Was heißt infiziert bei KAV Einstellungen

[Internetfan1971]

Hallo!

Ich habe mir von der CHIP-CD-ROM Kaspersky Anti-Virus Lite installiert und meine beiden Festplatten bzw. genauer die einzelnen Partitionen einzeln gescannt.

Ich bin jetzt aber irritiert. Und die Hilfe bringt mich nicht weiter und hat mich noch weiter verwirrt!

Immer wieder wurden mir infizierte Objekte gemeldet, aber keine Virus-Körper, Ähnlich der Virusvariante und bei Verdacht eines Virustyps immer 0.

In der Hilfe ist ein Bild des Reports wo 20 Virus-Körper, 6 gelöscht und bei Ähnlich der Virusvariante und bei Verdacht eines Virustyps 0 steht. Und bei infiziert Objekte 0!

Also was sind Virus-Körper wenn nicht Viren oder hat ein Virus mehrere Körper? Und warum gibt es dann keine infizierten Objekte??

Ich verstehe das Ganze überhaupt nicht mehr und in der Hilfe steht dazu überhaupt nichts drin! Auch nichts unter Suchen und Index.

Danke schon mal für die Auskunft!

[raman]

Schau mal ins Logfile. KAV sollte eines erstellt haben, bzw. lass mal eins erstellen. Mit der lite Variante kenne ich mich leider nicht aus. Ich hatte sie nur mal kurz installiert, konnte mich aber mit der Programmfuehrung nicht anfreunden.

[Rokop]

Wenn auf Deiner Platte z.B. 3 x Klez und 2 x Lovsan gefunden werden, meldet KAV 5 Infektionen und 2 Viruskörper. Ungefähr so ist es zu verstehen. In Deinem Fall könnten es jedoch heuristische Funde sein, denen kein genauer Viruskörper zuzuordnen ist. Um etwas genauer zu werden müsste man aber den genauen Wortlaut der Meldung kennen.

[wizard]

Such mal nach *.rpt Dateien von KAV. Dann hier posten oder an virus@rokop-security.de schicken.

wizard

[Internetfan1971]

Hallo!

Hier ist mal ein Ausschnitt des letzten Reportes lite_report.rep. Die Infektionen werden wenn ich es richtig sehe gleich am Anfang genannt. Ist jetzt nur ein Report der C-Partition.

;
;
#Dienstag, 2. September 2003, 20:38:46
<200.10c00.10101.2.103>
OK Warnung Verdacht Infiziert <200.904.1204.1304.e04>
Desinfiziert Gelöscht Umbenannt Wird nach dem Neustart gelöscht <200.b04.d04.c04.1b04>
Wird nach dem Neustart umbenannt Desinfektion erfolglos Komprimiert Archiv <200.1a04.a04.1004.1104>
Verschlüsselt Beschädigt Unbekanntes Format Durch Passwort geschützt <200.f04.704.1404.804>
Durch einen anderen Prozeß gesperrt Lesezugriff verweigert Zu wenig Platz auf der Festplatte I/O Fehler <200.304.504.604.404>
Kernelfehler Oberflächenfehler <200.204.104>
Objekt Ergebnis Beschreibung <100.3c00000c.f000018.19000010>
C:\SUHDLOG.BAK Archiv <ce0000.0.11>
C:\SUHDLOG.DAT Archiv <ce0000.0.11>
C:\SUHDLOG.--- Archiv <ce0000.0.11>
C:\IO.SYS Komprimiert <d70000.0.10>

Usw.

An Schluß steht dann

---------------------------
;
Gescannt:
;
Sektore: 0
Dateien: 17837
;
Gefunden:
;
Archive: 669
Komprimierte Dateien: 73
Virus-Körper: 0
Gegen Virus desinfiziert: 0
Gelöscht: 0
Ähnlich der Virusvariante: 0
Verdacht eines Virustypes: 0
Infizierte Objekte: 3
Fehler: 21
Dateien werden durch einen anderen Prozeß gesperrt: 0
;
;


Was jetzt die genaue Meldung am Schluß war weiß ich nicht mehr. Sinngemäß etwa so ähnlich

Während des Tests sind Fehler aufgetreten. Möchten Sie den Report sehen?

Weder während noch nach den Test gab es eine Meldung das Virus xy gefunden wurde!

Hier der komplette Report avpm.rpt. Welche Partition ich da gescannt hatte, weiß ich nicht mehr.


