Hatte auch das zweifelhafte Vergnügen mit dem Wurm.
Erscheinungsbild:
Da ich die Voransicht aktiviert hatte, stürzte Outlook beim Markieren der e-mail sofort ab, d.h. ich konnte ursprünglich die e-mail nicht einmal mehr löschen.
>MSIMN verursachte einen Fehler durch eine ungültige Seite
>in Modul INETCOMM.DLL bei 015f:7d59abaf.
>Register:
>EAX=00000000 CS=015f EIP=7d59abaf EFLGS=00010202
>EBX=00000000 SS=0167 ESP=005689f4 EBP=00568c28
>ECX=035df038 DS=0167 ESI=004b89c8 FS=195f
>EDX=0040001c ES=0167 EDI=00000000 GS=194e
>Bytes bei CS:EIP:
>8b 08 50 ff 51 18 83 4e 3c 01 eb 88 55 8b ec 56
>Stapelwerte:
>00000000 00000000 00000000 00000000 00000000 004b8a0c bff88d9b >00400000 000000b4 00000000 00568c10 7ff314f0 00400000 00000000 >000000b0 7ff31520
Erst nach deaktivieren der Voransicht war das möglich. Mit einer AV-Software (www.grisoft.de) wurden 15 infizierte Dateien (*.pif) gefunden und gesäubert. Von einem infiziertem Kernel32.dll war nichts zu lesen (Win98).
So jetzt meine Fragen:
- Ist kernel32.dll nach wie vor infiziert? Wie kann ich das erkennen?
- Bad.Trans.B enthält eine Keylogger-Funktion. Ist die jetzt deaktiviert oder nach wie vor aktiv?
- Wie kann ich eine aktive keylogger-Funktion überhaupt erkennen bzw. das Senden der Datei mit den ge"log"gten Informationen?
Thanx,
hp