "idiote" en clavier et traitement de texte que je ne sais pas du tout utilisée. Nettoyage d'ordi c'est mieux , j'en ai tellement bavé avec mon précédent ordi.

Dans ton antivirus, dans le programme , tu dois avoir un chapitre, analyser mon ordinateur, analyser tous les fichiers et ensuite supprimer quand le scan sera finis ( cela dure 2 H environ , mais cela nettoie tous les fichiers, avec l'anti spyware, cela devrait te donner le nom des fichiers, en les supprimant, on supprime aussi les spams!)

En ouvrant les clefs de registre HKey.... on accede au fichiers installés, et on peut supprimer les fichiers. J'étais infesté de sites porno en direct en plus , avec controle parental , quand j'ai fini par supprimer les fichiers depuis le registre. j'ai été tranquille ensuite, mais il faut reinstaller le programme, sans se tromper de HKEY, vitale pour l'ordi.

Sinon , reste la solution de la restauration de systeme.

Finalement, j'ai cliqué droit sur l'icône de l'anti-virus et la bêbête a tout scanné et... rien détecté !

De toutes façons, je ne sais pas ce qu'est une clé Hkey

Le registre est la base de donnees de Windows.
pour le consulter démarrer , executer.Dans la Zone Ouvrir, tapez Regedit,et entrée.

la structure du registre est ouverte:HKEY classes root ,tu as tous les fichiers ,raccourcis etc, Hkey current users, tu as les informations sur l'utilisateur etc...

Quand tu veux supprimer un fichier recalcitrant ,tu cliques sur la clé correspondant au dossier. En général, chez Windows XP, les programmes sont HKEY_LOCAL_MACHINE_SOFTWARE_\ microsoft. De Là va defiler la liste et le nom des programmes. En general , le virus porte un nom de programme, il suffit de le supprimer dans la clé où il s'est coincé. Quelquefois, les antivirus ne nettoient pas jusque là!

On peut aussi télécharger des séquences de desinfection
http:www.sécuser.com/téléchargement/index.htm

Ce matin, il semble que tout soit rentré dans l'ordre.Les pages d'ACTU s'ouvrent normalement avec moins de lenteur et de blocage qu-hier.

Non pas du tout à cette heure ci. (Mercredi 7 Mars 2008, 14h 30)
La page d'accueil est toujours piégée.

Pour ce que je peux comprendre du mécanisme d'infection à ce moment:
Vous pouvez chercher sur votre disque dur les Répertoires:
: INSTDIR , PLUGINSDIR, COMMON_STARTUP

Fichiers:
sys_vd4.dat , update.vad , NSISdl.dll

Si vous avez un repertoire INSTDIR il doit y'avoir un fichier svchost.exe dedans.

Dans le repertoire COMMON_STARTUP il doit y'avoir un fichier update.exe.

IL NE FAUT EFFACER POUR LE MOMENT AUCUN FICHIER SEULEMENT LES RENOMMER EN ENLEVANT L'EXTENTION. (ajouter le suffixe .vir par exemple si un fichier s'appelle toto.exe renommer le en: toto.exe.vir

Pour renommer un fichier:
sélectionner le en cliquant une seule fois avec la souris mais surtout pas deux fois ou en utilisant les touches flêche de votre clavier. Une fois que le nom du fichier a la couleur bleu, appuyer sur la touche F2.

Vous pouvez faire la même chose en cherchant dans le menu "fichier" en haut à gauche.

Vous devrez surement faire cette manoeuvre en mode "sans échec" de Windows.

Pour apprendre comment démarrer son ordinateur en mode sans échec vous pouvez lire:

ICI
(Si vous utilisez cette méthode lire aussi la façon de redémarrer normalement)

Une autre manière de faire est d'appuyer sur la touche F8 avant que Windows ne démarre normalement.

Il faut insister en répétant l'opération juste avant le démarrage de Windows car la prise en compte n'est pas toujours immédiate.


PS:
En mettant mon antivirus à jour je m'aperçois qu'une partie
des fichiers malveillants installés contre votre volonté sont détectés mais pas tous à cette heure. Tout du moins avec l'antivirus que j'utilise.

Bonne chance si vous devez désinfecter.

