Не могу понять в чем проблема.

9-го числа приключилась такая ерунда:
1. Все файлы во всех директориях с именами index и default были переименованы в _index и _default.

2. Вместо них появились файлы с вирусным кодом W32.Feebs http://securityresponse.symantec.com/avcenter/venc/data/w32.feebs.html), который пытается исполниться с помощью актив икс.

3. Появились файлы (во всех директориях), с кусками кода добавляющими ключи в реестр.

Т.е. при попытке зайти на сайт происходит следеющее: из "поддельного" индекса выполняется вирусный код и перебрасывает на _index 8(((

Я удалил все эти "нововведения" руками, сменил пароль (думал, что просто украли пароль).

11-го числа в 16 часов все вернулось на круги своя, всмысле опять появились эти файлы. Я снова удалил все руками и через 5 минут опять случилось то же самое.

Вроде бы в скриптах на сайте нету дыр в программах, позволяющих настолько легко рулить файлами......

Вобщем, очень прошу помощи - не могу понять в чем дело 8((((

Сайт detki.net

[Изменено 11.3.2006 от Павел]

Вирус у вас на локальной машине.
Он закачивает во все доступные _вашей_ машине ftp-аккаунты (т.е. где пароли прописаны в реестре, а не вводятся с клавиатуры) свои копии.

Удаляйте вирус и переименовывайте обратно _index в index и т.д.

На локальной машине вирусов нет.
К тому же остальные мои сайты не пострадали, хотя пароли от них хранятся тем же макаром что и от этого...

Этот вирус закачивается по фтп с машины пользователя имеющего фтп-доступ к аккаунту. Вы уже не первый. Вам логи фтп показать?

Т.е. проблема именно в моей машине?

Была такая же бяка. По всей видимости вирь дейсвительно проникает с клиента - Ruweb был не при чем.
Описания виря в сети в то время не было... нортоном и касперским он не ловился.
почистили машины при помощи утилиты - антивируса f-force - ссылки на оф. сайт не помню - но найти в сети можно.