Ciao a tutti. Spero di non essere off topic o di non ripetere discussioni già aperte… in caso, per favore, indicatemi il topic giusto. Grazie.
Avrei bisogno di una mano per risolvere il problema che vedete nell’oggetto:
Infezione: HTML:Iframe-inf.
Collaboro con un sito di informazione, mi occupo prevalentemente dell’impaginazione e credo di avergli passato un virus (l’ho scoperto solo oggi dopo aver scaricato Avast…). Mi spiego: mi connetti, entro con user e password nella piattaforma e poi gestisco il lavoro sul server. Avast mi ha segnalato un virus nel file AppData che ora dovrebbe aver cancellato, ma mi sa che io l’ho passato, appunto, alle cartelle online.
Qualcuno può darmi infomazioni/dritte/suggerimenti da girare a chi si occupa materialmente delle cartelle del sito che sono sul server, in modo tale da rendergli le cose semplici? Praticamente c’è una intera sezione del sito che io non riesco nemmeno ad aprire perchè Avast me lo blocca a casua dell’infezione che avete letto. Cosa che, comunque, non accadeva con Avira e compagnia: nessuno di questi mi segnalava alcunchè!
Grazie per l’aiuto
Ciao e benvenuto.
Prima di tutto volevo dirti che nessun antivirus ha il 100% dei rilevamenti (un po per discolpare avira etc…) neanche avast.
Comunque, nel box che ti appare durante la navigazione dovresti avere informazioni su dove si trova il virus, dovresti passargli tali informazioni.
Inoltre esistono dei siti come
http://sucuri.net/
http://www.quttera.com/
https://www.virustotal.com/
(quest’ultimo selezionare scansione URL)
che eseguono la scansione del sito e dovrebbero indicarti in che posizione si trova il malaware.
Se in questo modo risolvi bene, altrimenti devi comunicarci l’url malevolo per tentare di capire queal’è il problema (per favore interrompi il collegamento ad esempio cosi hxxp://www.google.com)
Grazie del benvenuto!
Sucuri prima mi dava un malware Iframe che ora invece non c’è più, così come dice che è pulito anche Virustotal. Fatto sta che Avast blocca tutto e tanto per gradire il sito è stato hackerato 20 minuti fa.
hxxp://www.momentosera.it, così ti rendi conto da solo.
E non è la prima volta che accade
Ciao,
analizzando con un tool che ti ho postato e altri questi sono i risultati
http://www.quttera.com/detailed_report/www.momentosera.it
http://www.unmaskparasites.com/security-report/?page=www.momentosera.it/home.php
http://zulu.zscaler.com/submission/show/2f377fd2ca9f2f29a9ab9d07746624ac-1350208564
sembra che ci sia un link potenzialmente malevolo nascosto.
Prova a girare questi dati a chi gestisce il sito per rimuoverlo.
Ti ringrazio moltissimo, girerò tutto a chi è un pò più esperto…
Intanto non so se hai visto, ma anche un fantomatico gruppo di “pulitori” ha hackerato l’intera homepgae segnalando bug. Che gentili.
Grazie e ancora e buona giornata
Di niente… spero che risolvano il problema.
Ora anche
http://sitecheck.sucuri.net/results/www.momentosera.it
http://labs.sucuri.net/db/malware/malware-entry-mwdefaced01
rileva che c’è stato un hack nella home page.
ciao
Ti disurbo ancora… anche se non so se a questo punto vado troppo oltre… in questo caso ignorami e scusami.
Comunque… ho passato tutte le informazioni e ci stanno lavorando. Anche se Sucuri ha già cambiato la sua valutazione e ora indica altri Iframe.
Hidden Iframes.
