site suspect détecté par google chrome

[jcabbe]

Bonjour,
Après une chasse résolue aux intrus (fichiers htaccess et default.php multiples), la plupart de mes sites (dans lesquels AVAST avait détecté un cheval de Troie) s'ouvrent normalement avec firefox. Par contre lorsque j'utilise google chrome, "cuisol" et "noloud" sont identifiés comme dangereux suite à une intrusion de sagverket.se qui aurait introduit des instructions potentiellement envahissantes. J'ai eu la même notification pour un autre site (jcabbe.free.fr) qui n'était rien d'autre que le guppy du package. Je l'ai rechargé, l'alerte a disparu.
J'ai regardé sur le web cette histoire de sagverket et je ne vois rien de bien concluant. Quant aux avertissements de google chrome, ils peuvent avoir des origines très variées et je ne vois rien qui puisse orienter valablement sur une méthodologie à suivre.
J'ai changé tous mes mots de passe, protégé par un mot de passe mon fichier mémoire des MdP (une option sur firefox qui devrait être notifiée plus sérieusement), passer et repasser Avast, Mcafee, Malware Antimalware. RAS
Merci pour toute aide.

[migau]

bonjour

concernant ton site, je ne suis pas sûr de pouvoir t'aider.
Par contre, on peut déjà vérifier ton pc que tu n'aies rien téléchargé de douteux

===================


ZHPDiag de Nicolas Coolman

Télécharge ZHPDiag
de Nicolas Coolman sur ton Bureau

Lance l'outil : double-clique sur ZHPDiag pour XP


====================================
ceci ne concerne que vista et seven

Pour Vista et seven
fais un clic droit sur l'icône et exécuter en tant qu'administrateur.

====================================

il faut vérifier si la version de zhpdiag est bien à jour.

si elle n'y est pas
clique sur la grosse flèche verte pour la mise à jour de l'outil

Clic sur la petite loupe en haut à gauche pour débuter l'analyse :



L'analyse peut durer une dizaine de minutes

Une fois le scan terminé,

[*] clique sur l'icône en forme de disquette
[*]et enregistre le fichier sur ton bureau.

Le rapport généré par l'outil se nomme ZHPDiag.txt,


/!\Information relative à Internet Explorer 9 : /!\

Si ZHPDiag est téléchargé à partir d'Internet Explorer 9 et que le filtre Smart Screen est activé, un message de ce type apparaître en bas de page :



Il s'agit simplement du filtre SmartScreen qui n'inclut pas encore la totalité des logiciels
(cela se produira également sans doute avec les autres outils qui seront téléchargés durant la désinfection)


Il faut donc cliquer sur le bouton "actions" et choisir "exécuter quand même"

en cas de soucis de téléchargement, un lien de secours


tu mets le rapport ici et tu me donnes le lien

http://security-x.fr/up/

pour info , les icônes de zhpdiag ont été modifiées hier, je n'ai pas eu le temps de les mettre à jour.


à te lire

[migau]

hello

pour un meilleur suivi , j'aimerai bien que tu répondes ici, stp

désinstalle spybot, il est plus qu'obsolète

====================================
ZHPFix : nettoyage, le raccourci est sur ton bureau

• Lance ZHPFix : double clic pour xp
• pour Windows Vista ou Windows 7, lance le par un clic-droit l'icône zhpfix : exécuter en temps qu'administrateur.
• Copie les lignes suivantes :

