hi Sönke,

Die kamen von außen, wie du an deinen IPs ja bemerkt hast, wahrscheinlich von irgendeiner infizierten Maschine.

Nicht unbedingt. Leider hat XnetworkerX die vielleicht problematischen IP-Adressen nicht mit gepostet. Es müssen nämlich nicht unbedingt IP's sein. In meinem System (WinXP) sieht es im Apache-log z.B. im Moment so aus:
c30s75h2.upc.chello.no - - [12/Jan/2002:18:17:27 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300

In diesem Fall hat ein cookie, das ich gut kenne, für diesen Eintrag gesorgt, erst vor wenigen Stunden.

Der Virus (oder jemand anders) versucht, über eine Lücke im Webserver einen Befehl auszuführen: In allen Anfragen taucht am Ende ein "/cmd.exe?/c+dir" auf.

Es war mit allergrößter Wahrscheinlichkeit "etwas anders"

Das Loch betrifft aber AFAIK nur den Internet Information Server von Microsoft, also nichtmal direkt dein Betriebssystem.

Das ist leider nicht ganz korrekt.

Da die Zugriffe als Fehler aufgelistet wurden, wurden sie natürlich auch nicht bei die ausgeführt und damit hast du dir auch nichts eingefangen.

Und _DAS_ ist der entscheidende Satz  ;-)

Grüße aus Berlin

Christoph S.