Comment identifier un fichier infecté

Bonjou , j'ai recu un signalement d'une infection par Trojan.BitCoinMiner.DJ , seulement si l'url est bien indiquée , il me manque le nom du fichier concerné pour pouvoir intervenir car le site m'appartient.

Comment avoir cette information ?

avec mes remerciements

Trouver d'autres publications étiquetées avec

Réponses

Yann A.

41 minutes ago, graynon said:

Bonjou , j'ai recu un signalement d'une infection par Trojan.BitCoinMiner.DJ , seulement si l'url est bien indiquée , il me manque le nom du fichier concerné pour pouvoir intervenir car le site m'appartient.

Comment avoir cette information ?

avec mes remerciements

Bonjour,

C'est Bitdefender qui vous envoie cette alerte ? Si oui, vous pouvez avoir plus d'informations en vous rendant dans les notifications (petite cloche) ou en lançant une analyse système.

Il est possible que cette alerte soit survenu lors du passage sur un site, il n'y a donc rien sur votre disque, dans les fichiers internet temporaires, si l'élément a été bloqué par Bitdefender, il n'y aura donc rien à trouver.

graynon

Bjr Yann, oui c'est bien BD qui me signale ce virus et je sais que mon PC ne risque rien. Mais la cloche ne me donne pas le nom du fichier infecté sur le site se trouvant chez l hebergeur et qui m'appartient. Je voudrais connaitre le nom du fichier pour pouvoir intervenir.

merci pour votre aide

Bien cordialement

Georges

Yann A.

20 minutes ago, graynon said:

Bjr Yann, oui c'est bien BD qui me signale ce virus et je sais que mon PC ne risque rien. Mais la cloche ne me donne pas le nom du fichier infecté sur le site se trouvant chez l hebergeur et qui m'appartient. Je voudrais connaitre le nom du fichier pour pouvoir intervenir.

merci pour votre aide

Bien cordialement

Georges

Bonjour,

Si votre site n'est pas trop volumineux, essayez de rapatrier les fichiers pour les analyser, ou si vous avez une copie de ces fichiers sur votre disque local, lancez une analyse.

Normalement le fichier détecté est indiqué, c'est curieux. Dans les notifications ou dans la quarantaine, il n'y a rien d'indiqué, vous êtes sûr ?

Si vous ne trouvez pas le nom, faites moi parvenir un rapport supporttool (transmettez moi le lien pour récupérer le fichier en message privé):

- ouvrez l'explorateur Windows et rendez-vous votre disque où se trouve installé Bitdefender (C: normalement)

- puis ouvrez 'Programmes', 'Bitdefender' puis 'Bitdefender Security'

- cliquez avec le bouton droit de la souris sur 'supporttool.exe' et sélectionnez 'Exécuter en tant qu'administrateur'

- une fois l'interface lancée, cochez la case 'En cochant cette case...' et cliquez sur le bouton 'Suivant'

- entrez votre adresse email, nom et choisissez votre pays, puis décrivez brièvement votre problèmes dans l'encadré 'Description du problème' et cochez (important) l'option 'Essayez de reproduire le problème avant la soumission'

- puis cochez la case qui correspond le mieux à votre problème ou bien cochez 'Autre problème'

- ensuite cliquez sur le bouton 'Suivant'

- reproduisez le problème rencontré et une fois qu'il est reproduit cochez "J'ai reproduit le problème" puis cliquez sur le bouton 'Suivant'

- ensuite attendez que l'outil termine la collecte d'information (il y a une barre d'état d'avancement, il faut attendre qu'elle soit rempli et que le bouton 'Terminer' apparaisse), ne touchez à rien pendant ce temps

- une fois que la barre d'avancement s'est remplie, cliquez sur le bouton 'Terminer'

- renvoyez-moi le fichier de logs qui a été créé sur le bureau (fichier de type 'BDSP_Nomdevotreordinateur_date_heure.zip')

Pour me faire parvenir le fichier demandé, utilisez un système d'hébergement de fichier gratuit comme par exemple framadrop.org, sendspace.com, fileserve.com rapidshare.com ou dl.free.fr. Une fois que les fichiers sont en ligne, vous recevrez un mail vous donnant l'adresse de téléchargement, transmettez moi alors cette adresse afin que je puisse récupérer le fichier mis en ligne.

graynon

ok Yann, je vais faire la manip car je n'ai pas de copie local du site. (Pour info j'ai repris récemment la gestion du site et le prédecesseur ne m'a rien laissé).

je vous fais copie de la notification, vous verrez que le nom du fichier n apparait pas.

une info cependant , par moment BD signale l'url sous http et d'autre fois sous https , or le site ne posséde pas de certificat ssl.

Yann A.

