Gros problème sous Firefox (virus?)

[zangele]

Bonjour,

 

j'ai un gros soucis...

 

Lorqu'on va sur mon site sous Firefox, on a une fenêtre qui s'affiche et qui veut ouvrir un fichier de type application/octet-stream, à partir de htpp://mpghossting.biz

 

 

J'ai fait testé à une dizaine de personnes, et ça ne le fait que sur Firefox, et encore pas à tous.

 

J'ai demandé à mon hebergeur qui a teste et n'a rien vu d'étrange (comme par hazard...)

Il m'a conseillé de vider mon cache, mais cela ne change rien.

 

Est-ce que quelqu'un aurait des pistes?

S'agit-il d'un virus?

 

Un grand merci d'avance!

 

Mon site : www.invite-et-decor.com

[Oron]

Bonjour

 

Effectivement il y a un malware qui viens de l'IP 31.44.184.33 utilise le port 50299 le fichier avwebgrd.exe

IP du réseau de : net for Sherbakova hosting customer Russia

sherbakova-net qui appartiens à Evgenia O.

 

Malware détecter par malwarebytes et IP tracer par trace-route

 

Donc soit vous avez un module que vous avez acheter ou télécharger quelque part

Soit vous avez une injection d'un code qui appel cet IP.

 

Faites un test sauvegarde d'abord votre dossier image et le fichier /config/setting.inc.php supprimer tous les fichiers

remettez vos images et le setting.inc.php et ctrl+F5 vider le cache navigateur

Si toujours cette fenêtre de téléchargement vous avez sans doute un code dans la base de donnée donc à Vérifier!!

[zangele]

Ah merci pour cette réponse Oron!!!

 

Donc c'est bien un virus?

Il est sur mon serveur? (désolée je suis pas une pro, je suis juste une entrepreneuse qui a fait son site toutes seule )

 

Récemment j'ai acheté le Module Social Facebook, c'est peut-être ça?

 

J'ai peur de faire une bétise...

Pouvez-vous m'expliquer plus précisément ce que je dois sauvegarder, supprimer puis remettre, et où?

(vraiment pas une pro :-/ )

 

Merci!

[Oron]

Sauvegarder tous le dossier /img/ et le fichiers dans /config/setting.inc.php << attention il est important, si vous avez d'autre dossier personnaliser ou des modules que vous n'en ayez pas une copie.

 

Exportez aussi votre base de donnée actuelle.0

 

Après supprimer tous les fichiers et dossiers, remettre simplement à neuf du zip de votre version actuel, vous transférez tout dessus sur le ftp sauf le dossier install, vous remettez votre dossier /img/

vous remettez le fichier /config/setting.inc.php.

 

Si ce virus ou ce code se trouve dans un fichier il n'y sera plus, à moins que ce soit l'un des modules que vous avez ajouter. Si cette fenêtre apparait encore alors le code se trouve dans la base de donnée.

 

Dans ce cas il faut chercher là dedans. Si vous n'avez pas assez de connaissances il serait judicieux de demander à une de vos connaissances qui serait compétente ou voir avec un prestataire sérieux.

 

Maintenant si vous avez installer un module et que cela se produits depuis l'installation de ce module, désinstaller le supprimer le dossier. Par contre s'il se trouve dans la base de donnée il faut le chercher dans la base de donnée.

[zangele]

merci beaucoup pour toutes ces précisions, c'est vraiment très sympa

 

en effet, je vais essayer de voir avec quelqu'un qui s'y connait un peu lus que moi ^^

 

Merci encore, je garde précieusement ces informations et je reviendrai mettre un resolu quand ça sera réglé !

[DevNet]

Vérifiez vos fichiers index.php (souvent connus des trojans sur tous les cms opensource) qu'un code malicieux ne s'est pas intégré.

Si vous avez un base64(...) vos fichiers sont infectés.

 

Je suppose alors que vous utilisez filezilla windows qui lui même est vérollé.

[Oron]

 

Je suppose alors que vous utilisez filezilla windows qui lui même est vérollé.

 

Bonjour

 

Rhoooo DevNet pourquoi filezilla est vérolé ? le; seul risque est que si le pc est vérolé ou a des chevaux de troies que le fichier xml de la liste des sites ftp enregistrés soit ouvert par les trojan virus.