"You are infected with a botnet"

  • Schönen guten Abend,


    seit heute taucht diese komische Meldung bei jedem Windows-Start auf:


    [Blockierte Grafik: http://picbanana.com/images/botnet.jpg]


    Schon komisch, dass ein potenzieller Virus, der eigentlich undercover bleiben will, sich bei jedem Start bemerkbar macht und auf die Infektion hinweist :P


    Wie ist das Ganze zu bewerten? AVG findet nichts, keine Netzwerkaktivität und auch sonst keine komischen Prozesse.

  • Eine Masche von Cyberkriminellen ist es, den PC des Opfers zu infizieren und ein "Lösegeld" für die Desinfektion zu verlangen.
    Hast du mal HijackThis über dein System laufen lassen?
    Btw: Das Fenster sieht mir ganz nach Java aus. Das könntest du als Anhaltspunkt nehmen.
    Auch würde ich mal im Taskmanager gucken, welchem Prozess das Fenster gehört.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

  • Von der GUI her sieht mir das nach einem JAVA-Programm aus. Da alle Java-Programme in einer gesonderten virtuellen Maschine laufen, sollte sie eigentlich keinen wirklichen Schaden anrichten können.


    Wenn diese Meldung bei jeden Start kommt schau mal kurz im Autostart Ordner vorbei ob dir nur jemand einen "Scherz" spielen will.


    Einer der Prozesse sollte jusched.exe, der andere javaw.exe sein.

  • Jup, Java war im Autostart. Habs jetzt rausgenommen und das Fenster kommt auch nicht mehr. Gibts denn jetzt noch eine Möglichkeit, die verantwortliche(n) Datei(en) zu lokalisieren?

  • Zitat von Mo3;21019

    Gibts denn jetzt noch eine Möglichkeit, die verantwortliche(n) Datei(en) zu lokalisieren?


    Wenn du die Datei im Autostart gelöscht hast und sie nicht mehr im Papierkorb ist hast du schlechte Karten.
    Ansonsten Rechtsklick auf die Verknüpfung -> Eigenschaften und dort steht der Pfad zur Datei.

  • Zitat von Xot;21018

    Von der GUI her sieht mir das nach einem JAVA-Programm aus. Da alle Java-Programme in einer gesonderten virtuellen Maschine laufen, sollte sie eigentlich keinen wirklichen Schaden anrichten können.


    Falsch. Ein lokales Javaprogramm hat die selben Rechte wie jedes andere Programm was der Nutzer ausführt. Das was du meinst sind Java-Applets. Die haben standardmäßig nur stark eingeschränkte Rechte. Wenn man jedoch das Zertifikat eines signierten Applets abnickt hat das dann die selben Rechte wie ein lokal laufendes Programm

  • Zitat von Xot;21018

    Einer der Prozesse sollte jusched.exe, der andere javaw.exe sein.


    jusched ist der Update-Manager von Java. Wenn man nicht ständig selbst nach der aktuellem Java-Version schaut, dann sollte man das Programm ruhig automatisch starten lassen.

    "Security is like an onion - the more you dig in the more you want to cry"