【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】

このエントリーをはてなブックマークに追加
99名無しさん@お腹いっぱい。
何か役に立つかもしれないので報告

fxwill●comにウイルスがあると聞き試しに見てみた(←阿呆)
/*GNU GPL*/〜というコードが埋め込まれてたっぽい

サイトを開くと
このファイルの実行を許可しますか?というウインドウが出てきて(VISTA)
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる

再起動して、通常起動でウインドウを開始すると
マイクロソフトセキュリティーエッセンシャルが反応
詳しい表示は憶えてないけど、表示されたファイルの削除を選択(履歴見ても何も残っておらず詳しいことが不明)

PCはそのまま使えていたので安心していたら、
出先で自分のサイトを携帯でみたらエラー500が表示されるのに気づく

家に帰り、サーバーの履歴を見ると感染源のサイトを見た直後から複数のIPでログインされてた。
そしてパソコンの電源を切って外出した時間あたりでログインも止まっていた。

もう1台のパソコンからFTPのパスワードなど変更
サーバー上のファイルも消去
ファイルを見るとindex.html index.php 〜.jsファイルがほぼすべて最下部に/*GNU GPL*/〜が埋め込まれていた。

問題のPCにカスペの体験版を入れて(オンラインスキャンが停止中なので)みたら
スタートアップにsiszyd32.exeが検出されたので削除。

今ここ

もうこれ再インストールするしかないんでしょうか。