Hallo,

Doch, da ist was. Aber etwas ganz Erstaunliches. Ich bin noch nicht ganz dahintergekommen. Wenn du einen lokalen Webserver installiert hast, bekommst du eine Umleitung auf http://localhost und siehst das Standarddokument deines lokalen Webservers. Erstaunlich ist, daß ich dabei die Apache-Standardseite zu sehen bekam ("Es klappt!..."), obwohl ich diese Seite auf meinem Rechner gar nicht liegen habe, sondern "default" auf _meine_ Startseite verwiesen werden müßte.

Interessant, *ie auskram, paranoid konfigurier, quelltext guck*
Da ist eine Browser weiche, die IEs auf index2.html umleitet.

Diese index2.htm will dem IE eine "http://superdelotto.com/server.exe"
unterjubeln, öffnet dazu ein Popup und leitet die ursprüngliche
Seite auf localhost um (bei mir ist es tatsächlich localhost).

*sever.exe download, Virencheck* AntiVir mit den letzten Signaturen
zeigt keine Warnung, gar nix an, kennst du gute online-scans?

Ein einmaliger Aufruf von index2.html bringt folgende logs:
access.log:
127.0.0.1 - - [07/Nov/2004:12:38:01 +0100] "GET / HTTP/1.1" 200 589
127.0.0.1 - - [07/Nov/2004:12:38:01 +0100] "GET /index.css.php HTTP/1.1" 200 487
127.0.0.1 - - [07/Nov/2004:12:38:01 +0100] "GET /aktuell.css.php HTTP/1.1" 200 521
127.0.0.1 - - [07/Nov/2004:12:38:01 +0100] "GET /favicon.ico HTTP/1.1" 404 325

error.log:
[Sun Nov 07 12:37:50 2004] [notice] Parent: Created child process 1788
[Sun Nov 07 12:37:51 2004] [notice] Child 1788: Child process is running
[Sun Nov 07 12:37:51 2004] [notice] Child 1788: Acquired the start mutex.
[Sun Nov 07 12:37:51 2004] [notice] Child 1788: Starting 250 worker threads.
[Sun Nov 07 12:38:01 2004] [error] [client 127.0.0.1] File does not exist: E:/www/offentlich/favicon.ico

Die "beworbene Seite" ist offensichtlich keine, sondern irgendeine Gemeinheit, von der ich aber auch noch nichts Genaueres aussagen kann. Es ist auf jeden Fall vor allem auf einem Windows-System Vorsicht geboten.

Hast du einen Virenscanner, der mit der server.exe was anfangen kann?

Gruß
Alexander Brock