Намедни провел лечение сайта клиентов от вирусов.

Примечательно, что путь проникновения на сайт остался неизвестным. Заражение было проведено в несколько этапов, всего насчитали 3 модификации вируса.

1 - записывался в конец файла, представляет собой обычный js, который  через eval выполняет вредоносный код - открывает в скрытом фрейме загрузку файла. Подгружает какой-то ActiveX модуль и при запуске explorer.exe машина начинает жутко тормозить - открывается несколько скрытых соединений - машина используется как бот - то ли для атаки на другие машины, то ли для накручивания рекламных сайтов..

2 - записывается во все файлы с раширением htm/html и представляет собой js, опять же открывающий скрытый фрейм - но на сайт, который указывается управляющей машиной  - другим зараженным сайтом.

3 - записывался сразу после <body>  и представлял собой какую-то модификацию номера 2.

Файлы htm/html, index.php, index.html - обязательно были заражены вирусами 1,2. Вирус 3 поражал только index.php во всех папках и подпапках сайта.

Скорее всего, сайт был заражен посредством кражи ftp-паролей. На него был закачан shell, который уже позволил заразить все остальные файлы..

В общем пароли сменены, сайт вылечен - все довольны :)

Если кому нужна помощь в лечении сайта от вируса - постараюсь помочь, пишите!