Mir fiel auf meinem PC (Win7 x64 Ultimate) eine Datei auf, die sich "ApplikationUpdater" nennt.
Diese exe versucht Verbindung aufzunehnmen:
C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe
- und zwar mit dieser Remote- Adresse:
174.36.215.20-static.reverse.softlayer.com [174.36.215.20]:HTTP [80]
Angeblich signiert von "Spigot, Inc" (Komma - Leerzeichen -Inc)
Das meldet jedenfalls mein Avira Antivir Prof.
In dem ordner befindet sich noch eine "config.ini"mit diesem Inhalt:
[WidgiToolbar]
PartnerName=Application Updater
PartnerNameSafe=applicationupdater
Im System finde ich nun diese auf "widgi" bezogenen Dateien:
http://www.juekirs.de/Foren/nickles/widgi-01.jpg
und in der Registry in HKLM 3 weitere Einträge - erstellt am 11.10. frühmorgens.
Mir kommt das ganze recht verdächtig vor, denn ich habe nichts, was mit pdf (pdfforge) zusammenhängt, installiert
Bevor ich allerdings versuche, diese Geschichte testweise zu entfernen (und danach mein sauberes Image wiederherstelle) wollte ich gern mal eure fachliche Meinung dazu hören.
Ich vermute, das sich da ein nicht vollendeter Trojaner eingeschlichen hat.
Nicht vollendet deswegen, weil keinerlei unerlaubter Traffic zu verzeichnen ist. Auch kann das soeben frisch installierte Avira Antivir keinen Schädling erkennen, nicht einmal einen Verdacht.
Ich freue mich über eure Kommentare!
Jürgen
jueki