O43 - CFD: 28/01/2013 - 16:45:31 - [26,555] ----D C:\Documents and Settings\utilisateur\Application Data\OpenCandy => Infection PUP (Adware.OpenCandy)*
[HKLM\Software\Classes\Interface\{6e4c89cf-3061-4ee4-b22a-b7a8aaea5cb3}] => Infection PUP (Adware.Bandoo)
C:\Documents and Settings\utilisateur\Application Data\OpenCandy => Infection PUP (Adware.OpenCandy)*
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} . (.Safer Networking Limited - SBSD IE Protection.) -- C:\Program Files\Spybot - Search & Destroy\SDHelper.dll => Safer Networking Ltd - Spybot S&D*
O2 - BHO: ReasonableToolbar.ToolbarBHO - {d8961a1e-25db-33c9-a7c9-3d3e3266b5b8} . (...) -- mscoree.dll (.not file.) => Fichier absent
O4 - HKCU\..\Run: [Reasonable NoClone] Clé orpheline => Orphean Key not necessary
O4 - HKUS\S-1-5-21-329068152-1035525444-1547161642-1004\..\Run: [Reasonable NoClone] Clé orpheline => Orphean Key not necessary
O9 - Extra button: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -- Clé orpheline => Safer Networking Ltd - Spybot S&D*
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 => Safer Networking Ltd - Spybot S&D*
O43 - CFD: 29/01/2013 - 12:39:23 - [67,263] ----D C:\Program Files\Spybot - Search & Destroy => Safer Networking Ltd - Spybot S&D*
O44 - LFC:[MD5.550D53887D58988C35A8875FDFC998C3] - 13/02/2013 - 18:58:06 ---A- . (...) -- C:\WINDOWS\FaxSetup.log [870928] => Fichiers de rapport (Log)
O44 - LFC:[MD5.92E3507CD26559C11E5E315CCA2EE41C] - 13/02/2013 - 18:58:06 ---A- . (...) -- C:\WINDOWS\KB2797052-IE8.log [11826] => Fichiers de rapport (Log)
O44 - LFC:[MD5.6769573288C6039E76244CFE087F0288] - 13/02/2013 - 18:58:06 ---A- . (...) -- C:\WINDOWS\comsetup.log [301881] => Fichiers de rapport (Log)
O44 - LFC:[MD5.22E38BE34A8F68BA5FE92C048132A1A2] - 13/02/2013 - 18:58:06 ---A- . (...) -- C:\WINDOWS\iis6.log [138475] => Fichiers de rapport (Log)
O44 - LFC:[MD5.0041DF711AF3486D70236AB2B71CFFDF] - 13/02/2013 - 18:58:06 ---A- . (...) -- C:\WINDOWS\imsins.log [1374] => Fichiers de rapport (Log)
O44 - LFC:[MD5.B310EA3F9BB1C13DDA160D36653755CE] - 13/02/2013 - 18:58:06 ---A- . (...) -- C:\WINDOWS\ntdtcsetup.log [180910] => Fichiers de rapport (Log)
O44 - LFC:[MD5.EFA4BF2D9B392F2ADA924571A906DCF9] - 13/02/2013 - 18:58:06 ---A- . (...) -- C:\WINDOWS\ocgen.log [425609] => Fichiers de rapport (Log)
O44 - LFC:[MD5.12FCF1791C15955E18CB110282BCB3F3] - 13/02/2013 - 18:58:06 ---A- . (...) -- C:\WINDOWS\ocmsn.log [48423] => Fichiers de rapport (Log)
O44 - LFC:[MD5.98EFB8B3D41105B524DC0F552E8D5932] - 13/02/2013 - 18:58:06 ---A- . (...) -- C:\WINDOWS\tsoc.log [336893] => Fichiers de rapport (Log)
O44 - LFC:[MD5.4CDBD3054F49D531F6CC02718CCC7402] - 13/02/2013 - 18:57:58 ---A- . (...) -- C:\WINDOWS\KB2778344.log [16872] => Fichiers de rapport (Log)
O44 - LFC:[MD5.C25882BC7D2F0CCC4766AE3529B35741] - 13/02/2013 - 18:57:17 ---A- . (...) -- C:\WINDOWS\KB2799494.log [17667] => Fichiers de rapport (Log)
O44 - LFC:[MD5.31D1E21B9245E5876E62623145173633] - 13/02/2013 - 18:56:56 ---A- . (...) -- C:\WINDOWS\KB2802968.log [15746] => Fichiers de rapport (Log)