Details: http://sucuri.net/malware/entry/MW:IFRAME:HD202
Ma una questione inizia a ronzarmi in testa: quando apro un qualunque link hxxp://www.momentosera.it, vado poi su uno degli articoli a caso, per esempio hxxp://www.momentosera.it/articolo.php?id=14525 (i numeri finali sono quelli che indicano l’articolo). Inizialmente lo apro e Avast non dice nulla. Chiudo, riprovo ad aprirlo e Avast lo blocca indicando quanto sotto:
URL: hxxp://www.momentosera.it/articolo.php?id=14525
Infezione: HTM:Iframe-inf
Processo: C:\Program Files (x86)\Internet Explorer\iexplorer.exe
Ma non è che per caso sono io che continuo a “passare” qualcosa? Non a caso la homepage attualmente è composta da un omino giallo e una scritta che indica una sospensione temporanea. Lo vedo con un altro pc (del mio vicino…) e sul mio smartphone, ma questo pc (con cui scrivo e lavoro) mi mostra solo una pagina bianca… Provo col tasto F5 ma non succede nulla uguale…
Piccola aggiunta: alla prima scansione con Avast, in C:…Temp\Local\AppData … ecc ecc c’era quel famoso “http://hvfodytrnel3476gpsbvgl.tld.cc/links/treat_relates_community.php” che Sucuri e altri indicano.
Ciao
Ma una questione inizia a ronzarmi in testa: quando apro un qualunque link hxxp://www.momentosera.it, vado poi su uno degli articoli a caso, per esempio hxxp://www.momentosera.it/articolo.php?id=14525 (i numeri finali sono quelli che indicano l'articolo). Inizialmente lo apro e Avast non dice nulla. Chiudo, riprovo ad aprirlo e Avast lo blocca indicando quanto sotto:anche io vedo l'omino giallo nella home page e se invece vado qui hxxp://www.momentosera.it/articolo.php?id=14525 avast mi blocca subito la connessione (con FF 16), con IE9 invece non riesco proprio a caricare la pagina.. Non credo che tu stia passando ancora il virus, piuttosto magari prova con un altro browser. Se non sei sicuro di aver debellato il virus fai con avast una scansione completa all'avvio e poi fanne un'altra completa con MBAM free http://www.malwarebytes.org/products/malwarebytes_free/
Ciao.
In effetti una scansione all’avvio con Avast l’avevo fatta e non dava nulla.
Ho fatto anche quella con MBAM e ha trovato questo:
trojan. delf in C:\ProgramData\lsass.exe
Ho cancellato e ora ne sto rifacendo un’altra per maggiore sicurezza…
Ok, MBAM serve per completare la protezione di avast (come avevo detto all’inizio nessun antivirus…) ed è pienamente compatibile.
Quando hai finito con le scansioni fatti una bella pulizia con ccleaner dei file temporanei
http://www.piriform.com/ccleaner/download
quindi per essere sicuro mandami il log di Hijackthis
http://www.filehippo.com/it/download_hijackthis/
che se vuoi ti controllo è rimasto qualcosa in giro.
ciao
PS
consiglio personale disattiva il ripristino di configurazione del sistema, molti virus si annidano li… ripeto un consiglio.
Con MBAM tutto pulito.
Ho cancellato anche un sacco di roba con ccleaner.
Ti allego il log di Hijackthis (tra l’altro mi dà noie in fase di avvio: dice che c’è un problema con Hosts file, gli dico ok e poi continua da solo).
Grazie
P.S. E come lo disattivo il ripristino di configurazione del sistema?
Bene,
se non sai cosa sia questo cancellalo (selezionandolo in Hijackthis e poi Fix Checked)
O4 - HKLM\..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd
e anche questi che non sono utili
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
P.S. E come lo disattivo il ripristino di configurazione del sistema?
Click su bottone Start (il logo di Windows)
click destro su Computer > Proprietà.
Ora si aprirà il centro di sicurezza di Windows 7, tra le diverse opzioni cerchiamo Protezione Sistema (si trova sulla sinistra) e facciamo click sopra.
per accedere al successivo passaggio è necessario avere i privilegi Admin.
Ora si aprirà la finestra Proprietà del Sistema come su windows XP
Selezioniamo l'hdd di sistema (è facile da trovare è quello con la bandierina di Windows)
facciamo click su Configura poi Disattiva protezione di sistema (io sinceramente ho lasciato "ripristina solo versioni precedenti dei file" funziona come shadow copy http://it.wikipedia.org/wiki/Shadow_Copy).
Premiamo su OK e Tasto SI per confermare l'alert.
Ho visto che hai installato componenti di Comodo, non hai installato il loro antivirus vero? (può creare conflitto con avast, il solo firewall invece è ok)
Buongiorno.
