Virus con opera

[bancopaz]

Salve, da un pò di tempo dopo aver fatto qualche aggiornamento con il browser opera, quando vado sul mio sito personale, mi si apre una pagina di opera che mi da questo messaggio: (Questa pagina potrebbe contenere software pericoloso. Visitarla può comportare dei rischi.
Opera Software sconsiglia vivamente di visitare questa pagina.)
all'inizio credevo che fosse un eseguibile che il sito portava nell'area "assistenza telematica" ma poi tolto questo eseguibile dal server il problema persiste ancora, ho fatto alcune ricerche sia nel forum che in rete e google mi chiedeva delle procedure da fare, in queste procedure c'era scritto "visualizza codice malware" e mi usciva una striga html con una sorta di sito che puntava ad un inidizzo dei paesi dell'est, ho cercato questa stringa in tutto il codice sorgente del sito ma niente non c'e traccia di questa stringa di codice, volevo chiedere se qualcuno di voi ha avuto un problema del genere e come lo abbia risolto, il sito in questione è graficweb.it e il problema me lo da solo con browser opera.... vi ringrazio anticipatamente se qualcuno puo darmi una svolta a questo problema.
Premetto che ho cancellato tutto il sito dal server e ho messo una vecchia versione che all'epoca andava bene,
ma il problema c'e' ancora.

[amvinfe]

Ciao,

quando hai dei dubbi di questo genere, evita di postare URL cliccabili.

Questa volta ho modificato io il collegamento all'indirizzo, la prossima volta chiudo la discussione.

===

Veniamo al problema riscontrato.

In effetti è presente un java script dannoso. La rilevazione è basata su firme generiche del
db di Kaspersky

ddsmoothmenu.js Bloccato: HEUR:Trojan.Script.Generic 10/03/2013 16:44:00 graficweb.it/scripts/

[edit]
verifica anche questo piecemaker.swf

[amvinfe]

l'iframe (nascosto) sembra puntare verso l'URL

fes***tivalnet.co.uk/ohes.html?i=11****9

[* URL modificato]

[bancopaz]

Buona sera, inanzitutto mi scuso per aver postato il link che poteva danneggiare qualche utente, e grazie a amvinfe che mi ha dato un altro indizio per scovare questo malware, volevo chiederti però una cosa, perchè non sono capace, mi dici nella tua risposta queste parole :

l'iframe (nascosto) sembra puntare verso l'URL

fes***tivalnet.co.uk/ohes.html?i=11****9

[* URL modificato]

tu sei riuscito a vederlo questo frame nascosto io non ci sono riuscito e sopratutto come devo fare per vederlo, premetto che per visualizzare il codice sorgente utilizzo dreamweaver come compilatore.... puoi darmi altri indizi e capire come scovare questo codice maligno.
in anticipo ringrazio a voi tutti che leggete questo post... tutte le idee sono bene accette

[amvinfe]

ti posto in privato la stringa in chiaro che ho ricavato... per la rimozione controlla la index

[bancopaz]

grazie infinitamente....

[bancopaz]

Inanzitutto vorrei ringraziare amvinfe per avermi dato delle dritte via pvt, cmq il problema non è stato risolto nè con metodi nè antivirus, ho cancellato dal server il sito, cancellato tutti i backup gionalieri e settimanali e reinserito il sito con codici puri (prima dell'infezione) e la cosa si è risolta cosi.
Comunque per le persone che hanno avuto lo stesso problema spiego cosa è successo, qualcuno è riuscito ad entrare nel mio sistema di login del sito e da la attivato i permessi per poter caricare nella cartella cgi-bin 3 / 4 file,tre di testo uno con estensione .htaccess come ha fatto non lo so ma comunque questi file aprendoli creavano una sorta di reindrizzamento su altri siti e il browser vedeva la cosa e la segnalava come malware ..... poi i codici fantasma inseriti in tutte le pagine che anche amvinfe aveva accennato, nelle pagine sorgenti non c'erano e credo che venivano generati al momento dal browser che leggeva le istruzioni.... una cosa è certa fatevi sempre un bkup del Vostro sito ragazzi (quando funziona e va bene) e cambiate le password ogni tanto.
Spero che questa discussione sia servita a altri utenti... e grazie ancora a tutti come sempre disponibili sul forum

[amvinfe]

Grazie a te per le utili informazioni ;-)