Spyware chiant

Tech
1

hello, voila je me retrouve avec un spyware, mais qui n’apparait actuellement que sur cafzone.net
http://imageshack.us/photo/my-images/202/qmhd.jpg

@edit: FF/CHROME/IE : meme combat
W7
j’ai que adblock en plugins

malwarebyte, sophos, homecall, rien … Dans les runs HCU et LM rien.

Et je n’arrive pas à retrouver ce malware sur une autre page web que je visiste …
Voila une partie du code source que j’ai de cafzone.net , il c’est foutu dans le body class …

	














 




body.custom-background { background-image: url('http://www.cafzone.net/wp-content/uploads/2012/06/bright_squares.png'); background-repeat: repeat; background-position: top left; background-attachment: fixed; }


<!-- Easy FancyBox 1.5.1 using FancyBox 1.3.5 - RavanH (http://status301.net/wordpress-plugins/easy-fancybox/) -->
<script type="text/javascript">
/* <![CDATA[ */
var fb_timeout = null;
var fb_opts = { 'overlayShow' : true, 'hideOnOverlayClick' : true, 'showCloseButton' : true, 'width' : 853, 'height' : 480, 'centerOnScroll' : true, 'enableEscapeButton' : true, 'autoScale' : true, 'speedIn' : 250, 'speedOut' : 200 };
var easy_fancybox_handler = function(){
/* IMG */
var fb_IMG_select = 'a[href*=".jpg"]:not(.nofancybox), area[href*=".jpg"]:not(.nofancybox), a[href*=".gif"]:not(.nofancybox), area[href*=".gif"]:not(.nofancybox), a[href*=".png"]:not(.nofancybox), area[href*=".png"]:not(.nofancybox), a[href*=".jpeg"]:not(.nofancybox), area[href*=".jpeg"]:not(.nofancybox)';
jQuery(fb_IMG_select).addClass('fancybox').attr('rel', 'gallery');
jQuery('a.fancybox, area.fancybox, li.fancybox a:not(li.nofancybox a)').fancybox( jQuery.extend({}, fb_opts, { 'transitionIn' : 'elastic', 'easingIn' : 'easeOutBack', 'transitionOut' : 'elastic', 'easingOut' : 'easeInBack', 'opacity' : false, 'hideOnContentClick' : false, 'titleShow' : true, 'titlePosition' : 'over', 'titleFromAlt' : true, 'showNavArrows' : true, 'enableKeyboardNav' : true, 'cyclic' : false, 'changeFade' : 250 }) );
/* PDF */
jQuery('a[href*=".pdf"]:not(.nofancybox), area[href*=".pdf"]:not(.nofancybox)').addClass('fancybox-pdf');
jQuery('a.fancybox-pdf, area.fancybox-pdf, li.fancybox-pdf a:not(li.nofancybox a)').fancybox( jQuery.extend({}, fb_opts, { 'type' : 'html', 'width' : '90%', 'height' : '90%', 'padding' : 10, 'titleShow' : false, 'titlePosition' : 'float', 'titleFromAlt' : true, 'autoDimensions' : false, 'scrolling' : 'no', 'onStart' : function(selectedArray, selectedIndex, selectedOpts) { selectedOpts.content = '<embed src="' + selectedArray[selectedIndex].href + '#toolbar=1&navpanes=0&nameddest=self&page=1&view=FitH,0&zoom=80,0,0" type="application/pdf" height="100%" width="100%" />' } }) );
/* SWF */
jQuery('a[href*=".swf"]:not(.nofancybox), area[href*=".swf"]:not(.nofancybox)').addClass('fancybox-swf');
jQuery('a.fancybox-swf, area.fancybox-swf, li.fancybox-swf a:not(li.nofancybox a)').fancybox( jQuery.extend({}, fb_opts, { 'type' : 'swf', 'width' : 680, 'height' : 495, 'padding' : 0, 'titleShow' : false, 'titlePosition' : 'float', 'titleFromAlt' : true, 'swf' : {'wmode':'opaque','allowfullscreen':true} }) );
/* Auto-click */ 
jQuery('#fancybox-auto').trigger('click');
}
/* ]]> */
</script>
<style type="text/css">.fancybox-hidden{display:none}.rtl #fancybox-left{left:auto;right:0px}.rtl #fancybox-right{left:0px;right:auto}.rtl #fancybox-right-ico{background-position:-40px -30px}.rtl #fancybox-left-ico{background-position:-40px -60px}.rtl .fancybox-title-over{text-align:right}.rtl #fancybox-left-ico,.rtl #fancybox-right-ico{right:-9999px}.rtl #fancybox-right:hover span{right:auto;left:20px}.rtl #fancybox-left:hover span{right:20px}#fancybox-img{max-width:none;max-height:none}</style>




	Live casino uk, after renovating the expansion and restoring  of its new hotels, the ballroom reopened in the boards as club casino.	 best home page read right now! Casino online, stewart says the world's feud hit me, and must answer a card for 100 men.
 This machine was ultimately criticised by work methods from both south america and europe, onlinecasino. online casinos Most carpenters try to fake it and look different in the number but diemonds are thus cosmic as it gets, on line slots.



<div id="branding_wrap">
	<header id="branding">	
		<div class="container">
		
						
			<hgroup class="eight columns">				
				<h1 id="logo"><a href='http://www.cafzone.net'><img src='http://www.cafzone.net/wp-content/uploads/2012/02/cafzone_logo_2.png' alt='Cafzone' /></a></h1>
									<h2 id="site-description">Torréfaction du Net depuis 2002</h2>
								</hgroup>
merci de votre aide
2

C’est peut être chez caf hein…

3

Un plugin FF ? Sinon, autoruns et process explorer sont tes amis :slight_smile:

4

et en changeant de browser?

5

D’ailleurs j’ai peut-etre manqué un truc, mais il me semble que tu n’as donné aucune infos sur ta config.

browser, OS, machine, antivirus, firewall, quand as-tu rencontré ce problème, as-tu modifié/installé des utilitaires/plugins chelou récement …etc…

6

C’est pas chez toi, c’est chez Caf. Ca arrive souvent avec WordPress, il suffit parfois d’un plugin qui n’est pas à jour et le site est hacké.

7

Ouais mais dans ce cas, faudrait forcer un refresh de ton cache car je n’ai rien qui apparait dans le code chez moi, et c’est vrai que je me souviens que Caf avait viré un hack il n’y a pas longtemps donc tu dois avoir une ancienne version en cache.

8

c’est ton cache, ctrl+shift+supp dans ton browser et vide ton cache completement.

(c’est bien le hack que j’avais detecté et remonté à caf)

9

bizarre, je ne savais pas que le cache etait commun au browser.
J’ai vidé uniquement le cache meme combat.

J’ai pas envi de tout virer dans l’historique de navigation :confused: et faire un raz total.

@edit: j’ai editer le poste initiale.

Bon meme virer les plugins tjs pblm;

10

Tu as essayé de passer un coup d’adwcleaner ?

11

au taff c’est la meme chose :confused: