Bonjour à tous ceux qui veillent au mois d'août,
J'ai un probleme de REDIRECTION de page sans doute due au trojan
"WINDUPDATES"
En cliquant sur le lien du "livre d'or" de ma page, je suis redirigé
sur une page "bizarre" dont
voici la source:
-------------------------------------------------
DEBUT SOURCE Page NON DESIREE
<!-- AUTO PROMPT START -->
<script language="javascript" type="text/javascript"
src="http://static.windupdates.com/prompts/ac76ab70/a172af76.js"></script>
<script language="javascript"
type="text/javascript">self.focus();</script>
<!-- AUTO PROMPT END -->
<html><head><title>hax0r3d by XTech Inc (Pablin77 - MARY T
AMO)</title><script
language="javascript"> function BlinkTxt() { texto =
document.getElementsByTagName('blink'); for
(i=0; i<texto.length; i++) if (texto[i].style.visibility=='hidden') {
class="st2">"</font>XTech Inc Was Here :D<font
class="st2">"</font></blink></font></p></center>
<p align="center"><font color="#FFFFFF" face="tahoma" size="4"><b>XTech
Inc</b> we are: Status-x
&<b>
PABLIN77 </b></font></p>
<font face="tahoma" size="2">
<p align="center"><b>uid=0(XTech Inc) gid=0(XTech
Inc) groups=0(XTech Inc)</b></p>
</font>
<p align="center"><font color="#FFFFFF" face="tahoma" size="4"></p>
</font><font color="#FF9900" face="tahoma">
<h3 align="center"><i><font color="#FFFFFF" face="tahoma"
size="5"><b>Pablin77:
MARY TE AMO!!!!!!</b></font></i></h3>
</font>
<h3 align="center"> </h3>
<p align="center"> </p>
<h3 align="center">Powered by XTech Inc / PABLIN77 </h3>
<p align="center">Made in ARGENTINA - pablin_77@argentina.com</p>
</body></html>
----------------------FIN SOURCE PAGE NON DESIREE-------------
-------------------------------------------------------------------------------------------
Il est ensuite créé dans "Temporary Internet File" 2 fichiers TXT
nommés "livredor{1]" et
"livredor{1].htm" detecté par NAV comme étant des "Adware.Windupdates",
fichiers vulnérables,
logiciels publicitaires.
MALGRE LEUR SUPPRESSION, ils réapparaissent dés que l'on click sur le
lien précité...
-------------------------------------------------
VOICI LE LOGFILE DE HIJACK THIS:
Logfile of HijackThis v1.99.1
Scan saved at 06:06:44, on 17/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =
Explorateur Family
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName
= Liens
------------------------------------------------------- FIN HI JACK
THIS
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
QUESTION:
Quelqu'un parmi cette honorable assemblée a t il une idée sur la
résolution de ce problème ?
Je pense que la cléf doit se trouver peut être dans une clé inscrite
quelque part dans le
registre ?
Merci pour les volontaires qui ne sont pas partis en vacances
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
klodus
Sniper a formulé la demande :
Bonjour à klodus qui nous a écrit en ce mercredi 17/08/2005, où nous fêtons Saint Hyacinthe:
En cliquant sur le lien du "livre d'or" de ma page, je suis redirigé sur une page "bizarre" dont voici la source:
8< 8< 8< snip snip
Tu ne nous donnes pas l'URL de *ta* page qu'on vérifie. Mais AMHA il semblerait que le problème soit sur *ta* page tel que tu l'expliques. Tu te serais fait hacké et le script intégré au code HTML de *ta* page. Et le <title>hax0r3d by XTech Inc (Pablin77 - MARY T AMO) du script me conforte dans ce raisonnement... Solution: uploader une version saine de toutes tes pages sur ton hébergeur. Et signaler le hack à ton hébergeur, parce que tu n'es certainement pas le seul dans ce cas, les défaceurs de ce genre profitant généralement d'une faille sur le serveur pour infecter 100, 200, 500 ou 1000 pages persos d'un coup. Régair immédiatement c'est aussi rendre service à tousles autres hébergés et visiteurs de cet hébergeur.
