Virus que agrega codigo en mis paginas html, php o js y hasta en el .htacess

[masterbip]

Mis Estimados. Siempre he leido el foro pero nunca pense que iba a postear solicitando ayuda.



Sucede que el computador que utilizo para subir mis archivos de sitios web por FTP utilizando filezilla al parecer esta infectado. Constantemente, y ultimamente mas que antes, mis clientes y amigos me llaman reclamandome que los navegadores estan agregandole el mensaje de "sitio potencialmente dañino" ... por lo que se tengo el virus.



He limpiado sitios, confirmado que estan limpios, y al otro dia vuelven a estar infectados. he corrido varias veces el ESET ONLINE y siempre me arroja elementos contagiados, uno de los ultimos me lo informa como HTML/Iframe.b.Gen entre otros.



Instale el hijack this pero no cacho que hacer ... por lo que debo recurrir a los maestros.



Estoy con los pelos de punta porque llevo dias con este problema y no lo he podido solucionar, y de paso al parecer estoy infectando a otros en la red.



Muchas gracias por su ayuda, espero que me puedan responder luego!

[msc hotline sat]

Prueba esta utilidad:



http://www.zonavirus.com/datos/descargas/276/eliframeexe.asp



y si se trata de una variante que no tengamos controlada, envianos algun fichero infectado para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 18-6-2010

RCLSC

[masterbip]

Ejecuto inmediatamente y te comento. Muy rapidos, muchas gracias!

[masterbip]

Corri la herramienta en todas las unidades del disco y no encontro absolutamente nada ...



Que puedo hacer a continuacion?



Gracias!

[msc hotline sat]

Pues tal como indicamos, envianos tres o cuatro ficheros infectados para analizar.



saludos



ms, 19-6-2010

[masterbip]

Apenas los tenga los guardare, cambiare la extension y subire.



Gracias!

[msc hotline sat]

Hoy tenemos buenas noticias para tí:



Mira lo que decimos en http://www.zonavirus.com/noticias/2010/sobre-openhtml-que-hoy-esta-llegando-anexado-a-mails-y-que-existe-en-algunas-webs-y-que-redirecciona-a-webs-maliciosas.asp



He enviado la nueva utilidad ELIPEGEL.EXE a nuestro ADMIN, quien la ofrecerá en breve para que la podais descargar. Pruebala y comentanos el resultado, gracias.



saludos



ms, 21.6.2010

[masterbip]

Acabo de encontrar uno de los sitios que manejo con virus, pero es sencillo, una entrada php en un .html.



El virus esta en (le cambie la extension al archivo de .html a .txt)



<interceptado> https://foros.zonavirus.com/viewtopic.php?f=1&t=17044



A medida que encuentre otros u otras variantes los ire enviando.



Saludos!

[masterbip]

Es una de las variantes que he visto, pero no es el único que hemos detectado.



Tal vez estos virus estan "colaborando" entre ellos. Ojala pueda probar la aplicacion pronto!



Gracias!


[quote="msc hotline sat"]Hoy tenemos buenas noticias para tí:



Mira lo que decimos en http://www.zonavirus.com/noticias/2010/sobre-openhtml-que-hoy-esta-llegando-anexado-a-mails-y-que-existe-en-algunas-webs-y-que-redirecciona-a-webs-maliciosas.asp



He enviado la nueva utilidad ELIPEGEL.EXE a nuestro ADMIN, quien la ofrecerá en breve para que la podais descargar. Pruebala y comentanos el resultado, gracias.



saludos



ms, 21.6.2010[/quote]

[masterbip]

Acabo de encontrar otra variante dentro del mismo sitio web:



<interceptado> https://foros.zonavirus.com/viewtopic.php?f=1&t=17044



Esta vez es un php al que le cambie la extension.



En la primera linea esta el codigo malicioso, antes de la declaracion DOCTYPE



MUUUUUUUCHAS GRACIAS!

[masterbip]

Tambien encontre el gifimg.php ...



Son muchos al parecer.



Gracias nuevamente.-

[masterbip]

Disculpen el desorden y tanto post junto ... pero me estoy encontrando con sorpresas increibles.



erste sitio tambien tiene infectado un swfobject.js



le cambio la extension a txt y lo dejo en



<interceptado> https://foros.zonavirus.com/viewtopic.php?f=1&t=17044



Muchas gracias nuevamente!

[msc hotline sat]

Recuerda, no se permite postear links, y mucho menos si son direcciones maliciosas o simplemente sospechosas. Cualquiera podría descargarlas y podría ser considerada esta web como de descarga de malwares !



Cualquier muestra o link sospechoso debes enviarlo para analizar a zonavirus@satinfo.es, tal como se indica en:





>[b]ENVIO DE MUESTRAS Y ELIMINACION DE



CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en



nuestras utilidades, de lo cual informaremos



saludos



ms, 7-7-2010

[msc hotline sat]

Y analizados los links que nos has enviado, cabe decirte que todos son de comerco.cl , que es una web de Chile, de una asociacion gremial que alberga mas de 1300 empresas, y ya es sabido que es una web peligrosa:



www.comerco.cl. CL Chile 12 Region Metropolitana Santiago -33.4500 -70.6667 ENTEL CHILE S.A. ENTEL CHILE S.A.





http://www.google.es/url?sa=t&source=web&cd=1&ved=0CBUQFjAA&url=%2Finterstitial%3Furl%3Dhttp%3A%2F%2Fwww.comerco.cl%2F&ei=TrU0TOekKcPGONTg5aYC&usg=AFQjCNEw1BIg2FSQeBnUwTqOx_QF4riwDQ



Aconsejamos utilizar el Site Advisro de McAfee (www.siteadvisor.com) para controlar el acceso a webs de las que se conozca su peligrosidad y esten en lista negra.



saludos



ms, 7-7-2010