Druckversion des Themas

Geschrieben von: Internetfan1971 02.09.2003, 18:34

Hallo!

Ich habe mir von der CHIP-CD-ROM Kaspersky Anti-Virus Lite installiert und meine beiden Festplatten bzw. genauer die einzelnen Partitionen einzeln gescannt.

Ich bin jetzt aber irritiert. Und die Hilfe bringt mich nicht weiter und hat mich noch weiter verwirrt!

Immer wieder wurden mir infizierte Objekte gemeldet, aber keine Virus-Körper, Ähnlich der Virusvariante und bei Verdacht eines Virustyps immer 0.

In der Hilfe ist ein Bild des Reports wo 20 Virus-Körper, 6 gelöscht und bei Ähnlich der Virusvariante und bei Verdacht eines Virustyps 0 steht. Und bei infiziert Objekte 0!

Also was sind Virus-Körper wenn nicht Viren oder hat ein Virus mehrere Körper? Und warum gibt es dann keine infizierten Objekte??

Ich verstehe das Ganze überhaupt nicht mehr und in der Hilfe steht dazu überhaupt nichts drin! Auch nichts unter Suchen und Index.

Danke schon mal für die Auskunft!

Geschrieben von: raman 02.09.2003, 18:41

Schau mal ins Logfile. KAV sollte eines erstellt haben, bzw. lass mal eins erstellen. Mit der lite Variante kenne ich mich leider nicht aus. Ich hatte sie nur mal kurz installiert, konnte mich aber mit der Programmfuehrung nicht anfreunden.

Geschrieben von: Rokop 02.09.2003, 18:58

Wenn auf Deiner Platte z.B. 3 x Klez und 2 x Lovsan gefunden werden, meldet KAV 5 Infektionen und 2 Viruskörper. Ungefähr so ist es zu verstehen. In Deinem Fall könnten es jedoch heuristische Funde sein, denen kein genauer Viruskörper zuzuordnen ist. Um etwas genauer zu werden müsste man aber den genauen Wortlaut der Meldung kennen.

Geschrieben von: wizard 02.09.2003, 19:07

Such mal nach *.rpt Dateien von KAV. Dann hier posten oder an virus@rokop-security.de schicken.

wizard

Geschrieben von: Internetfan1971 02.09.2003, 21:53

Hallo!

Hier ist mal ein Ausschnitt des letzten Reportes lite_report.rep. Die Infektionen werden wenn ich es richtig sehe gleich am Anfang genannt. Ist jetzt nur ein Report der C-Partition.

;
;
#Dienstag, 2. September 2003, 20:38:46
<200.10c00.10101.2.103>
OK Warnung Verdacht Infiziert <200.904.1204.1304.e04>
Desinfiziert Gelöscht Umbenannt Wird nach dem Neustart gelöscht <200.b04.d04.c04.1b04>
Wird nach dem Neustart umbenannt Desinfektion erfolglos Komprimiert Archiv <200.1a04.a04.1004.1104>
Verschlüsselt Beschädigt Unbekanntes Format Durch Passwort geschützt <200.f04.704.1404.804>
Durch einen anderen Prozeß gesperrt Lesezugriff verweigert Zu wenig Platz auf der Festplatte I/O Fehler <200.304.504.604.404>
Kernelfehler Oberflächenfehler <200.204.104>
Objekt Ergebnis Beschreibung <100.3c00000c.f000018.19000010>
C:\SUHDLOG.BAK Archiv <ce0000.0.11>
C:\SUHDLOG.DAT Archiv <ce0000.0.11>
C:\SUHDLOG.--- Archiv <ce0000.0.11>
C:\IO.SYS Komprimiert <d70000.0.10>

Usw.

An Schluß steht dann

---------------------------
;
Gescannt:
;
Sektore: 0
Dateien: 17837
;
Gefunden:
;
Archive: 669
Komprimierte Dateien: 73
Virus-Körper: 0
Gegen Virus desinfiziert: 0
Gelöscht: 0
Ähnlich der Virusvariante: 0
Verdacht eines Virustypes: 0
Infizierte Objekte: 3
Fehler: 21
Dateien werden durch einen anderen Prozeß gesperrt: 0
;
;


Was jetzt die genaue Meldung am Schluß war weiß ich nicht mehr. Sinngemäß etwa so ähnlich

Während des Tests sind Fehler aufgetreten. Möchten Sie den Report sehen?

Weder während noch nach den Test gab es eine Meldung das Virus xy gefunden wurde!

Hier der komplette Report avpm.rpt. Welche Partition ich da gescannt hatte, weiß ich nicht mehr.


