Werde morgen formatieren wenn sich keine Lösug findet bevor irgendwas in die Kundendaten reingeht.
Also Folgendes:
In unregelmäßigen Abständen wird das Browserfenster (Seamonkey) einfach geöffnet, mit einer Direkt-URL auf eine EXE-Datei auf irgendeinem Webserver (Server und Dateinamen sind immer verschieden).
Wenn man die EXE runtersaugt und scannt ist ein Virus bzw Trojaner drin. Geöffnet habe ich sie natürlich nicht. Haben auch meist nur ein paar KB.
Wer (bzw was) ruft immer diese URLs auf? Im Taskmanager konnte ich keinen außergewöhnlichen Prozess dingfest machen (verwalte bis zu 15 rechner also ich denke das hätte ich gesehen...)
Wenn man "Start-Ausführen" wählt, steht dort immer die zuletzt aufgerufene Viren-URL, also als ob es von dort gestartet wird. Das "Ausführen"-Fenster sieht man aber nie, auch nicht kurz aufblinken (hab mich schonmal ne gute Stunde mit schön was zu essen davor gesetzt und beobachtet )
Ich denke mal auf dem Rechner ist irgendwas eingenistet, nur was? Und wo?
Ausser in diesen EXE-Dateien aus dem Web finden AVG und Antivir nichts. Aber diese Dateien werden ja wie von Geisterhand heruntergeladen (auch nur bis zum Downloaddialog wo man den Spoeicherort auswählt, weiter nicht!)
Ich verstehe das nicht.
Kennt dieses Problem jemand? Wäre über eine Idee / Ansatz superdankbar, da ich echt nicht mehr weiterkomme.
Vielen Dank
lappen
achja: auf dem rechner läuft VNC, und der port 5900 ist frei. kann darüber irgendjemand reingekommen sein? sicherheitsleck in realvnc? sonst ist ja alles per hw firewall zu.
Dieser Beitrag wurde von putzlappen bearbeitet: 10. August 2006 - 15:38