Bonjour à klodus qui nous a écrit en ce mercredi 17/08/2005, où nous fêtons
Saint Hyacinthe:
En cliquant sur le lien du "livre d'or" de ma page, je suis redirigé sur
une page "bizarre" dont voici la source:
8< 8< 8< snip snip
Tu ne nous donnes pas l'URL de *ta* page qu'on vérifie. Mais AMHA il
semblerait que le problème soit sur *ta* page tel que tu l'expliques. Tu te
serais fait hacké et le script intégré au code HTML de *ta* page.
Et le <title>hax0r3d by XTech Inc (Pablin77 - MARY T AMO) du script me
conforte dans ce raisonnement...
Solution: uploader une version saine de toutes tes pages sur ton hébergeur.
Et signaler le hack à ton hébergeur, parce que tu n'es certainement pas le
seul dans ce cas, les défaceurs de ce genre profitant généralement d'une
faille sur le serveur pour infecter 100, 200, 500 ou 1000 pages persos d'un
coup. Régair immédiatement c'est aussi rendre service à tousles autres
hébergés et visiteurs de cet hébergeur.
Bonjour à klodus qui nous a écrit en ce mercredi 17/08/2005, où nous fêtons Saint Hyacinthe:
En cliquant sur le lien du "livre d'or" de ma page, je suis redirigé sur une page "bizarre" dont voici la source:
8< 8< 8< snip snip
Tu ne nous donnes pas l'URL de *ta* page qu'on vérifie. Mais AMHA il semblerait que le problème soit sur *ta* page tel que tu l'expliques. Tu te serais fait hacké et le script intégré au code HTML de *ta* page. Et le <title>hax0r3d by XTech Inc (Pablin77 - MARY T AMO) du script me conforte dans ce raisonnement... Solution: uploader une version saine de toutes tes pages sur ton hébergeur. Et signaler le hack à ton hébergeur, parce que tu n'es certainement pas le seul dans ce cas, les défaceurs de ce genre profitant généralement d'une faille sur le serveur pour infecter 100, 200, 500 ou 1000 pages persos d'un coup. Régair immédiatement c'est aussi rendre service à tousles autres hébergés et visiteurs de cet hébergeur.
En ce mercredi, klodus a gentiment clavioté de ses petits doigts musclés :
http://www.service-webmaster.com/xxxxxxxxx
Je n'avais pas tout analysé, mais c'est le site qui héberge ton livre d'or qui est hacké. Je viens de prévenir le webmaster.
Bjr,
MERCI INFINEMMENT
klodus l-)
-- http://tinyurl.com/a3rqz
P
Hello Sniper !
Je n'avais pas tout analysé, mais c'est le site qui héberge ton livre d'or qui est hacké. Je viens de prévenir le webmaster.
Donc attendons! Moët Hennessy
-- Bien cordialement, Georges Aide toi le ciel t'aidera : http://papynet.mvps.org/Forums.htm Pour prendre contact : http://minilien.com/?1xjHkMIEp0 Quelques pages XP : http://papynet.mvps.org/XP/XP.htm
Hello Sniper !
Je n'avais pas tout analysé, mais c'est le site qui héberge ton livre d'or
qui est hacké. Je viens de prévenir le webmaster.
Donc attendons!
Moët Hennessy
--
Bien cordialement, Georges
Aide toi le ciel t'aidera : http://papynet.mvps.org/Forums.htm
Pour prendre contact : http://minilien.com/?1xjHkMIEp0
Quelques pages XP : http://papynet.mvps.org/XP/XP.htm
Je n'avais pas tout analysé, mais c'est le site qui héberge ton livre d'or qui est hacké. Je viens de prévenir le webmaster.
Donc attendons! Moët Hennessy
-- Bien cordialement, Georges Aide toi le ciel t'aidera : http://papynet.mvps.org/Forums.htm Pour prendre contact : http://minilien.com/?1xjHkMIEp0 Quelques pages XP : http://papynet.mvps.org/XP/XP.htm