;
;
#Montag, 1. September 2003, 15:18:58
;
;
; Report-Datei erstellen = Ja
; Datei speichern unter = avpm.rpt
; Informationen über komprimierte Dateien im Report anzeigen = Nein
; Informationen über saubere Objekte im Report anzeigen = Nein
; Anhängen = Nein
; Maximale Größe festlegen auf (KB) = Ja
; Maximale Größe = 2048
; Vorgehen für infizierte Dateien: = Verschieben nach Ordner
; = Infected
; Quarantäne aktivieren = Ja
; Erlauben von Löschen oden Umbenennen der infizierten Verbundene Objekte = Nein
; Maximale Größe der Archive u.ä. Dateien beschränken auf(Kb) = Nein
;
;
;
; "Arbeitsplatz"
; Ausführung aktivieren = Ja
; Vorgehen für infizierte Dateien: = Benutzer fragen
; Wechseldatenträger scannen = Ja
; Lokale Festplatten scannen = Ja
; Netzwerklaufwerke scannen = Ja
; Dateien der folgenden Arten scannen: = Ausführbare Dateien
; Durch Maskierung ausschließen = Nein
; Sektoren scannen = Ja
; Arbeitsspeicher scannen = Ja
; Verbundene Objekte folgender Typen scannen: = Ja
; Archive = Nein
; SFX Archive = Ja
; Mail-Datenbanken = Nein
; Reine Text Mail = Nein
; Eingebettete Objekte = Ja
; Code Analyser aktivieren = Ja
;
;
<200.1000.10201.2.103>
OK Warnung Verdacht Infiziert <200.904.1204.1304.e04>
Desinfiziert Gelöscht Umbenannt Verschoben <200.b04.d04.c04.2204>
Wird nach dem Neustart gelöscht Wird nach dem Neustart umbenannt Desinfektion erfolglos Komprimiert <200.1b04.1a04.a04.1004>
Archiv Verschlüsselt Beschädigt Unbekanntes Format <200.1104.f04.704.1404>
Durch Kennwort geschützt Durch einen anderen Prozess gesperrt Lesezugriff verweigert Zu wenig Platz auf der Festplatte <200.804.304.504.604>
E/A-Fehler Verloren Kernel-Fehler Oberflächen-Fehler <200.404.1c04.204.104>
Objekt Ergebnis Beschreibung <100.3c00000c.f000018.19000010>

Geschrieben von: wizard 02.09.2003, 22:18

Kannst Du den ganzen Report mal an virus@rokop-security.de schicken? Der gepostete Auszug hilft leider nicht weiter.

wizard

Geschrieben von: Internetfan1971 02.09.2003, 23:17

Ja, auch wenn ich nicht so recht verstehe wieso dies nötig ist. Das Infektionen stattgefunden haben ist doch wohl klar, oder? Im ganzen Report wird aber weder der Virusname noch Ort und Name der infizierte Datei genant.

Ich habe irgendwo eine KAV 4.05 Personal Demo auf einer CD. Werde die erst mal morgen installieren und updaten. Hoffe das es geht!

Dan werde ich nochmal scannen und dann bekommst Du/Ihr den Report. Dort wird dann hoffentlich mehr drin stehten!

Geschrieben von: wizard 03.09.2003, 07:51

Leider nein, denn



wiederspricht dem ja. Kannst Du auch die genau Programmversion von KAV posten. Findet sich im Kontroll Center unter Komponenten.

wizard

Geschrieben von: Internetfan1971 03.09.2003, 16:48

So ich habe heute KAV Lite deinstalliert und KAV Antivirus Personal 4.05.37 von der PC Praxis CD-ROM 5/03 installiert. War keine Demo, sondern eine zeitlich begrenzte Vollversion. Ist jetzt gültig bis 27.11.03.

Interessant das es jetzt keine Bezeichnung Infizierte Objekte mehr gibt, heißt dort wohl Bekannte Viren und die Anzahl ist Null!

Merkwürdigerweise ist der Report der Lite Version entschieden ausführlicher als die der Personal. Ist vielleicht ja auch Einstellungssache? Kenne mich damit halt noch nicht aus.

Ist ja auch ziemlich egal, ich werde Euch einfach alles schicken was ich habe!

Ich habe mir Trojan Hunter 3.6 Demo über die Adresse im Forum heruntergeladen und da ich kein Autoupdate durchführen kann, habe ich das von der Homepage.

Gut, ich habe gescannt und nicht gut was gefunden!

Hier der Intensive Test, offline durchgeführt.


Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
No suspicious open ports found
Memory scan
No trojans found in memory
File scan
Found possible trojan file: C:\Programme\TVgenial\TVgenial.exe (Possible Latinus trojan)
Found trojan file: D:\WIN98SE\tools\reskit\netadmin\pwledit\pwledit.exe (Password-stealing trojan)
2 trojan files found
1 possible trojan files found


Der Schnelltest online durchgeführt

Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
Port 68/TCP is open (matches Subseven.100)
Memory scan
No trojans found in memory
File scan (autostarted files, running executables)
No trojan files found


Also laut Trojan Hunter ein identifizierter und ein potenzieller Trojaner und Subseven.

