Hi,
@günterf
also weder stinger noch Ad-Aware konnten etwas finden, ausserdem habe ich mal einen Virenscan mit NAV 2003 gemacht (nach dem obligatorischen Update), wobei er nur den "üblichen" Trojan.ByteVerify gefunden hat. Üblich deshalb, weil der in einer counter.jar-datei im Java-Cache liegt und schon des öfteren von NAV bemängelt wurde, die URL, die darin angegeben ist (h**p://xxx-tor.com/galleries/eb/eb5/Counters.jar) bringt nicht wirklich weiter, es erscheint eine leere Seite bzw. ein ftp-Verzeichnis, in dem die Datei liegt, sonst nichts.
Generell kommt der Trojaner wegen einer Lücke in MS´s VM, die aber angeblich mit der Version 3810 geschlossen wurde.
Ein Scan mit SpyBot hat folgendes erbracht:
Ein Eintrag von MainPean in der Registry (HKLM\Software\Mainpean), kommt mit dem Stardialer daher... ist bekannt, der wollte sich mal runterladen, wie er es in die Registry geschafft hat? keine Ahnung, aber auf dem System ist nicht. Weitere Einträge:
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-57989841-1844237615-839522115-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3
kann aber nicht wirklich etwas damit anfangen, das Win-Patchlevel ist immer aktuell.
Anyway, auf der Kiste läuft Sun´s Java, gebrowst wird mit Mozilla, als Firewall läuft die Tiny 4.5 und zusätzlich ist eine Smoothwall vor das LAN geschaltet, dürtfe also für einen Trojaner nicht einfach sein da durchzukommen ;-)
Hat alles wohl auch nichts mit dem Dienst zu tun!
@PIC
Eine Datei suche nach "Fla_Hiae", "Fla_" und "Hiae" war negativ, auch eine Textsuche nach den 3 Suchbegriffen in C:\ , daher kann ich leider auch keine Dateiinfos in den Eigenschaften abfragen. Auch die Registry hat nichts dergleichen anzubieten.
Bei den grossen Antiviren-Seiten (Symantec, McAfee, Kapersky und Microtrend) war auch kein Eintrag dazu.
Auch eine Suche bei anderen Suchmaschinen war ergebnislos.
Der Dienst scheint wie ein Geist zu sein ...
MaggiFix
PS: mache jetzt noch einen Scan mit a2, mal sehen, ob der was bringt