Infektion beim bloßen Aufrufen von HTML-Webseiten - itunesff.exe

#0
08.10.2006, 00:55
...neu hier

Beiträge: 1
#1 Guten Tag,

als ich ca. 1 Stunde im Internet auf verschiedenen Webseiten gesurft bin, wurde plötzlich eine Webseite geladen, wo ich kein URL-Feld etc mehr hatte. Quasi fast wie ein großes Pop-Up-Fenster, allerdings bildschirmfüllend und man konnte auch nach unten scrollen.

Das ganze war schon etwas dubios. Leider hatte ich gerade zu diesem Zeitpunkt den Internet-Browser Explorer verwendet und war vermutlich auch noch mit ISDN unterwegs (ansonsten mit SAT-DSL in Kombi mit ISDN).

F-Secure hatte zudem anschließend etwas gemeldet, allerdings dann war es wohl schon passiert. Ich vermute einmal, daß bei meinem PC das alleinige Aufrufen von HTML-Seiten schadhaften Code in das System32 brachte.

Durch F-Secure bekam ich zum Glück noch den Hinweis:
itunesff

Also der Dialer itunesff.exe

In sämtlichen Netzwerkverbindungen erschien daraufhin folgende Austria-Nummer:
0043820333....... (falls jemand die vollständige Nummer benötigt, bitte hier posten).

Die itunesff.exe Datei hat sich nicht mehr entfernen gelassen aus dem System32-Ordner.

Also habe ich mit Windows einen Wiederherstellungszeitpunkt vor der Infektion durchgeführt. Jetzt ist System32 wieder ohne itunesff.exe ???
Zumindest finde ich es unter System32 nicht mehr.

Scheinbar handelte es sich hier um den Warezov.AT ??

Fragen:

1. Bringt das Zurücksetzen des PC auf den Tag zuvor etwas ? (bzw. reicht das aus ?)

2. Kann mich tatsächlich nur durch das Aufrufen von Internetseiten den PC infeziert haben ?

3. Sollte ich den PC jetzt trotzdem sicherheitshalber komplett neu formatieren und Windows XP wieder aufspielen (ca. 1 Tag Arbeitszeit, bis ich da durch bin mit meinen PC-Kenntnissen).

4. Was mir seit gestern auffällt:

Im Status-Fenster vom DFÜ:


Der Wert bei Gesendet ist jetzt immer ein Mehrfaches von dem
Wert bei Empfangen.
Normalerweise ist es doch umgekehrt. Ich lade ja nichts auf einen Server.

Wenn ich Webseiten anschauen, müßte doch der Wert bei Empfangen (Bytes) immer höher sein als bei Gesendet.

Ist das nun ein deutliches Zeichen, daß irgendein (schadhaftes) Programm Daten von meinem PC sendet ?

Die Bytes bei Gesendet erhöhen sich allerdings nur in dem Moment, wo sich auch die Emfpangen-Bytes eröhen, d.h. sobald ich

a. das DFÜ starte (Gesendet ca. 5000 Bytes, Empfangen 400 Bytes)

b. später dann, sobald ich die erste Webseite aufrufe:
Gesendet 15.000, Empfangen 6.000

Stimmt hier etwas nicht ?

5. Wenn ich neu formatiere, kann ich dann wenigstens die Dokumente von mir auf den PC (Word-Dokumente, meine HTML-Homepage vom Editor, etc.) auf dem neu formatieren PC weiterverwenden oder sind jetzt sämtliche Dateien verseucht ? (grundsätzlich gehe ich davon aus, daß in erster Linie das System32 betroffen ist)


6.Was passiert eigentlich mit der Austria-Nummer ?

Wird die auf eine 0900-Nummer umgeleitet ?


7. Und welche schadhaften Programme könnte ich sonst noch aktuell auf meiner Festplatte haben
bzw. welche könnten sich ausbreiten, wenn ich nicht formatiere etc.

---
Mit freundlichen Grüßen
Jo
Seitenanfang Seitenende
08.10.2006, 11:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 jo12

O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c95 -w

habe gerade meine Glaskugel verlegt ;)

Zitat

Und welche schadhaften Programme könnte ich sonst noch aktuell auf meiner Festplatte haben
obwohl du viel geschrieben hast, kann ich damit nichts anfangen.
poste diese logs, ich sehe nach:
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: