nicht angemeldet
Hallo!
Ich erhielt eben eine inhaltlose E-Mail (kein Text). Als Absender vermerkt ist "zan@aol.com", unter "CC" steht "marry@yahoo.com". Als Attachement eine einzige HTML-File namens "attach.htm".
Nun, ich bin von Natur aus neugierig und wollte wissen, was diese Datei enthält. Virenscanner laufen im Hintergrund und .htm ist keine .exe, dachte ich, aber verhext war die File dennoch.
Also öffnen. Da war es schon zu spät: von da an gingen ständig Browserfenster auf, eines davon nistete sich in der oberen linken Ecke des Desktops. Es ist so klein, daß weder Titelleiste noch Inhalt zu sehen ist (siehe unten mein Screenshot, über dem "A" von "Arbeitsplatz", und hier ist es deswegen zu sehen, weil ich das ganze offline reproduziert habe, um darüber berichten zu können: ansonsten nistet sich das Ding so geschickt ganz oben links, daß kaum was zu sehen ist). Das Microfenster läßt sich bewegen. Nur mit rechter Maustaste auf dem entsprechenden Bereich in der Taskleisteläßt sich das Fenster schliessen. Dort läßt sich auch der Name erkennen: http://xzl3.yeah.net/
Ich habe in Panik den PC ausgeschaltet.
Wieder beruhigt, öffntet ich erneut die E-Mail und statt die Datei direkt zu öffnen, wählte ich speichern. Dieses nützt jedoch auch nicht: nach ein paar Sekunden nistet sich das Fensterchen wieder an besagter Stelle, und es geht wieder los mit den Popup-Windows - auch Offline (nur daß da in den Fenster steht "Diese Webseite kann offline nicht geöffnet werden"
Da machte ich diesen Screenshot:
<img src="http://www.atmic-eggs.com/temp/xzl3.gif" alt="">
und ließ den Virenscanner die ganze Festplatte durchsuchen: es wurde aber nichts entdeckt.
Hat jemand eine Idee, wo ich noch suchen kann, ob etwas bösartiges (Trojan o. ä.) "abgesetzt" wurde (alle Cookies hatte ich abgelehnt)? Für format:c und Neuinstallation habe ich im Moment leider keine Zeit (das gibt einen ständigen Ärger mit der Teles-Karte und deren Konfiguration).
Danke
PAF (patrickausfrankfurt)
P.S.: Ich kann also nur warnen: wer so eine Mail bekommt sollte sie vielleicht lieber gleich ins Nirvana befördern (ich gehöre nicht zu denen, die hier oder in anderen Newsgroups Panikmache betreibe - ich habe die Mail noch und kann sie jedem Interessierten weiterleiten).
Übrigens: Quellcode der "attach.htm":
<html><script language="javascript">name="winxz";</script>
<frameset rows="10%,*"><frame src="http://xzl3.yeah.net" name="ldxz" noresize scrolling=no>
<frame src="http://www.zhanjiang.gd.cn/nethome/susi/szx/index.htm" noresize scrolling=no>
</frameset></html>
und der anderen Datei im Microfenster:
<HTML><HEAD>
<script language=javascript>
<!--
window.open("http://my.yeah.net/popup.html","nease","width=515,height=135");
//-->
</script>
<meta http-equiv="refresh" content="0;url=http://netin.webjump.com/kai.htm ">
<body></body></html>
Was ist mit dem JS name "winxz"?
Ich poste diese Nachricht noch ins Viren-Forum bei www.chip.de.