KAV Personal hatte nichts gefunden!

Ich schicke Euch gleich noch die beiden Dateien zum Scannen im Zip-Archiv.

Und Danke!!

Geschrieben von: Internetfan1971 03.09.2003, 17:00

Ich habe da irgendwelche Probleme mit der Mail. Die kommt später!

Geschrieben von: Internetfan1971 03.09.2003, 18:17

Die Mail wurde jetzt versandt!

Geschrieben von: Rene-gad 04.09.2003, 15:30

hi Internetfan1971!
Warum ist für dich eine Demo-Version von Trojan Hunter mehr glaubwürdig, als KAV?
Schliesst du die Fehlalarme komplett aus?
Ein OL-Scan von Trendmicro?
Ein OL-Scan von PCFlank?
Dito für den Port 68 gezielt?
IMO du hast gar keinen Grund zur Panik: die beiden Programme könnte man maximal als Spy- oder Adware bezeichnen (weder Spybot noch Adaware noch AVG bei mir gaben ein Alarm für TVgenial aus ?!?)

Geschrieben von: raman 04.09.2003, 16:17

Habe ich fast uebersehen, das sollten beides Fehlalarme von TH sein. Aber Magnus wird da wohl mehr zu sagen, falls er diesen Thread lesen sollte.

Geschrieben von: Rokop 04.09.2003, 16:40

Ich weis nicht, ob Dir Wizard schon auf die Mail geantwortet hat, aber die gesendeten Dateien sind beide harmlos. Ich hatte bisher leider keine Möglichkeit, mir den Report richtig anzuschauen.

Geschrieben von: Rene-gad 04.09.2003, 17:42

hi @ll
diesen Passwort-Knacker kenne ich ehe gesagt nicht, aber TVGenial ist ein sehr nettes elektronische TV-Programm; leider seit einigen Monaten keine Freeware mehr, im Free-Modul sind nur 8 Sender inbegriffen

Geschrieben von: wizard 05.09.2003, 10:50

Ich hab' mir den Kram jetzt mal genauer angesehen. Die Anzeige von 3 infizierten Dateien ist IMHO definitiv ein Fehler von KAV Lite. Warum kann ich mir zwar auch nicht erklären, aber eine reelle Infektion hätte auch andere Einträge im Report erzeugt.

Fehlalarm.



Fehlalarm. Hier springt auch die Heuristik von TDS-3 an. Ist ja auch nicht sonderlich verwunderlich, da obigen M$ Tool Passwörter ausliest. Nichts anderes macht ein Password-stealing trojan.



Das dürfte wohl auch ein Fehlalarm sein. Was Du allerdings prüfen solltest ist, ob der Port 68 bei Dir dauerhaft geöffnet ist.

wizard

Geschrieben von: Rene-gad 05.09.2003, 11:09

hi wizard,

Geschrieben von: wizard 05.09.2003, 11:15

Die Aussage zu KAV Lite bezog sich auf die vorherigen Postings und nicht auf das Suchergebnis von TrojanHunter.

wizard

Geschrieben von: Gladiator 05.09.2003, 11:17

ROFL

HURRRRRRRRRRRRRRRRRRRRA

Endlich

...ein richtig krachender Verschreiber

Geschrieben von: Gladiator 05.09.2003, 11:18

Nachtrag: Schei sse

Geschrieben von: Bo Derek 05.09.2003, 12:16

Hehe, bist Du ein Wortfilter-Umgeher?

Geschrieben von: Internetfan1971 05.09.2003, 15:36

Hallo!

Roman und wizard ich danke euch beiden sehr für eure Mühe!

Irgendwie hatte ich es mir schon so gedacht und noch mehr gehofft, das die Meldungen der Lite-Version Fehlalarme sind. Ich bin normalerweise immer vorsichtig mit Downloads und eMails. Alles wird gescannt!

Ich hatte vorher BitDefender Free 7 und die Scans waren immer ok.. Auf eurer Homepage steht das bald ein Test dazu kommen soll. Wäre echt gut & nett wenn ihr KAV Lite auch noch testen könntet. Wie ich das sehe wurde KAV Lite noch nie bei euch getestet!

Wäre nett wenn ihr die beiden Programme bei einem der nächsten Tests mal berücksichtigt!

Ich habe unter http://check.lfd.niedersachsen.de/start.php und unter http://scan.sygatetech.com/ gescannt und die Ports sind dicht!

Geschrieben von: Rene-gad 05.09.2003, 16:34

Ach sooooooo....Bin ich dooooof!!! Sorry