Je confirme, le bousin est toujours là!

Voilà le fichier (js_go_f1.php ) dans lequel se trouve le javascript est logé là:

http://www.rxpharmacyonline.net/1/

Il n'y a même pas un fichier index.html pour protéger le répertoire visuellement.

Un whois sur le domaine donne:

Administrative Contact:

cheapcialis.org
Ivan Ketereverov
mail: garyaxe@inbox.lv

.lv c'est la Lettonie

Je ne sais pas, est-ce que ça vaut le coup de leur écrire pour leur demander d'enlever déjà le fichier, qu'en pensez-vous? Il est possible qu'il s'y trouve contre leur plein gré.

Bonjour,



Il est 17H30.
Chaque appel d'une page, y compris l'accueil du site, provoque la connexion à 193.111.244.21, qui correspond à www.dir4you_POINT_org ainsi qu'à rxpharmacyonline_POINT_net.

La récupération du contenu du répertoire indiqué par diety ci-avant me renvoie sur un site xxxmovies_POINT_dip_POINT_jp situé sur le même serveur. Je continue à fouiller.

diety a écrit :Je ne sais pas, est-ce que ça vaut le coup de leur écrire pour leur demander d'enlever déjà le fichier, qu'en pensez-vous? Il est possible qu'il s'y trouve contre leur plein gré.

A mon avis, ils savent.

Sous Linux avec Firefox 2.0.0.12, je n'ai détecté aucun trafic anormal, ce qui me laisse penser que l'on est à l'abri de l'infection.

Peut-être faudrait-il envisager de fermer le site le temps de désinfecter, pour éviter de pourrir tous les internautes qui passent par ici.

edit: La page renvoyée par leur serveur dépend du type de navigateur et du système d'exploitation déclaré.

Peut-être faudrait-il envisager de fermer le site le temps de désinfecter, pour éviter de pourrir tous les internautes qui passent par ici.

Ca doit etre aussi facile que de corriger le source en php qui a été modifié par les pirates.
Avec l'accès aux répertoires où se situent le code source en php il ne faudrait sans doute pas beaucoup de temps pour corriger le problème.

Il faut juste empêcher la génération de cette iframe qui pourrit le site.
Probablement une seule ligne à enlever.

Le script malicieux est toujours renvoyé à ceux qui ouvrent une page sur Actu'.
Une partie des serveurs utilisés par les pirates pour héberger leur nid de programmes malveillants ont du se rendre compte qu'ils ont été piratés et ont réparé le problème.

Mais le lien dans la iframe est toujours actif, les pirates peuvent changer le code malicieux pour mettre à jour les url des sites hébergeant leur programmes hostiles (qui transforment votre ordinateur en self service gratuit ouvert aux quatre vents)

Le script a été effectivement mis à jour depuis que j'ai décrypté le script:

Le nid de programmes malveillants se trouvait sur ce serveur:
Et aujourd'hui il se trouve sur celui là:
Le premier fichier qui est exécuté sur votre machine est un installateur de programme.

Dès qu'il démarre, le programme télécharge d'autres programmes malveillants sur des sites compromis pour les installer sur votre machine et les exécuter lorsque vous allez éteindre et redémarrer votre machine.

Hier, une partie des sites qui servent de nid à programmes malveillants avaient fait le ménage.
Mais les pirates sont assez réactifs.

(enfin heureusement pas tant que cela)

Sur les trois sites qui servaient de magasins à malware, un seul est encore actif ! Le code malicieux peut donc encore faire des victimes maintenant.


PS:
je viens de me rendre compte qu'il y'a sans doute une deuxième page qui peut etre ouverte qui contient elle aussi un script malicieux. Encore un moyen potentiellement très dangereux de vous infecter.

tristesir a écrit :Le script a été effectivement mis à jour depuis que j'ai décrypté le script: (suivent les adresses)

Je ne pense pas, j'avais pour ma part détecté le dirFORyou cette nuit, et le movies_POINT_dip cet après-midi seulement, soit le contraire de toi.
Ces sites sont tous sur le même serveur letton dont j'ai donné l'IP plus haut.

Par contre, je n'ai pas d'installeur de programme qui se lance ..