Hallo Marcu,
Man müsste den Code der in ctfmon injected wird nach der Versionsnummer durchsuchen die bei der Internetkommunikation gesendet wird.
Nicht alle Versionen injectieren sich in der ctfmon. Meine Version mit der $$0-Datei machte das nicht!
Aber Du hast schon Recht, es wäre ratsam ein Tools zu haben, welches die Versionsnummer aus dem schadhaften Code direkt auslesen kann ohne das der Code ausgeführt werden muß.
Gruß Martin