tak, wiem że jest dużo postów na ten temat, studiuje wszystko od dwóch dni ale pomimo prób usunięcia wirusa on dalej 'gdzieś siedzi'..

jak wiadomo, na końcu większości plików *.php *.html dopisane były linijki z <iframe> kierujące do innych stron, wszystkie usunąłem lecz NOD32 na innych komputerach wciąż pokazuje, że strona ma wirusa.
znalazłem też na którymś z for plik, który automatycznie odnajduje 'zakażone' pliki i usuwa z nich iframe:


<?php
$kasuj = 1; #jezeli chcesz tylko informacje o zakazonych plikach, bez usuwania iframe ustaw na 0
$folder = '.'; #wpisz tutaj nazwe przeszukiwanego folderu, kropka onacza wszystkie foldery
function ListFiles($dir) {

if($dh = opendir($dir)) {

$files = Array();
$inner_files = Array();

while($file = readdir($dh)) {
if($file != "." && $file != ".." && $file[0] != '.') {
if(is_dir($dir . "/" . $file)) {
$inner_files = ListFiles($dir . "/" . $file);
if(is_array($inner_files)) $files = array_merge($files, $inner_files);
} else {
$type=stristr($file, '.');
if($type == '.php' OR $type == '.html' OR $type == '.tpl' OR $type == '.js' OR $type == '.htm')
array_push($files, $dir . "/" . $file);
}
}
}

closedir($dh);
return $files;
}
}

$pattern="/<iframe src=\".*\" width=1 height=1.*\"><\/iframe>/";

foreach (ListFiles($folder) as $key=>$file){
echo "<span style=\"font-family:arial;font-size:14px;font-color:black;display:block;margin-left:5px;margin-top:20px;\">Sprawdzam plik <b>".$file ."</b></span>";
$contents=@file_get_contents($file);
$ncontents=preg_replace($pattern, "", $contents, -1, $count);
if($count != '0')
{
if($kasuj == 1)
if(@file_put_contents($file, $ncontents))
echo "<span style=\"font-family:arial;font-size:14px;font-color:#800000;display:block;margin-left:50px;font-weight:bold;\">Znaleziono i <font color=\"red\">pomyslnie skasowano</font> <b>iframe</b> z pliku <u>".$file."</u></span>";
else
echo "<span style=\"font-family:arial;font-size:14px;font-color:#800000;display:block;margin-left:50px;font-weight:bold;\">Znaleziono <font color=\"red\">lecz nie udało się usunac</font> <b>iframe</b> z pliku <u>".$file."</u></span>";

}
else
echo "<span style=\"font-family:arial;font-size:14px;font-color:black;display:block;margin-left:50px;\">Plik <b>".$file."</b> nie jest zainfekowany</span>";

}


?>
w prawdzie pokazało mi po tym, które pliki były zainfekowane ale dalej wyskakuje komunikat o wirusie..

skany na stronach pokazują, że niby wszystko jest ok:
http://www.UnmaskParasites.com/security-report/?page=www.studiodm.com.pl < komunikuje w stronie joomli i skrypcie do statystyk..
http://linkscanner.explabs.com/linkscanner/checksite.aspx?NS=ChkOnly&SRC=apps.explabs.com&CS=http://studiodm.com.pl < tu wszystko jest dobrze

także ktoś ma może jakiś jeszcze pomysł jak usunąć tego robaka?

btw: oczywiście hasło do serwera zmienione i nie zapamiętywane w programie (FileZilla)

bardzo proszę o pomoc.. :)

Skąd pewność, że usunąłeś wszystkie zarażone pliki? Plików index.php są setki. Powinieneś nadpisać wszystko z instalki Joomla lub z posiadanej kopii plików. Jeśli mimo wszystko wolisz sam szukać i zmieniać uszkodzone pliki, to możesz zastosować skrypt pokazujący ostatnio zmieniane pliki. Był tu gdzieś załączony na forum.
Skoro napisałeś, że zmieniłeś hasła i zapisujesz haseł w FileZulla, to mam nadzieję, że również sprawdziłeś swój komputer pod katem obecności nieproszonych gości.
Edit:
Znalazłem >>post<< (http://forum.joomla.pl/showthread.php?32187-blokada-strony-www&highlight=wypier), w którym @idek mi doradził w/w skrypt.

@trzepiz na swoim blogu opisywał takie strony, dzięki którym można sprawdzić swoją witrynę pod tym względem. Co prawda strony są w wesjach alpha i beta i 100% gwarancji na ich skuteczność nie ma ale przeskanować można ;)

http://www.trzepizur.pl/blog/11-bezpieczestwo/46-iframe-na-naszej-witrynie-.html

alex przecież podałem kod z którego korzystałem przy lokalizacji i usuwaniu zbędnego wpisu do index'ów.. a skan komputera to chyba podstawowa sprawa więc nawet o tym nie wspominałem..
KYCu czytałeś uważnie mojego posta? m.in. ze strony podanej na www trzepiz'a jest wklejony link ze skanem.. i jak pisałem, pomimo tego, że skany pokazują brak wirusów to m.in. NOD32 pokazuje komunikat podczas otwierania strony..

btw. zmieniłem wpis w kodzie, który podałem powyżej z

$pattern="/<iframe src=\".*\" width=1 height=1.*\"><\/iframe>/";
na

$pattern="/<iframe src=\".*\" .*\"><\/iframe>/";
po czym znalazło jeszcze kilka dodatkowych plików z <iframe>, teraz nie wyskakuje komunikat o wirusie ale okienko z treścią: 'Adres URL jest nieprawidłowy i może zostać niewczytany'

czemu skany strony pokazują adres joomla.org jako 'niepewny'? bo adres mojej strony mogę zrozumieć z tego względu, że jeszcze nie został sprawdzony przez wszystkie boty pod względem wirusów.

Rozumiem, że to taka Twoja forma podziękowania za okazanie zainteresowania i próbę wyszukania czegoś, co może być pomocne. Przerabiałem na "swojej skórze" podobne problemy z włamaniem, ale myślę, że teraz będziesz musiał sam poszukać sobie rozwiązania.

rozwiązania szukam cały czas ale też liczę na każdą poradę, która może mnie naprowadzić na rozwiązanie tego problemu..

oczywiście za każdą formę zainteresowania się moim tematem dziękuję:)