Hallo leahciM,

ich sitze gerade mit großen Augen vor Deinem Post
bezüglich des Anhangs von Norbert,
wo findest du in dem Paket einen Virus ?

Ich habe extrahiert:

btn-green.png
corners-btn.png
corners1.png
corners2.png
corners3.png
corners4.png
de-flag.png
de-image.png
ie6-7.css
jquery.main.js
main.html
McAfee.png
pays-de.png
style.css
Thumbs.db
ukash.png

damit wir über dass gleiche Paket sprechen.
dort ist keine ausführbare Datei enthalten (exe / pif / scr und Konsorten).

Ein kurzer Überflug hat mir den Anschein vermittelt, dass es sich dabei
um die HTML Seite handelt, die der Virus einblendet, wenn der Rechner
infiziert ist, jedoch nicht um den Schadcode selber oder irgendeine
Infektions / Crypt-Routine.

Ich würde um ein kurzes Feedback von Dir bitten, was du auf der VM
gemacht hast, damit es zu einer vermeindlichen Infektion gekommen ist.

Btw. die ältere Variante wird von Kaspersky garantiert erkannt,
ich konnte heute eine E-Mail mit der bekannten Rechnung.pif von
einem PC extrahieren und Kaspys-Alarmglocken haben sofort geläutet.
Daher gehe ich erstmal davon aus, dass du die main.html
im Browser geöffnet hast oder wir nicht vom gleichen Paket sprechen.

Vielen Dank fdy

Hallo fdy.

Zitat:

Zitat von fdy

Hallo leahciM,

ich sitze gerade mit großen Augen vor Deinem Post bezüglich des Anhangs von Norbert, wo findest du in dem Paket einen Virus ?

Ich habe extrahiert:
[..]

damit wir über dass gleiche Paket sprechen.
dort ist keine ausführbare Datei enthalten (exe / pif / scr und Konsorten).

Ein kurzer Überflug hat mir den Anschein vermittelt, dass es sich dabei
um die HTML Seite handelt, die der Virus einblendet, wenn der Rechner
infiziert ist, jedoch nicht um den Schadcode selber oder irgendeine
Infektions / Crypt-Routine.

Ich würde um ein kurzes Feedback von Dir bitten, was du auf der VM
gemacht hast, damit es zu einer vermeindlichen Infektion gekommen ist.

Btw. die ältere Variante wird von Kaspersky garantiert erkannt,
ich konnte heute eine E-Mail mit der bekannten Rechnung.pif von
einem PC extrahieren und Kaspys-Alarmglocken haben sofort geläutet.
Daher gehe ich erstmal davon aus, dass du die main.html
im Browser geöffnet hast oder wir nicht vom gleichen Paket sprechen.

Vielen Dank fdy

Geh bitte in die tro.zip. Dort ist ein Ordner "gkfouvtggpaaedq" und "tro" vorhanden. Im Ordner "tro" ist eine weitere ZIP-Datei "mafzvzmxsdmfqne.zip" vorhanden. Schau da mal rein -> "vhjgorkblydpuyqzgfcf.exe"

Achja, Datei in die VM. Ausgeführt. Passierte nix. Neustart --> siehe Bild. Ich habe keine html gestartet.


Michael