wirus iframe - problem z usunięciem

[wHiTe]

tak, wiem że jest dużo postów na ten temat, studiuje wszystko od dwóch dni ale pomimo prób usunięcia wirusa on dalej 'gdzieś siedzi'..

jak wiadomo, na końcu większości plików *.php *.html dopisane były linijki z <iframe> kierujące do innych stron, wszystkie usunąłem lecz NOD32 na innych komputerach wciąż pokazuje, że strona ma wirusa.
znalazłem też na którymś z for plik, który automatycznie odnajduje 'zakażone' pliki i usuwa z nich iframe:

Kod:

<?php
$kasuj = 1; #jezeli chcesz tylko informacje o zakazonych plikach, bez usuwania iframe ustaw na 0
$folder = '.'; #wpisz tutaj nazwe przeszukiwanego folderu, kropka onacza wszystkie foldery
function ListFiles($dir) {

    if($dh = opendir($dir)) {

        $files = Array();
        $inner_files = Array();

        while($file = readdir($dh)) {
            if($file != "." && $file != ".." && $file[0] != '.') {
                if(is_dir($dir . "/" . $file)) {
                    $inner_files = ListFiles($dir . "/" . $file);
                    if(is_array($inner_files)) $files = array_merge($files, $inner_files);
                } else {
                                $type=stristr($file, '.');
                                if($type == '.php' OR $type == '.html' OR $type == '.tpl' OR $type == '.js' OR $type == '.htm')
                    array_push($files, $dir . "/" . $file);
                }
            }
        }

        closedir($dh);
        return $files;
    }
}

$pattern="/<iframe src=\".*\" width=1 height=1.*\"><\/iframe>/";

foreach (ListFiles($folder) as $key=>$file){
    echo "<span style=\"font-family:arial;font-size:14px;font-color:black;display:block;margin-left:5px;margin-top:20px;\">Sprawdzam plik <b>".$file ."</b></span>";
        $contents=@file_get_contents($file);
        $ncontents=preg_replace($pattern, "", $contents, -1, $count);
        if($count != '0')
        {
        if($kasuj == 1)
        if(@file_put_contents($file, $ncontents))
        echo "<span style=\"font-family:arial;font-size:14px;font-color:#800000;display:block;margin-left:50px;font-weight:bold;\">Znaleziono i <font color=\"red\">pomyslnie skasowano</font> <b>iframe</b> z pliku <u>".$file."</u></span>";
        else
        echo "<span style=\"font-family:arial;font-size:14px;font-color:#800000;display:block;margin-left:50px;font-weight:bold;\">Znaleziono <font color=\"red\">lecz nie udało się usunac</font> <b>iframe</b> z pliku <u>".$file."</u></span>";
        
        }
        else
        echo "<span style=\"font-family:arial;font-size:14px;font-color:black;display:block;margin-left:50px;\">Plik <b>".$file."</b> nie jest zainfekowany</span>";
        
}


?>

w prawdzie pokazało mi po tym, które pliki były zainfekowane ale dalej wyskakuje komunikat o wirusie..

skany na stronach pokazują, że niby wszystko jest ok:
http://www.UnmaskParasites.com/secur...tudiodm.com.pl < komunikuje w stronie joomli i skrypcie do statystyk..
http://linkscanner.explabs.com/links...tudiodm.com.pl < tu wszystko jest dobrze

także ktoś ma może jakiś jeszcze pomysł jak usunąć tego robaka?

btw: oczywiście hasło do serwera zmienione i nie zapamiętywane w programie (FileZilla)

bardzo proszę o pomoc..

[alex51]

Skąd pewność, że usunąłeś wszystkie zarażone pliki? Plików index.php są setki. Powinieneś nadpisać wszystko z instalki Joomla lub z posiadanej kopii plików. Jeśli mimo wszystko wolisz sam szukać i zmieniać uszkodzone pliki, to możesz zastosować skrypt pokazujący ostatnio zmieniane pliki. Był tu gdzieś załączony na forum.
Skoro napisałeś, że zmieniłeś hasła i zapisujesz haseł w FileZulla, to mam nadzieję, że również sprawdziłeś swój komputer pod katem obecności nieproszonych gości.
Edit:
Znalazłem >>post<<, w którym @idek mi doradził w/w skrypt.

[KYCu]

@trzepiz na swoim blogu opisywał takie strony, dzięki którym można sprawdzić swoją witrynę pod tym względem. Co prawda strony są w wesjach alpha i beta i 100% gwarancji na ich skuteczność nie ma ale przeskanować można ;)

http://www.trzepizur.pl/blog/11-bezp...witrynie-.html

[wHiTe]

alex przecież podałem kod z którego korzystałem przy lokalizacji i usuwaniu zbędnego wpisu do index'ów.. a skan komputera to chyba podstawowa sprawa więc nawet o tym nie wspominałem..
KYCu czytałeś uważnie mojego posta? m.in. ze strony podanej na www trzepiz'a jest wklejony link ze skanem.. i jak pisałem, pomimo tego, że skany pokazują brak wirusów to m.in. NOD32 pokazuje komunikat podczas otwierania strony..

btw. zmieniłem wpis w kodzie, który podałem powyżej z

Kod:

$pattern="/<iframe src=\".*\" width=1 height=1.*\"><\/iframe>/";

na

Kod:

$pattern="/<iframe src=\".*\" .*\"><\/iframe>/";

po czym znalazło jeszcze kilka dodatkowych plików z <iframe>, teraz nie wyskakuje komunikat o wirusie ale okienko z treścią: 'Adres URL jest nieprawidłowy i może zostać niewczytany'

czemu skany strony pokazują adres joomla.org jako 'niepewny'? bo adres mojej strony mogę zrozumieć z tego względu, że jeszcze nie został sprawdzony przez wszystkie boty pod względem wirusów.

[alex51]

Rozumiem, że to taka Twoja forma podziękowania za okazanie zainteresowania i próbę wyszukania czegoś, co może być pomocne. Przerabiałem na "swojej skórze" podobne problemy z włamaniem, ale myślę, że teraz będziesz musiał sam poszukać sobie rozwiązania.

[wHiTe]

rozwiązania szukam cały czas ale też liczę na każdą poradę, która może mnie naprowadzić na rozwiązanie tego problemu..

oczywiście za każdą formę zainteresowania się moim tematem dziękuję