O44 - LFC:[MD5.B60954B2D04D5B1F73C65BCE7795DABE] - 13/02/2013 - 18:55:50 ---A- . (...) -- C:\WINDOWS\KB2780091.log [15141] => Fichiers de rapport (Log)
O44 - LFC:[MD5.CA19A4FE55C0F661A70BBE935C7A2546] - 13/02/2013 - 18:55:37 ---A- . (...) -- C:\WINDOWS\KB2792100-IE8.log [15921] => Fichiers de rapport (Log)
O44 - LFC:[MD5.A5BAEB12D448B075D58DE8E10148DF79] - 13/02/2013 - 18:55:13 ---A- . (...) -- C:\WINDOWS\updspapi.log [78070] => Fichiers de rapport (Log)
O44 - LFC:[MD5.AA35B38ACAFEAE3DC41614F9D462199A] - 20/01/2013 - 21:02:25 ---A- . (...) -- C:\WINDOWS\system32\jupdate-1.7.0_11-b21.log [4022] => Fichiers de rapport (Log)
O47 - AAKE:Key Export SP - "D:\gw-5.00\gw\GWD.EXE" [Enabled] .(...) -- D:\gw-5.00\gw\GWD.exe (.not file.) => Fichier absent
O47 - AAKE:Key Export SP - "D:\gw-5.00\gw\GWSETUP.EXE" [Enabled] .(...) -- D:\gw-5.00\gw\GWSETUP.exe (.not file.) => Fichier absent
O47 - AAKE:Key Export SP - "E:\gw-5.00\gw\gwsetup.exe" [Enabled] .(...) -- E:\gw-5.00\gw\gwsetup.exe (.not file.) => Fichier absent
O47 - AAKE:Key Export SP - "E:\gw-5.00\gw\gwd.exe" [Enabled] .(...) -- E:\gw-5.00\gw\gwd.exe (.not file.) => Fichier absent
O47 - AAKE:Key Export SP - "F:\gw 500\gw-5.00\gw\gwsetup.exe" [Enabled] .(...) -- F:\gw 500\gw-5.00\gw\gwsetup.exe (.not file.) => Fichier absent
O47 - AAKE:Key Export SP - "F:\gw 500\gw-5.00\gw\gwd.exe" [Enabled] .(...) -- F:\gw 500\gw-5.00\gw\gwd.exe (.not file.) => Fichier absent
O47 - AAKE:Key Export SP - "F:\gw-5.00\gw\gwsetup.exe" [Enabled] .(...) -- F:\gw-5.00\gw\gwsetup.exe (.not file.) => Fichier absent
O47 - AAKE:Key Export SP - "F:\gw-5.00\gw\gwd.exe" [Enabled] .(...) -- F:\gw-5.00\gw\gwd.exe (.not file.) => Fichier absent
O47 - AAKE:Key Export SP - "D:\GW 500\GW-5.00\GW\gwd.exe" [Enabled] .(...) -- D:\GW 500\GW-5.00\GW\gwd.exe (.not file.) => Fichier absent
O47 - AAKE:Key Export SP - "D:\GW 500\GW-5.00\GW\gwsetup.exe" [Enabled] .(...) -- D:\GW 500\GW-5.00\GW\gwsetup.exe (.not file.) => Fichier absent
O47 - AAKE:Key Export SP - "F:\Généalogie\gw-5.00\gw\gwd.exe" [Enabled] .(...) -- F:\Généalogie\gw-5.00\gw\gwd.exe (.not file.) => Fichier absent
O47 - AAKE:Key Export SP - "F:\Généalogie\gw-5.00\gw\gwsetup.exe" [Enabled] .(...) -- F:\Généalogie\gw-5.00\gw\gwsetup.exe (.not file.) => Fichier absent
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 29/01/2013 - 11:55:33 ---A- . (...) -- C:\END [0] => Infection FakeAlert (Possible)
[HKCU\Software\AppDataLow\Software\Smartbar] => Toolbar.Smartbar*
[HKCU\Software\Conduit] => Toolbar.Conduit
[HKCU\Software\SmartBar] => Toolbar.Smartbar*
O69 - SBI: prefs.js [utilisateur - hjnh11ao.default] user_pref("Smartbar.ConduitHomepagesList", "http://search.conduit.com/?ctid=CT31282 ... I=UN728631[...] => Toolbar.Conduit*
O69 - SBI: prefs.js [utilisateur - hjnh11ao.default] user_pref("Smartbar.ConduitSearchEngineList", ""); => Toolbar.Smartbar*
O69 - SBI: prefs.js [utilisateur - hjnh11ao.default] user_pref("Smartbar.ConduitSearchUrlList", ""); => Toolbar.Smartbar*
O69 - SBI: prefs.js [utilisateur - hjnh11ao.default] user_pref("keyword.URL", "http://search.conduit.com/ResultsExt.as ... 1977219&q="); => Toolbar.Conduit*

