[RESOLU] Trojan script.Iframer

[africart]

Bonjour,
Les utilisateurs de Kaspersky ne peuvent accéder à mon site car l'accès est refusé avec ce message:
HEUR:trojan.script.Iframer

Seul cet antivirus détecte ce trojan.
Est-ce réel ou un excès de zèle?
Et si c'est réel, comment y remédier, sur quel fichier doit-on agir?

Merci

[Johann]

Bjr,

Je n'ai pas de solution pour toi, mais je confirme. Voilà ce que les logs me rapportent :


31/05/2010 09:01:35 Lancement de la tâche Kaspersky Internet Security Antivirus Internet
31/05/2010 13:43:21 Détectés: HEUR:Trojan.Script.Iframer Absent http://www.intercosmetique.com///www.intercosmetique
31/05/2010 13:43:21 Interdit: HEUR:Trojan.Script.Iframer Absent http://www.intercosmetique.com///www.intercosmetique
31/05/2010 13:43:46 Détectés: HEUR:Trojan.Script.Iframer Absent http://www.intercosmetique.com///www.intercosmetique
31/05/2010 13:43:46 Interdit: HEUR:Trojan.Script.Iframer Absent http://www.intercosmetique.com///www.intercosmetique

[africart]

Merci de ta réponse.
Juste pour savoir, je suppose que kaspersky offre plusieurs niveaux de sensibilité.
Tu es au maxi?

[Johann]

il y a 3 niveaux (faible, recommandé, élevé), que l'on peut également personnaliser.

j'étais probablement avec un niveau plus élevé au bureau qu'à la maison, où j'ai une popup intermédiaire qui me demande si je veux continuer (déconseillé) ou arreter

[Kevlarbox]

Salut ,
sur google chrome , le site http://www.intercosmetique.com/ est annoncé comme hébergeant un "logiciel malveillant" , tu dois tjrs avoir un cheval de troie ?
L'info en détail : Google a visité ce site pour la dernière fois le 2010-05-27 et un contenu suspect a été détecté sur ce site pour la dernière fois le 2010-05-27.

[africart]

oui, oui, merci.
J'ai pourtant restauré avec une sauvegarde propre.
Les robots de google avaient détecté un logiciel malveillant.
J'ai redemandé une soumission depuis outils pour webmaster et ca passe.
Mais sur chrome, l'avertissement s'affiche encore, je ne sais pourquoi!!!

Après quelques recherches, j'en viens à incriminer filezilla. J'ai fait une boulette en enregistrant les mots de passe dans le gestionnaire.
J'ai corrigé, mais je crois que je vais essayer de changer de client ftp, si tu as un conseil, je suis preneur.

[Kevlarbox]

Tu es victime de Gumblar ou Martuz .. Regarde aussi tes fichiers Htaccess à la racine (dossier temp, sessions..) , même si c'est pas du prestashop, http://www.prestashop.com/forums/viewthread/58194/#254420
http://xevonaute.com/webmaster-xevonaute/virus-gumblar-evolue-et-devient-martuz.html
Effectivement sur ta page d'accueil dans le code en bas tu as le code malveillant "<html><body>[removed]str="

[africart]

Ah, c'est génial,
merci beaucoup.
Quel est la localisation du fichier à modifier, stp?

[Kevlarbox]

Difficile à dire, la frame est sur ta page d'accueil regarde dans ta boutique "index.php" sinon dans ton template.

[africart]

Il était en fin d'index.php.
Nettoyé
Merci encore

Et pour remplacer filezilla?
Un bon client ftp gratuit?

[Kevlarbox]

Yes avec Winscp, c'est un très bon client ftp en français avec drap&drog;, gratuit et efficace , si tu l'as pas déjà fait l'idéal est d'avoir changé ton passe Ftp puis aussi de jamais le mémoriser dans ton ordi.

http://winscp.net/eng/docs/lang:fr

Bonne soirée et Bonne vente.