Hi Frankie,

vielleicht weisst ja Du etwas mehr dazu, vor allem wie man ihn sicher erkennen kann ohne es auszuprobieren

da verweise ich auf Chräckers Antwort. Eine andere Alternative wäre, *nicht* Outlook/Outlook Express einzusetzen. In der Firma bei uns wird Outlook eingesetzt. Ratet mal was passiert ist ;-)

... und natuerlich auch ob man ihn auch beseitigen kann ...

Bisher haben wir folgendes rausgefunden: er lädt eine Datei runter von www.skyinet.net, vier verschiedene Unterverzeichnisse. Dazu setzt er die Startseite vom IE, nach dem Download auf about:blank. Dann trägt er ein paar Sachen in die Registry ein, die bei jedem Starten ausgeführt werden. Auch als Service, also einloggen unter einem anderen Usernamen beseitigt nicht das Problem. Die Keys sind HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 und HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL. Beide löschen. Die runtergeladene Datei heisst WIN_BUGSFIX.EXE, zusätzlich macht er noch was mit MSKernel32.vbs und Win32Dll.vbs. Die können alle drei gelöscht werden. Die beiden letzten sind mit Sicherheit nicht auf einer unverseuchten NT- oder Windows 2000-Maschine. Einen Win95 oder Win98-Rechner haben wir nicht hier zum Durchsuchen. Achtung: auf die Endungen achten!

Es werden Dateien überschrieben mit den Endungen vbs, vbe, js, jse, css, wsh, sct, hta (!), jpg, jpeg, mp3, mp2. Und zu guter Letzt wird noch mIRC verhunzt mit einem Script.

Die Mail wird noch schnell sechsmal an alle Adressen im Adressbuch von Outlook verschickt, und eine HTML-Datei und die VBS-Datei auf die Platte geschrieben. Der Dateiname war jedes Mal irgendwas mit LOVE-LETTER-TO-YOU oder ähnlich. Kann's gerade nicht sagen, die Info ist in meiner Mailbox. Und der Mailserver läuft gerade nicht.

Das war's für's Erste. Mal sehn was noch gefunden wird.

Gruß,
Martin