20 minutes ago, graynon said:

ok Yann, je vais faire la manip car je n'ai pas de copie local du site. (Pour info j'ai repris récemment la gestion du site et le prédecesseur ne m'a rien laissé).

je vous fais copie de la notification, vous verrez que le nom du fichier n apparait pas.

une info cependant , par moment BD signale l'url sous http et d'autre fois sous https , or le site ne posséde pas de certificat ssl.

Bonjour,

Je pense que c'est en fait l'url qui est référencée comme tel, car un de vos scripts est détecté.

Mais il s'agit certainement d'un faux positif, je vais vérifier.

Je remonte le fichier pour que la détection soit retirée.

graynon

ok , mais si c'est le cas la mesure sera-t-elle aussi prises par les autres antivirus car le signalement est aussi par Avast et par Kasperky.

Dois-je faire la manip que vous m'aviez demandée précédemment ou j'attends votre reponse ?

Yann A.

Bonjour,

Non, il vous faudra contacter les concurrents pour qu'ils retirent la détection, s'il s'agit réellement d'un faux positif.

J'attends la confirmation du labo.

graynon

Bonjour Yann ,

pouvez vous me donner un delai pour la réponse du labo , car mon site reste bloqué pour l'instant.

avec mes remerciements

Yann A.

49 minutes ago, graynon said:

Bonjour Yann ,

pouvez vous me donner un delai pour la réponse du labo , car mon site reste bloqué pour l'instant.

avec mes remerciements

Bonjour,

La réponse que j'ai reçu, j'attends plus d'informations, est que le site est justement détecté.

La détection va demeurer donc. Vérifiez les scripts utilisés sur votre site ainsi que les liens externes que vous pourriez utiliser (comme des bannières publicitaires par exemple).

Yann A.

Vérifiez bien que Wordpress, que vous utilisez, est bien à jour. Car votre site semble avoir été modifié, un ****** malicieux s'y trouve comme vous pouvez le voir sur cette capture d'écran, qui montre un ****** chiffré.

******.jpg.a27d8cebfc417496850f8a88f7149aa0.jpg

graynon

merci Yann , je vais regardé. Il y a pas mal de fichier utilisé par WP , vous m'avez livré une ligne sans me dire exactement ou elle se trouvait. si vous avez l info , cela serait plus simple pour moi.

Quelle lien avec votre signalement : : Trojan.BitCoinMiner.DJ.

Vous m'avez dit dant un premier temps que les signalement donnaient le nom du fichier infesté , alors si un fichier est infesté pourquoi votre signalement ne le précise pas ?

Est-ce la la reponse définitive de votre labo ou attendez vous autre chose ?

Avec mes remerciements

Georges

graynon

yann , dans le répertoire ag13 , j'ai scanné tous les fichiers htaccess txt php html pour trouver la ligne que vous m'avez indiquée sans succes. Il est imperatif que vous me disiez quel est le fichier concerné.

merci pour votre aide

graynon

Bonsoir Yann, vous trouverez mon message dès potron-minet je pense. ( early in the morning)

J'ai toujours du mal à me répérer dans la vue de votre scan.

si je comprends bien au dessous de "top "sont listés différents domaines dont le mien ag13.phpnet.org

les autres "nuages" au meme niveau d arborescence que mon domaine designent donc d'autres domaines exemple ajax.googleapis.com

puis d autres nuages sans nom de domaine ( no domain)

sous le n° 3 un fichier est surligne et je suppose qu'une partie de son contenu est donc liste dans la partie droite de la fenetre qui indique un ****** douteux

si c'est le cas ce domaine n° 3 , je ne vois pas en quoi mon site est concerné puisque ce domaine semble ne pas m'appartenir

par contre dans l'arborescence de mon domaine je vois wp-includes/jf (que je retrouve sur mon site)

sous ce repertoire ( dans votre copie d'ecran) est mentionné un fichier "index" en gris , or une recherche sur ce nom sur mon site est negative

Je suis toujours dans l'impossibilité de cibler le fichier contaminé contenant la ligne qui est indiquée dans la partie droit de votre copie d'ecran

si toute fois cette ligne appartient à un fichier du dossier wp-includes/js

votre eclairage serait utile

Par contre j'ai bien noté votre remarque sur la mise à jour de wordpress , je m en occupe.

Merci de me preciser si votre labo a une conclusion définitive de son étude ?

bien cordialement

Georges

Yann A.

