Problema cu un Virus / malicious URL pe site !?

[gaby]

In aceasta seara, am accesat in acelasi mod (din Google) o pagina din forum, de pe alt calculator, si, am fost atentionat din nou:

http://img811.imageshack.us/img811/9391/trojanb.png

Totusi, de aceasta data, Kaspersky mi-a dat un indiciu, si anume fisierul xml.php, l-am descarcat de pe host, si l-am deschis, si, surpriza, am dat peste "un minunat" text criptat, care nu are ce sa caute acolo, by default:

http://img856.imageshack.us/img856/2786/xmlm.png

Sper sa fie singurul fisier infectat...

--- Later Edit --- (ca mi-a fost lene sa apas "Edit")

Dupa ce am editat fisierul, vad ca nu mai sunt atentionat de Kaspersky, insa imi apare o eroare in browser (Done but with errors on page) pe pagina (in momentul accesarii unei pagini din Google), de forma:

Cod:

Webpage error details

User Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; GTB7.4; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.3; .NET4.0E)
Timestamp: Fri, 30 Nov 2012 21:48:18 UTC


Message: Syntax error
Line: 1
Char: 1
Code: 0
URI: http://pctroubleshooting.ro/xml.php?ref=http%3A%2F%2Fwww.google.ro%2Furl%3Fsa%3Dt%26rct%3Dj%26q%3Dcoduri%2520assassin's%2520creed%25203%26source%3Dweb%26cd%3D2%26ved%3D0CDAQFjAB%26url%3Dhttp%253A%252F%252Fpctroubleshooting.ro%252Ftopic%252F18479-coduri-assassins-creed-3-trainer%252F%26ei%3DgCm5UIqVFOLf4QSj04HQDQ%26usg%3DAFQjCNF97PTXSOxgnzbb4u0VymWYwMC4Vw&page=http%3A%2F%2Fpctroubleshooting.ro%2Ftopic%2F18479-coduri-assassins-creed-3-trainer%2F

Ma poate ajuta cineva sa scap de ea?

--- Later Edit --- (ca mi-a fost lene sa apas "Edit")

Nu are nimeni nicio idee ?

[gupi]

Daca fisierul a fost modificat, e important sa vezi cand s-a intamplat asta (data si ora ultimei modificari e disponibila) si de catre cine (necesita acces la log-urile serverului).
Ia legatura cu gazduitorul pentru o analiza detaliata.

[gaby]

Multumesc pentru raspuns!

Din pacate in momentul de fata nu cred ca mai poate fi vazuta data si ora ultimei modificari (am facut o gramada de modificari in incercarea de a scapa de eroare), insa, stiu ca m-am uitat inainte si scria ca pe 21 noiembrie. Totusi, cum ma poate ajuta aceasta data?

Poate nu am explicat cum trebuie. Dupa ce am curatat/inlocuit fisierul xml.php si conf_global.php ce erau infectate, in momentul in care accesez un topic din Google, in momentul incarcarii paginii imi apare in browser partea stanga jos (doar IE) imaginea:



Dupa care dispare.

Daca dau dublu click pe done-ul cu semnul exclamari, imi apare:

Cod:

Webpage error details

User Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; GTB7.4; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.3; .NET4.0E)
Timestamp: Fri, 30 Nov 2012 21:48:18 UTC


Message: Syntax error
Line: 1
Char: 1
Code: 0
URI: http://pctroubleshooting.ro/xml.php?ref=http%3A%2F%2Fwww.google.ro%2Furl%3Fsa%3Dt%26rct%3Dj%26q%3Dcoduri%2520assassin's%2520creed%25203%26source%3Dweb%26cd%3D2%26ved%3D0CDAQFjAB%26url%3Dhttp%253A%252F%252Fpctroubleshooting.ro%252Ftopic%252F18479-coduri-assassins-creed-3-trainer%252F%26ei%3DgCm5UIqVFOLf4QSj04HQDQ%26usg%3DAFQjCNF97PTXSOxgnzbb4u0VymWYwMC4Vw&page=http%3A%2F%2Fpctroubleshooting.ro%2Ftopic%2F18479-coduri-assassins-creed-3-trainer%2F

Nu ma pricep foarte bine la php, insa din cate observ se afiseaza refferer-ul:

Cod:

http://pctroubleshooting.ro/xml.php?ref=http://google.ro/cautarea efectuata

--- Later Edit --- (ca mi-a fost lene sa apas "Edit")

Daca sterg fisierul xml.php eroarea aceea (de mai sus) dispare, insa, nu e cea mai buna solutie, avand in vedere ca este un fisier de care scriptul se foloseste intr-un fel.

De aici trag concluzia ca mai exista un fisier care "cheama" acest fisier (xml.php), si probabil mai exista si pe acolo vreun cod nedorit, dar, nu stiu cum sa-l identific (asta daca nu vorbesc prostii).

P.S: Sunt dispus sa platesc pe cineva care ma poate ajuta sa rezolv problema