Nach eifrigem Suchen scheint jetzt die Schwachstelle gefunden zu sein über die der bereits beschriebene Virus eindringen konnte. Es war (trotz Virenscanner) ein kompromittierter Rechner der beim FTP-Upload gleichzeitig alle index.php Datein austauschte. Ärgerlich dabei: Der Virus nutzte die Systemwiederherstellung von Windows aus um das System immer wieder auf einen Stand zurückzusetzen in dem der Virus noch nicht erkannt werden konnte. Die Virenchecks verliefen so immer erfolglos, da die Programme auf einem alten Stand waren und den Virus noch nicht kannten.

Letzendlich zum Erfolg (der Beseitung des Virus) führte:

• Deaktivierung der Systemwiederherstellung von Windows
• Download der neusten Version von Avira und Sophos Rootkit
• mehrere Stunden Suchläufe mit den Programmen

Eine Neuinstallation von Windows war erfreulicherweise nicht notwendig.

Für die Vireninfaktion war im übrigen ein verseuchtes Webseite-Template verantwortlich. Die Zip-Datei enthielt neben dem Template auch den besagte Trojaner der sich beim Öffnen installiert haben muss.