;
;
#Montag, 1. September 2003, 15:18:58
;
;
; Report-Datei erstellen = Ja
; Datei speichern unter = avpm.rpt
; Informationen über komprimierte Dateien im Report anzeigen = Nein
; Informationen über saubere Objekte im Report anzeigen = Nein
; Anhängen = Nein
; Maximale Größe festlegen auf (KB) = Ja
; Maximale Größe = 2048
; Vorgehen für infizierte Dateien: = Verschieben nach Ordner
; = Infected
; Quarantäne aktivieren = Ja
; Erlauben von Löschen oden Umbenennen der infizierten Verbundene Objekte = Nein
; Maximale Größe der Archive u.ä. Dateien beschränken auf(Kb) = Nein
;
;
;
; "Arbeitsplatz"
; Ausführung aktivieren = Ja
; Vorgehen für infizierte Dateien: = Benutzer fragen
; Wechseldatenträger scannen = Ja
; Lokale Festplatten scannen = Ja
; Netzwerklaufwerke scannen = Ja
; Dateien der folgenden Arten scannen: = Ausführbare Dateien
; Durch Maskierung ausschließen = Nein
; Sektoren scannen = Ja
; Arbeitsspeicher scannen = Ja
; Verbundene Objekte folgender Typen scannen: = Ja
; Archive = Nein
; SFX Archive = Ja
; Mail-Datenbanken = Nein
; Reine Text Mail = Nein
; Eingebettete Objekte = Ja
; Code Analyser aktivieren = Ja
;
;
<200.1000.10201.2.103>
OK Warnung Verdacht Infiziert <200.904.1204.1304.e04>
Desinfiziert Gelöscht Umbenannt Verschoben <200.b04.d04.c04.2204>
Wird nach dem Neustart gelöscht Wird nach dem Neustart umbenannt Desinfektion erfolglos Komprimiert <200.1b04.1a04.a04.1004>
Archiv Verschlüsselt Beschädigt Unbekanntes Format <200.1104.f04.704.1404>
Durch Kennwort geschützt Durch einen anderen Prozess gesperrt Lesezugriff verweigert Zu wenig Platz auf der Festplatte <200.804.304.504.604>
E/A-Fehler Verloren Kernel-Fehler Oberflächen-Fehler <200.404.1c04.204.104>
Objekt Ergebnis Beschreibung <100.3c00000c.f000018.19000010>

[wizard]

Kannst Du den ganzen Report mal an virus@rokop-security.de schicken? Der gepostete Auszug hilft leider nicht weiter.

wizard

[Internetfan1971]

Ja, auch wenn ich nicht so recht verstehe wieso dies nötig ist. Das Infektionen stattgefunden haben ist doch wohl klar, oder? Im ganzen Report wird aber weder der Virusname noch Ort und Name der infizierte Datei genant.

Ich habe irgendwo eine KAV 4.05 Personal Demo auf einer CD. Werde die erst mal morgen installieren und updaten. Hoffe das es geht!

Dan werde ich nochmal scannen und dann bekommst Du/Ihr den Report. Dort wird dann hoffentlich mehr drin stehten!

[wizard]

Das Infektionen stattgefunden haben ist doch wohl klar, oder?

Leider nein, denn

Im ganzen Report wird aber weder der Virusname noch Ort und Name der infizierte Datei genant.

wiederspricht dem ja. Kannst Du auch die genau Programmversion von KAV posten. Findet sich im Kontroll Center unter Komponenten.

wizard

[Internetfan1971]

So ich habe heute KAV Lite deinstalliert und KAV Antivirus Personal 4.05.37 von der PC Praxis CD-ROM 5/03 installiert. War keine Demo, sondern eine zeitlich begrenzte Vollversion. Ist jetzt gültig bis 27.11.03.

Interessant das es jetzt keine Bezeichnung Infizierte Objekte mehr gibt, heißt dort wohl Bekannte Viren und die Anzahl ist Null!

Merkwürdigerweise ist der Report der Lite Version entschieden ausführlicher als die der Personal. Ist vielleicht ja auch Einstellungssache? Kenne mich damit halt noch nicht aus.

Ist ja auch ziemlich egal, ich werde Euch einfach alles schicken was ich habe!

Ich habe mir Trojan Hunter 3.6 Demo über die Adresse im Forum heruntergeladen und da ich kein Autoupdate durchführen kann, habe ich das von der Homepage.

Gut, ich habe gescannt und nicht gut was gefunden!

Hier der Intensive Test, offline durchgeführt.


Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
No suspicious open ports found
Memory scan
No trojans found in memory
File scan
Found possible trojan file: C:\Programme\TVgenial\TVgenial.exe (Possible Latinus trojan)
Found trojan file: D:\WIN98SE\tools\reskit\netadmin\pwledit\pwledit.exe (Password-stealing trojan)
2 trojan files found
1 possible trojan files found


Der Schnelltest online durchgeführt

Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
Port 68/TCP is open (matches Subseven.100)
Memory scan
No trojans found in memory
File scan (autostarted files, running executables)
No trojan files found


Also laut Trojan Hunter ein identifizierter und ein potenzieller Trojaner und Subseven.

KAV Personal hatte nichts gefunden!

Ich schicke Euch gleich noch die beiden Dateien zum Scannen im Zip-Archiv.

Und Danke!!

[Internetfan1971]

Ich habe da irgendwelche Probleme mit der Mail. Die kommt später!

[Internetfan1971]

Die Mail wurde jetzt versandt!

[Rene-gad]

Ich habe mir Trojan Hunter 3.6 Demo
Gut, ich habe gescannt und nicht gut was gefunden!

...C:\Programme\TVgenial\TVgenial.exe (Possible Latinus trojan)
....D:\WIN98SE\tools\reskit\netadmin\pwledit\pwledit.exe (Password-stealing trojan)
2 trojan files found
1 possible trojan files found

hi Internetfan1971!
Warum ist für dich eine Demo-Version von Trojan Hunter mehr glaubwürdig, als KAV?
Schliesst du die Fehlalarme komplett aus?
Ein OL-Scan von Trendmicro?
Ein OL-Scan von PCFlank?
Dito für den Port 68 gezielt?
IMO du hast gar keinen Grund zur Panik: die beiden Programme könnte man maximal als Spy- oder Adware bezeichnen (weder Spybot noch Adaware noch AVG bei mir gaben ein Alarm für TVgenial aus ?!?)

[raman]

...C:\Programme\TVgenial\TVgenial.exe (Possible Latinus trojan)
....D:\WIN98SE\tools\reskit\netadmin\pwledit\pwledit.exe (Password-stealing trojan)

Habe ich fast uebersehen, das sollten beides Fehlalarme von TH sein. Aber Magnus wird da wohl mehr zu sagen, falls er diesen Thread lesen sollte.

[Rokop]

Ich weis nicht, ob Dir Wizard schon auf die Mail geantwortet hat, aber die gesendeten Dateien sind beide harmlos. Ich hatte bisher leider keine Möglichkeit, mir den Report richtig anzuschauen.

[Rene-gad]

hi @ll
diesen Passwort-Knacker kenne ich ehe gesagt nicht, aber TVGenial ist ein sehr nettes elektronische TV-Programm; leider seit einigen Monaten keine Freeware mehr, im Free-Modul sind nur 8 Sender inbegriffen

[wizard]

Ich hab' mir den Kram jetzt mal genauer angesehen. Die Anzeige von 3 infizierten Dateien ist IMHO definitiv ein Fehler von KAV Lite. Warum kann ich mir zwar auch nicht erklären, aber eine reelle Infektion hätte auch andere Einträge im Report erzeugt.

Found possible trojan file: C:\Programme\TVgenial\TVgenial.exe (Possible Latinus trojan)

Fehlalarm.

Found trojan file: D:\WIN98SE\tools\reskit\netadmin\pwledit\pwledit.exe (Password-stealing trojan)

Fehlalarm. Hier springt auch die Heuristik von TDS-3 an. Ist ja auch nicht sonderlich verwunderlich, da obigen M$ Tool Passwörter ausliest. Nichts anderes macht ein Password-stealing trojan.

Port 68/TCP is open (matches Subseven.100)

Das dürfte wohl auch ein Fehlalarm sein. Was Du allerdings prüfen solltest ist, ob der Port 68 bei Dir dauerhaft geöffnet ist.

wizard

[Rene-gad]

hi wizard,

Also laut Trojan Hunter ein identifizierter und ein potenzieller Trojaner und Subseven.

KAV Personal hatte nichts gefunden!

Die Anzeige von 3 infizierten Dateien ist IMHO definitiv ein Fehler von KAV Lite.

[wizard]

Die Aussage zu KAV Lite bezog sich auf die vorherigen Postings und nicht auf das Suchergebnis von TrojanHunter.

wizard

[Gast_Gladiator_*]

ROFL

HURRRRRRRRRRRRRRRRRRRRA

Endlich

...ein richtig krachender Verschreiber

[Gast_Gladiator_*]

Nachtrag: Schei sse