SYSRESTORE
EmptyFlash
EMPTYTEMP
EMPTYCLSID
FirewallRAZ
ProxyFix
HostFix
IFEOFix

*****************************************************

• coller les lignes en cliquant sur le bouton radio
• vérifier que ce sont les bonnes lignes et rien d'autre
• Clique sur : Go
• le bureau va disparaître le temps de la suppression.

• Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton pc si également proposé, car cela stopperai ZHPFix.
• Ton navigateur risque de s'ouvrir pendant la désinstallation des toolbars, pas de panique c'est normal, ferme les fenêtres tout simplement.
• Redémarre le pc,
[*] tu mets le rapport en pièce jointe

Note : le rapport est enregistré sous C:\ZHPDiag\ZHPFixReport.txt

/!\ Attention./!\

Parfois, à cause de L'UAC activée, le script ne se lance pas

lire la suite

1 - CAS GENERAL

- Cliquer sur le bouton 'Coller le presse-papier'
- Cliquer sur le bouton "GO"
- le script de suppression se lance ====>>----> Emission du rapport se fait

2 - CAS PARTICULIER AVEC UAC ACTIVEE :

- Cliquer sur le bouton 'Coller le presse-papier'
- Cliquer sur le bouton "GO"
- le script de suppression ne se lance pas , voir parfois une page blanche

---> Message pour autoriser le lancement qu'il faut valider.
---> Redémarrage de ZHPFix (avec UAC désactivée temporairement)

- Cliquer à nouveau sur le bouton 'Coller le presse-papier'
- Cliquer à nouveau sur le bouton "GO"
- - le script de suppression se lance avec ====>>----> Emission du rapport se fait

[jcabbe]

http://security-x.fr/up/file.php?h=R092 ... 46a9095e8c
http://security-x.fr/up/file.php?h=Rf43 ... 0123c1512d
http://security-x.fr/up/file.php?h=R98c ... dc4b504e93
http://security-x.fr/up/file.php?h=R092 ... 46a9095e8c
http://security-x.fr/up/file.php?h=Rf6a ... 9eee36c55d

[migau]

xx

hello

fais attention, jean charles , tu as passé 4 fois zhpfix

============================

une petite vérification

Malwaresbyte's Anti-Malware


Télécharge MalwareByte's Anti-Malware sur ton Bureau.
en cliquant sur Download Now version FREE

/!\ prendre la version gratuite /!\

• Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe
  Une fois l'installation et la mise à jour effectuées :
  
  ==>> Dans l'onglet Paramètres,[/color]
• puis Paramètres d'examen,
• sélectionne Afficher dans les résultats,
• pré-cocher pour suppression pour les 3 actions
• Programmes potentiellement indésirables (PUP)
• Modifications potentiellement indésirables (PUM)
• actions pour les programmes de pair à pair ( per2 per)

• Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne " Exécuter un examen rapide ".
• Afin de lancer la recherche, clic sur "Rechercher
• Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK.

*_* Attention Deux possibilités s'offrent à toi :

• Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
• Lis bien la suite
• Si des infections sont présentes
• clic sur " Afficher les résultats"
• puis sur " Supprimer la sélection. "
• Enregistre le rapport sur ton Bureau.
• Fais redémarrer ton ordinateur normalement
• poste en pièce jointe le rapport dans ta prochaine réponse.

REMARQUE :
Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression,
accepte en cliquant sur Ok

si au reboot , ton pc reste figé

il faut faire la combinaison des touches suivantes ==>>

ctrl+ alt+ suppr
dans le gestionnaire des taches
nouvelle tache
taper explorer.exe
entrée

!!! Ne pas vider la quarantaine de MBAM sans avis !!!

Tutoriel

=================================================================

[jcabbe]

Je ne vois pas ma dernière réponse amis j'ai vu passer rapidement un message : les fichiers .txt ne sont pas autorisés ...
Aucune détection suspecte par malwares antimalw

[migau]

hello


si les fichiers *.txt ne sont pas autorisés, on va se plaindre auprès du patron

=======================

tu feras les mises à jours si besoin

il faudra désactiver ton antivirus pour faire les mises à jour


===================================

SX Check&Update :

• Télécharge SX Check&Update de igor51
  et enregistre-le sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur et désactive ton antivirus le temps de l'opération
• Double-clique sur SXC&U.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• *_* Au menu principal *_*
• clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert,
  Internet Explorer et Firefox dans ton cas
  ==>>A titre indicatif, la page de téléchargement ==>> http://get.adobe.com/fr/flashplayer/
  
