Qualcuno può aiutarmi a debellare virus?

[Vittoriaxx]

Ciao mi chiamo Vittoria ed ho un sito www.chihuahuacity.it
Purtroppo è stato hackerato e non riesco a risolvere il problema. Da sole, io ed un'amica  non ce la facciamo, abbiamo  capito che ci sono codici malevoli nei vari  Java Script ma non riesciamo a decifrare la stringa da eliminare.
l'Hosting continua a dirmi che non c'è virus ma so perfettamente che c'è non solo perchè me lo segnala l'antivirus ma anche perchè avendo anche un e-commerce era stato anch'esso infettato ed ho dovuto pagare un professionista per farmelo ripulire.
Se qualcuno potesse gentilmente aiutarmi non solo con suggerimenti ma proprio rimuovendo il virus, inserirei nel mio sito il banner del gentilissimo/a salvatore/rice.
Altrimenti non mi rimane che oscurarlo 
Grazie a tutti in anticipo.

[mau_develop]

se hai uno shop non è che l'antivirus ti segnala qualche adv un po' aggressiva?
L'antivirus non si limita a suonare la trombetta... crea dei log cosa dicono?
non sembra tu abbia problemi, più che altro i problemi ce li ha il tuo hosting che usa una versione vecchia di plesk

M.

mmhhh... che brutta cosa  prendere immagini dalla cache..   cache/lofthumbs/420x300-119064881.png

[Vittoriaxx]

In  effetti il Plesk non è aggiornato e l'ho fatto presente all'hosting il quale ha detto  che avrebbero  provveduto.
L'antivirus rileva virus anche nel pannello admin allego lo screenshot

[caps]

con chrome avg segnala che un js (jquery-1.5.min) all'interno del template è infettato
se lo scarichi in locale l'antivirus non segnala niente?


potresti provare a ricaricarlo dal pacchetto del template



ma rimarrebbe sempre da capire dovè la falla ...




mau ... anche guardando l'immagine ho segnalzione di favicon.ico infetta ...

[mau_develop]

JQuery se l'hai scaricato dal sito jquery non ha nessun virus... farà qualcosa che all'av non piace

... se era già presente nel template scarica la stessa versione o anche l'ultima prova a rinominarla in quel modo e sostituirla

M.

[Vittoriaxx]

Non mi puoi aiutare attivamente? Non so quale sito sia il jquery. Ho già riscritto il template.
Il virus c'è perchè ho già rimosso dei codici nell'index a sorgente pagina. Ma oltre a quello ho paura di rimuovere ciò che non dovrei.

[mau_develop]

copia quel file da qualche parte, non buttarlo.

unzippa l'allegato e rinominalo come il tuo files e riuppalo al suo posto

M.

[allegato eliminato da un amministratore essendo vecchio più di un anno]

[Vittoriaxx]

caps ho già fatto tutto ciò che dici, ma ovviamente come dici c'è qualche falla.
manu adesso provo 

[Vittoriaxx]

Niente da fare 
Manu ti dò l'accesso in mp

[mau_develop]

sviluppa un po' il concetto "niente da fare" ... si è rotto il pc ... no, nn voglio accessi devi risolverlo tu.

prova ad usare un' altro av usare la modalità provvisoria senza cavo di rete e fare una nuova scansione.

M.

[Vittoriaxx]

Già fatto 
Certo che risolverò oscurando il sito. 

[caps]

naaa ... prova a cambiare template ... se non hanno corrotto anche quelli di deault ...
scaricato tutto il sito in locale? controllato che non ci siano articoli strani o modificati quando non dovrebbero? i moduli ? utenti?



mau ... se visualizzo l'immagine della cache mi compare l'avvertimento  .../favicon.ico minaccia ecc ... 

[Vittoriaxx]

Mi chiedi troppo non ci arrivo a fare quelle cose 

[mau_develop]

mau ... se visualizzo l'immagine della cache mi compare l'avvertimento  .../favicon.ico minaccia ecc
------------------------------------------------
chiami comunque un url del sito per cui viene caricata la favicon, non centra l'img nella cache.

M.

Ah! ecco come funziona... però devi aver attivo noscript e quindi disabilitato js.... funziona sull'errore!

probabilmente la favicon  non esiste ecco perchè ti fa caricare quel link...

NON FATELO CON JS ATTIVO:  se chiami l'url del sito + /favicon.ico vedi lo script malware nel sorgente

ma non credo sia colpa tua, secondo me è del server quel problema...

stavo pensando ad un test.... un fake joomla, ovvero svuoti tutte le cartelle principali di un pacchetto di joomla e gli lasci un file index.html vuoto dentro... poi lasci anche tutti i files fuori dalle cartelle, configuration compreso senza dati sensibili
la index.php nella root la fai diventare una pagina statica con "sito offline"
.... secondo me iniettano qualcosa ugualmente

M.

[mau_develop]

In  effetti il Plesk non è aggiornato e l'ho fatto presente all'hosting il quale ha detto  che avrebbero  provveduto.

... meglio tardi che mai.... hai la 9, fino alla 11 ci sono problemi
http://blog.unmaskparasites.com/2012/06/26/millions-of-website-passwords-stored-in-plain-text-in-plesk-panel/

poi adesso cerco un po' e vedrai che trovo anche da dove viene l'altra.... se fosse IIS è una vuln nota ... ma a quanto pare non è IIS

[Vittoriaxx]

Grazie questo lo mando all'Hosting 

[mau_develop]

comunque quel sito è un casino... vabbè che è uno shop ma hai source ovunque, carichi roba da 1000 fonti... script a manettone... mai fatta un analisi con gli strumenti webmaster? ... che tra l'altro hanno strumenti per il test di malware..

M.

ps... non è che fai qualcosa con xmlrpc?

[Vittoriaxx]

Ma non è uno shop è un sito d'informazione per cani.
Ho fatto l'analisi con gli strumenti webmaster ma tanto non ci capisco nulla comunque nel senso che vedo anomalie ma non so come risolverle 

[Vittoriaxx]

 Mi ero persa il ps, cosa vuol dire? xmlrpc
 

[Vittoriaxx]

Oggi visitando un sito di un mio fornitore da explorer mi ha scaricato un virus che poi ho rimosso con gli antivirus.
L'ho digitato sul mio sito e risulta esserci come lo trovarlo?
xfade2 [1].js
Adesso come faccio a trovarlo??