Olimpo Informatico

[bluegard14]

Dr Web Cureit non ha trovato alcuna infezione e l'altro progrmma l'ho riscaricato ma non da segni di vita

[bluegard14]

Ok grazie lo stesso Sante
l'unico modo per togliere sto virus è togliere il sito!!!!!
ciao

[Sante62]

Bhe, ci abbiamo almeno provato.....

[bluegard14]

La mia conclusione è che dal sito ho tolto praticamente ogni cosa anche le immagini tranne la index.htm.
nella root ftp sono praticamente rimaste la index e quelle 3 cartelle di sistema aspnet_client, public, e cgi-bin che ci sono di default.
la index.htm è una pagina bianca con scritto soltanto work in progress..

Eppure il virus carica ancora indisturbato!

Quindi il problema sta dentro al server che lo ospita per forza.. forse nella root c'è un file infetto nascosto (di sistema) che a suo piacimento inietta la porzione di codice nelle pagine.htm del dominio...

è possibile?

[bdoriano]

Nelle pagine del tuo sito, hai caricato qualche contatore di visite o ci sono link a siti pubblicitari?

Mandami via MP il link al tuo sito.

[bdoriano]

Appena puoi, posta un log aggiornato di SystemScan.

[bluegard14]

Da dove lo scarico? Non vorrei magari scaricare un programma omonimo

[bdoriano]

Scusami, dimenticanza...

Fai questa scansione con SystemScan.
Carica il log di SystemScan su WikiSend e posta il Forum Link che ti viene assegnato.

[bluegard14]

scusami tu... il programma era già stato preso in considerazione da Sante..
Cmq ecco il log
report.txt

[bdoriano]

Sto dando un'occhiata al log... ho notato che non hai riavviato il pc dopo la scansione con MBAM.
Riavvia il pc, intanto.

Per curiosità, quali programmi utilizzi per caricare in FTP le tue pagine?

[bluegard14]

uso cuteFTP

p.s. Nella dir c:\windows\temp ho file nominati Perflib_Perfdata_1f0.dat sono 4 e tutti nominati in questo modo gli altri 3 cambia solo la cifra numerica prima di .dat
e non riesco a cancellarli, il messaggio che nega la cancellazione dice che questi file sono attualmente in uso da un'altro utente o programma, chiudere il programma che sta utilizzando i file, quindi riprovare

riavvio a dopo

[bluegard14]

ho notato che nelle eccezioni del windows firewall ho le caselle spuntate alle voci:

Assistenza Remota
AMCap
Diagnostica Rete Windows

è normale?

inoltre il componente aggiuntivo che viene richiesto dal sito é
"remote data services dat"
date un'occhiata qui
link
forse può servire

P.S. Da ftp vedo già che la index è passata di nuovo da essere 32 kb a 48 kb!!!

[bluegard14]

allora dopo una attenta analisi ho scoperto una cosetta sconcertante...

nelle eccezioni del firewall di windows eccezioni\avanzate\impostazioni
tutte le voci erano abilitate!! Persino "server Telnet"
anche in ICMP erano tutte selezionate

Io adesso le ho deselezionate tutte e sul firewall ho pure messo "non consentire eccezioni"

poi ho disabilitato il ripristino configurazione di sistema e rilanciato MBAM
ho riavviato e rilanciato Combofix
Ho riavviato
e ho riuploadato la index del sito

Tutto questo da un'ora a questa parte e il file è rimasto invariato!!!

[b]E' possibile che tutte quelle abilitazioni tenevano tutte le porte spalancate dalle quali faceva il suo comodo chiunque volesse?

Incrocio le dita.. vi aggiorno domani o stasera...
[/b]

[bluegard14]

negativo.. come non detto.. il virus appare ancora..

[bdoriano]

Posta i logs aggiornati di MBAM e ComboFix.

Hai provato a usare un programma alternativo a CuteFTP Pro?
FileZilla, per esempio?

[bluegard14]

vi cuteftp pro 1.0
si ho appena provato proprio con filezilla poco fa.. vediamo che succede... stavo pensando di provare a fare l'upload da un'altro pc per vedere cosa succede...

una domanda.. dove trovo il log di MBAM? Scusami ma ho la testa un po incasinata al momento e non ricordo..

[bdoriano]

• Avvia MBAM
  
• Clicca File di log
  
• Seleziona il file di log nell'elenco che ti compare
  
• Clicca Apri
  
• Ti si apre il Blocco note con il contenuto del file
  
• salvalo con un nuovo nome sul desktop
  
• carica il nuovo file su WikiSend come indicato qui e posta il forum link che ti viene assegnato.

[bluegard14]

ecco qui:
mbam.txt

[bdoriano]

Hai caricato il log del 3/10, non avevi detto di aver fatto una nuova scansione?
Dal log che hai postato, ho notato che non hai provveduto a cancellare un paio di files pericolosi.

Puoi postare anche il log dell'ultima scansione di combofix?

Potresti fare una prova del 9, se te la senti.
Crea un account su un servizio di hosting gratuito e prova a caricarvi la tua pagina per vedere se viene infettata anche in questo caso.

[bluegard14]

ecco il log di MBAM aggiornato:
mbam.txt

per l'hosting gratuito ne hai uno da consigliarmi? Non ne ho mai usati!
Ormai ho fatto 30 faccio 31!
Ottima idea cmq... 8)
p.s. ora rifaccio anche combofix