Virus JS/Agent.NKW Trojan Horse

[gabmafia]

Ciao Ragazzi, il mio sito internet ha preso un virus...!!! ho meglio, quando ci si collega nella homepage l'antivirus rileva JS/Agent.NKW Trojan Horse e lo mette in quarantena. Sapete dirmi come eliminarlo.. grazie a tutti ragazzi.  

[giusebos]

vai in questa pagina,
sitecheck.sucuri.net/scanner/
inserisci l'indirizzo del tuo sito e poi SCAN WEBSITE

nei risultati potrai vedere le pagine che contengono malware/virus o codice malevolo.

[mmleoni]

a dire il vero joomla ha una sola pagina /index.php, all'interno alla quale è attaccato un template e al suo interno sono caricati componenti e moduli.

quindi nove su dieci è stata modificata la index.php in root o quella nel template. altre volte potrebbe essere un modulo che hai caricato, famoso in questo forum è il caso di plimun nivo.

ti consiglierei anche di dare un occhiata a webmaster tool di google, in modo da verificare se e in quali pagini google ha trovato il virus e non ritrovarti il sito eliminato dalle serp del medesimo per un lungo periodo.

ciao,
marco

[gabmafia]

Grazie mille ragazzi, alla fine era prorpio il modulo plimun nivo disabilitandolo il sito è tornato ok. Ora disinstallandolo non dovrei aver subito danni al sito giusto?? inoltre volevo chiedervi se ci conoscete delle valide alternative valide al plinum nivo slider??  Grazie mille.

[mmleoni]

da qualche parte c'è un articolo su come rimuovere il 'virus' vedi:

http://forum.joomla.it/index.php/topic,179348.msg884027.html#msg884027

ciao

[gabmafia]

ho dati un'occhiata al tuo link è molto interessante ma all'interno del dile default.php nell'ultimo paragrafo non noto alcuna presenza di codice malevolo..  

Codice: [Seleziona]

{?>
<script type="text/javascript">
 var pns = jQuery.noConflict();
     pns(window).load(function() {


        pns('#slider<?php echo $moduleid;?>').nivoSlider({
effect: '<?php echo $imageeffect;?>', // Specify sets like: 'fold,fade,sliceDown'
        slices: 15, // For slice animations
        boxCols: 8, // For box animations
        boxRows: 4, // For box animations
        animSpeed: <?php echo $velocity;?>, // Slide transition speed
        pauseTime: <?php echo $timeinterval;?>, // How long each slide will show
        startSlide: 0, // Set starting Slide (0 index)
        directionNav: <?php echo $arrows;?>, // Next & Prev navigation
        directionNavHide: <?php echo $hidetools;?>, // Only show on hover
        controlNav: <?php echo $navigation;?>, // 1,2,3... navigation
        controlNavThumbs: false, // Use thumbnails for Control Nav
        controlNavThumbsFromRel: false, // Use image rel for thumbs
        controlNavThumbsSearch: '.jpg', // Replace this with...
        controlNavThumbsReplace: '_thumb.jpg', // ...this in thumb Image src
        keyboardNav: true, // Use left & right arrows
        pauseOnHover: true, // Stop animation while hovering
        manualAdvance: <?php echo $manual;?>, // Force manual transitions
        captionOpacity: <?php echo $captionob;?>, // Universal caption opacity
        prevText: 'Prev', // Prev directionNav text
        nextText: 'Next', // Next directionNav text
        beforeChange: function(){}, // Triggers before a slide transition
        afterChange: function(){}, // Triggers after a slide transition
        slideshowEnd: function(){}, // Triggers after all slides have been shown
        lastSlide: function(){}, // Triggers when last slide is shown
        afterLoad: function(){} // Triggers when slider has loaded
});


    });


    </script>
<?php }?><>

Forse si è nascosto altrove?? ho persino provato a sostituire il file default.php della versione scaricabile ripulita ma nulla il malware persiste.

[mmleoni]

non mi ricordo ove fosse il codice, mi pare fosse proprio l'inclusione di un file remoto.

il codice del plugin è marcato come aggiornabile, quindi backup e poi installa la versione pulita senza rimuovere l'altra.

joomla 2.5, vero?

ciao,
marco

[gabmafia]

dici che reinstallandola sopra non perdo le impostazione del modulo?

[mmleoni]

non dovresti, le impostazioni dei singoli moduli sono salvate nel db e non sono alterate dall'aggiornamento del modulo stesso.

non conosco il modulo specifico, ma non penso che faccia qualcosa di non standard.

ciao,
marco

[gabmafia]

Buonasera ragazzi... ho provato a reinstallarlo ma nulla da fare continua a rilevarlo come malware..   continua a rilevare codice malevolo all'interno del file default.php dentro la cartella tmpl all'interno del modulo. Vi posto il codice nel caso qualche esperto possa rilevare la parte di codice da cancellare...:-(


[deleted by mod]

[mmleoni]

scusa, ma se è rilevato come codice malevolo perché lo posti qui? 
e, dai!

prova a passare ad un altro modulo.

[alemalva]

Buona sera,
stesso modulo stesso virus!! Nod32 mi ha messo in quarantena il mio sito senza farmelo aprire, da un altro computer sono riuscito ad andare in back end in amministrazione e ho disattivato il modulo.
Il sito ora mi si riapre.
Ora disistallo completamente il modulo (Peccato perchè era bello graficamente), ma devo fare qualche cos'altro o basta così per rimuovere definitivamente il virus???

[alemalva]

Inoltre vedo solo ora che vi sono molti utenti fittizi registrati nel mio sito! Potrebbero aver creato anche loro dei casini? Li cancello e basta o devo fare altro?

[alemalva]

Sono ancora qua, scusate... http://sucuri.net/ ho fatto la scansione prima e dopo aver disistallato il modulo in questione (che era attivo su tutte le pagine), ma continua a dirmi che ho dei malware.
Il mio sito è www.passidagigante.it
Come faccio a capire dove sono questi virus??

[mmleoni]

Come faccio a capire dove sono questi virus??

leggi gli articoli in apertura di questa sezione, ti possono dare una mano.

ciao,
marco