  
• Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
  ==>>A titre indicatif, la page de téléchargement==>> http://www.java.com/fr/download/
  ==>>désinstalle toutes les autres versions plus anciennes
• Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
  ==>>A titre indicatif, la page de téléchargement ==>> http://get.adobe.com/fr/reader/?promoid=HTEGU
• N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre, google chrome pour adobe)
• Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
  
  *_* tu mets le rapport en pièce jointe
  
  
  
  
  NB==>> désinstalle toutes les versions java obsolètes
  
  ========================================

[jcabbe]

Je crois que tout était à jour ...
En voulant mettre avast en veille, j'ai découvert un avertissement :
faille du lecteur PDF Adobe : le lecteur PDF est victime d'une faille 0-day (Une histoire de maj ?).
Question de béotien : comment je désinstalle les versions de java obsolètes ?
En voulant ajouter le fichier joint au format .pdf, il apparait l'avertissement : l'extension pdf n'est pas autorisée .. Je te la transmets par mail.

[migau]

Je crois que tout était à jour ...
En voulant mettre avast en veille, j'ai découvert un avertissement :
faille du lecteur PDF Adobe : le lecteur PDF est victime d'une faille 0-day (Une histoire de maj ?).
Question de béotien : comment je désinstalle les versions de java obsolètes ?
En voulant ajouter le fichier joint au format .pdf, il apparait l'avertissement : l'extension pdf n'est pas autorisée .. Je te la transmets par mail.

hello

1)
le lecteur de pdf , adobe reader étant sans cesse attaqué , tout comme java ou adobe flash,
j'ai désinstallé adobe reader et j'ai mis à la place pdf viewer , qui fait le même travail et prend moins de ressources

2)
pour désinstaller les anciennes versions de java comme tu as xp , c'est dans ajout et suppression de programmes.


3)
si tu veux mettre pdf viewer, prends le ici

http://www.clubic.com/telecharger-fiche ... iewer.html

tu n'as pas d'anciennes versions java , je viens de voir ceci dans le rapport que tu m'as envoyé

pour moi, j'ai fini la désinfection.si tu as des questions, je suis à ta disposition

à plus


Edit=migau

voici le lien du rapport SX&CU

http://security-x.fr/up/file.php?h=R88d ... f8a2a5cb7f

[jcabbe]

Je voudrais d'abord te dire un grand merci pour ta disponibilité, ta réactivité et certainement ta compétence même si je ne suis pas en mesure de l'apprécier à sa juste valeur tant je suis dépassé par tous ces bidouillages !
Voici le message que j'ai passé ce matin à Henri pour le tenir informé :
Je pense qu'il y aura eu du nettoyage (salutaire)mais rien de déterminant pour ce qui nous préoccupe ?
Aucun effet sur le message Google Chrome. J'ai bien peur que l'on reste le bec dans l'eau. Comment
l'intervention de sagverket a t'elle été détectée ? J'imagine que le problème se situe à ce niveau, le site étant classé sur une liste noire par google (contrairement à ce que tu as déniché sur la sureté de ce
site), j'en bénéficie ... Cette référence à ce site suédois ne tombe pas du ciel, il y a bien un indicateur (où, à quoi est il associé ?) J'ai beau essayer de réfléchir à des éléments communs entre mes sites, je
n'en trouve pas ...

La question : peut on rechercher dans un fichier un élément faisant référence à ce site suédois, lequel d'ailleurs ne semble plus mis en cause puisqu'il est question de highperformancetraining organization, maintenant....

A part cela, si je puis me permettre, j'ai un autre ordi qui opère à une vitesse tortuesque ..; pas bien jeune mais qui peut conserver une utilité dans le cadre d'une association. Est ce que tu peux essayer de voir, même si Henri a déjà fait un sérieux ménage ?

[migau]

A part cela, si je puis me permettre, j'ai un autre ordi qui opère à une vitesse tortuesque ..; pas bien jeune mais qui peut conserver une utilité dans le cadre d'une association. Est ce que tu peux essayer de voir, même si Henri a déjà fait un sérieux ménage ?

hello

pas de soucis, tu ouvres un autre post et je passerai avec plaisir regarder si je peux y faire quelques choses.

à te lire

[Henri]

Bonsoir à vous deux,

hello

si les fichiers *.txt ne sont pas autorisés, on va se plaindre auprès du patron

Le "patron" a fait le nécessaire.
Après quelques recherches dans l'usine à gaz qu'est le Forum PhpBB3, il a trouvé la solution.
Y'a qu'à demander.