Credo che il mio Hijackthis non funzioni (forse è il problema che mi segnala in avvio e che ti faccio vedere nella .jpeg). Comunque il primo (Setwallpaper) non lo trova nemmeno più, gli altri tre invece li trova puntualmente, li seleziono, poi Fix Checked: mi dice che ripara/cancella e poi, quando lo lancio nuovamente, eccoli nello stesso punto. Ti allego il nuovo file log.
Per il resto, ho scoperto che il ripristino di configurazione di sistema era già disattivato. Comodo invece sì, ho solo il firewall.
Ok,
si può dare problemi Hijackthis con Win 7…
Prova ad aprire ccleaner, se vai su tools e poi startup, dovresti vedere quelle voci, li le puoi cancellare.
ciao
Buon pomeriggio,
Ok li ho cancellati con CCleaner stavolta
Giogio posso farti una ultima domanda?
Ma Avast può… non so come dire… tenere in “memoria” un virus e indicare un link infetto anche una volta che non lo è più? Come una sorta di cookie… magari quel “falso positivo” di cui leggo in giro sul forum?
Può darsi, in quel caso si apre una segnalazione di falso positivo, ma sembra che ci sia ancora qualcosa non rimosso nelle pagine degli articoli per esempio
http://www.UnmaskParasites.com/security-report/?page=www.momentosera.it/articolo.php%3Fid%3D14525
Puoi fare controllare?
Ciao
Ciao.
Sta diventando un rebus, perchè ci stanno lavorando e ora
http://www.unmaskparasites.com/security-report/?page=www.momentosera.it/articolo.php%3Fid%3D14525
è pulito (almeno alle 18 e qualcosa, quando cioè ho fatto la scansione io).
Ma Avast continua a bloccarmelo. A chi devo dare retta secondo te?
Idem per altri articoli.
Ma ti dico di più: questo quì hxxp://www.momentosera.it/articolo.php?id=16837, creato dopo gli interventi tecnici, è segnalato come pulito da Unmaskparasites, ma Avast me lo blocca. Andando per tentativi, tra articoli verificati solo con Unmaskparasites e quanto bloccato poi da Avast, incrociando i dati con gli articoli aperti e non aperti dal giornale, con quelli aperti e infettati al “refresh”, è evidente che un codice inserito nel programma gestionale “genera” il virus non appena l’articolo stesso viene aperto. Infatti molti articoli erano puliti (per Unmask) finchè non li ho aperti (dal giornale), poi chiudo riapro articolo e Avast lo blocca; infine, dopo qualche ora, su Unmask da puliti passano ad infetti.
Un mio amico, sempre con Avast, lo apre tranquillamente hxxp://www.momentosera.it/articolo.php?id=16837. Anche facendo refresh o cliccando sul link (dieci volte) lo vede perfettamente. A me Avast non me l’ha fatto aprire nemmeno una volta…
Mmmmm… ho visto analizzando il file php della pagina si può notare all’interno dei link
hxxp://www.momentosera.it/articolo.php?id=16837
e
hxxp://www.momentosera.it/articolo.php?id=14525
ci sono ancora tracce del link malevolo
http://urlquery.net/report.php?id=236535
http://wepawet.iseclab.org/view.php?hash=31b15010fd09bd7578f1c0696d6c3bb8&t=1350493900&type=js
con il solito
hxxp://h4rj75u67jnmykjmukly.tld.cc/links/treat_relates_community.php
come vedi poi
http://sitecheck.sucuri.net/results/h4rj75u67jnmykjmukly.tld.cc/links/treat_relates_community.php
è un sito black listato
ciao
ps
non saprei perchè il tuo amico non vede l’avviso di avast… io ho aperto la pagina e poi con F5 (Aggiorna) mi ha bloccato la connessione.
E’ l’ultima versione quella di avast del tuo amico? Magari ha un altro programma di sicurezza o script blocking integrato nel browser che gli blocca la connessione a tale link.
Infatti questo
hxxp://www.momentosera.it/articolo.php?id=16837
ora è infetto dopo qualche ora dal primo controllo.
Ma tu comunque non lo apri, te lo blocca giusto? E allora come è possibile che ad un altro utente con Avast succeda?