11 hours ago, graynon said:

Bonsoir Yann, vous trouverez mon message dès potron-minet je pense. ( early in the morning)

J'ai toujours du mal à me répérer dans la vue de votre scan.

si je comprends bien au dessous de "top "sont listés différents domaines dont le mien ag13.phpnet.org

les autres "nuages" au meme niveau d arborescence que mon domaine designent donc d'autres domaines exemple ajax.googleapis.com

puis d autres nuages sans nom de domaine ( no domain)

sous le n° 3 un fichier est surligne et je suppose qu'une partie de son contenu est donc liste dans la partie droite de la fenetre qui indique un ****** douteux

si c'est le cas ce domaine n° 3 , je ne vois pas en quoi mon site est concerné puisque ce domaine semble ne pas m'appartenir

par contre dans l'arborescence de mon domaine je vois wp-includes/jf (que je retrouve sur mon site)

sous ce repertoire ( dans votre copie d'ecran) est mentionné un fichier "index" en gris , or une recherche sur ce nom sur mon site est negative

Je suis toujours dans l'impossibilité de cibler le fichier contaminé contenant la ligne qui est indiquée dans la partie droit de votre copie d'ecran

si toute fois cette ligne appartient à un fichier du dossier wp-includes/js

votre eclairage serait utile

Par contre j'ai bien noté votre remarque sur la mise à jour de wordpress , je m en occupe.

Merci de me preciser si votre labo a une conclusion définitive de son étude ?

bien cordialement

Georges

Bonjour,

Le site n'est plus en ligne, je ne peux pas vérifier.

Le laboratoire détecte ce ****** qui est bien présent, mais il ne pourrai pas vous aider à nettoyer votre site, là n'est pas sa mission.

graynon

Bonjour Yann ,

je vous remercie d'abord pour ce que vous avez pu faire.

Cependant , puis-je vous faire remarquer que vous ne repondez pas à mes questions.

Puisque un ****** malicieux a été détecté , pourquoi ne pas dire précisement ou il se trouve puisque votre analyse , ou celle de votre labo, l'a idenfié. Si votre mission et d'aider les clients alors ce serait bien de le faire avec plus de précisions.

Si la copie d'écran que vous m'avez envoyée contient la reponse je suppose que vous aurez répondu à ma question , j'en conclu que , pas plus que moi, vous n'avez pas pu l'interprété.

Alors pourquoi donner un document qui n'aporte pas la réponse à la question ?

C'est dommage que je ne puisse pas etre en relation directe avec votre labo.

Je comprends que vous avez beaucoup de signalements à traiter et j'espere que vous comprenez que moi client, j'aurai espére une répoinse precise à ma question.

Bien cordialement

Georges

graynon

Juste pour info,

le virus a été identifié et éradiqué

l'accès au site est libre.

Georges

Yann A.

1 hour ago, graynon said:

Juste pour info,

le virus a été identifié et éradiqué

l'accès au site est libre.

Georges

Ok c'est noté.

Yann A.

2 hours ago, graynon said:

Bonjour Yann ,

je vous remercie d'abord pour ce que vous avez pu faire.

Cependant , puis-je vous faire remarquer que vous ne repondez pas à mes questions.

Puisque un ****** malicieux a été détecté , pourquoi ne pas dire précisement ou il se trouve puisque votre analyse , ou celle de votre labo, l'a idenfié. Si votre mission et d'aider les clients alors ce serait bien de le faire avec plus de précisions.

Si la copie d'écran que vous m'avez envoyée contient la reponse je suppose que vous aurez répondu à ma question , j'en conclu que , pas plus que moi, vous n'avez pas pu l'interprété.

Alors pourquoi donner un document qui n'aporte pas la réponse à la question ?

C'est dommage que je ne puisse pas etre en relation directe avec votre labo.

Je comprends que vous avez beaucoup de signalements à traiter et j'espere que vous comprenez que moi client, j'aurai espére une répoinse precise à ma question.

Bien cordialement

Georges

Bonjour,

Je n'avais plus accès à votre site, je n'ai pas pu regarder plus avant et quand j'ai eu accès de nouveau à votre site, j'ai pu voir que le ****** n'était plus là.

C'est effectivement un point que nous allons remonté, à propos de la précision de la détection.

Le laboratoire ne peut pas intervenir sur toutes les infections qui lui sont remontées (vous imaginez sans doute le nombre remonté tous les jours), cela dépend si l'alerte de sécurité est importante et critique (lors de vastes attaques par exemple ou si la cible concernée est critique).

CARRE

Bonjour je n'y connais rien en informatique mais depuis quelque semaines j ai un fichier "Alwtusblcon" qui m 'empêche d’éteindre l'ordinateur et malgré plusieurs signalement sur l application bitdefender rien ne se passe

Merci

Yann A.

11 minutes ago, CARRE said:

Bonjour je n'y connais rien en informatique mais depuis quelque semaines j ai un fichier "Alwtusblcon" qui m 'empêche d’éteindre l'ordinateur et malgré plusieurs signalement sur l application bitdefender rien ne se passe

Merci

Bonjour,

Je créé un ticket au niveau de notre support, vous allez recevoir un email sur l'adresse email utilisée pour votre compte du forum Bitdefender.