Was heißt infiziert bei KAV |
Willkommen, Gast ( Anmelden | Registrierung )
Was heißt infiziert bei KAV |
02.09.2003, 18:34
Beitrag
#1
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Hallo!
Ich habe mir von der CHIP-CD-ROM Kaspersky Anti-Virus Lite installiert und meine beiden Festplatten bzw. genauer die einzelnen Partitionen einzeln gescannt. Ich bin jetzt aber irritiert. Und die Hilfe bringt mich nicht weiter und hat mich noch weiter verwirrt! Immer wieder wurden mir infizierte Objekte gemeldet, aber keine Virus-Körper, Ähnlich der Virusvariante und bei Verdacht eines Virustyps immer 0. In der Hilfe ist ein Bild des Reports wo 20 Virus-Körper, 6 gelöscht und bei Ähnlich der Virusvariante und bei Verdacht eines Virustyps 0 steht. Und bei infiziert Objekte 0! Also was sind Virus-Körper wenn nicht Viren oder hat ein Virus mehrere Körper? Und warum gibt es dann keine infizierten Objekte?? Ich verstehe das Ganze überhaupt nicht mehr und in der Hilfe steht dazu überhaupt nichts drin! Auch nichts unter Suchen und Index. Danke schon mal für die Auskunft! -------------------- Gruß
Internetfan1971 |
|
|
02.09.2003, 18:41
Beitrag
#2
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Schau mal ins Logfile. KAV sollte eines erstellt haben, bzw. lass mal eins erstellen. Mit der lite Variante kenne ich mich leider nicht aus. Ich hatte sie nur mal kurz installiert, konnte mich aber mit der Programmfuehrung nicht anfreunden.
-------------------- MfG Ralf
|
|
|
02.09.2003, 18:58
Beitrag
#3
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Wenn auf Deiner Platte z.B. 3 x Klez und 2 x Lovsan gefunden werden, meldet KAV 5 Infektionen und 2 Viruskörper. Ungefähr so ist es zu verstehen. In Deinem Fall könnten es jedoch heuristische Funde sein, denen kein genauer Viruskörper zuzuordnen ist. Um etwas genauer zu werden müsste man aber den genauen Wortlaut der Meldung kennen.
-------------------- (-- Roman --)
|
|
|
02.09.2003, 19:07
Beitrag
#4
|
|
Trojaner-Jäger Gruppe: Mitarbeiter Beiträge: 1.156 Mitglied seit: 15.04.2003 Wohnort: Düsseldorf Mitglieds-Nr.: 23 Betriebssystem: WinXP, MacOS 10.6, Vista |
Such mal nach *.rpt Dateien von KAV. Dann hier posten oder an virus@rokop-security.de schicken.
wizard -------------------- wizardRESEARCH - Malware Research & Analysis since 1989
|
|
|
02.09.2003, 21:53
Beitrag
#5
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Hallo!
Hier ist mal ein Ausschnitt des letzten Reportes lite_report.rep. Die Infektionen werden wenn ich es richtig sehe gleich am Anfang genannt. Ist jetzt nur ein Report der C-Partition. ; ; #Dienstag, 2. September 2003, 20:38:46 <200.10c00.10101.2.103> OK Warnung Verdacht Infiziert <200.904.1204.1304.e04> Desinfiziert Gelöscht Umbenannt Wird nach dem Neustart gelöscht <200.b04.d04.c04.1b04> Wird nach dem Neustart umbenannt Desinfektion erfolglos Komprimiert Archiv <200.1a04.a04.1004.1104> Verschlüsselt Beschädigt Unbekanntes Format Durch Passwort geschützt <200.f04.704.1404.804> Durch einen anderen Prozeß gesperrt Lesezugriff verweigert Zu wenig Platz auf der Festplatte I/O Fehler <200.304.504.604.404> Kernelfehler Oberflächenfehler <200.204.104> Objekt Ergebnis Beschreibung <100.3c00000c.f000018.19000010> C:\SUHDLOG.BAK Archiv <ce0000.0.11> C:\SUHDLOG.DAT Archiv <ce0000.0.11> C:\SUHDLOG.--- Archiv <ce0000.0.11> C:\IO.SYS Komprimiert <d70000.0.10> Usw. An Schluß steht dann --------------------------- ; Gescannt: ; Sektore: 0 Dateien: 17837 ; Gefunden: ; Archive: 669 Komprimierte Dateien: 73 Virus-Körper: 0 Gegen Virus desinfiziert: 0 Gelöscht: 0 Ähnlich der Virusvariante: 0 Verdacht eines Virustypes: 0 Infizierte Objekte: 3 Fehler: 21 Dateien werden durch einen anderen Prozeß gesperrt: 0 ; ; Was jetzt die genaue Meldung am Schluß war weiß ich nicht mehr. Sinngemäß etwa so ähnlich Während des Tests sind Fehler aufgetreten. Möchten Sie den Report sehen? Weder während noch nach den Test gab es eine Meldung das Virus xy gefunden wurde! Hier der komplette Report avpm.rpt. Welche Partition ich da gescannt hatte, weiß ich nicht mehr. ; ; #Montag, 1. September 2003, 15:18:58 ; ; ; Report-Datei erstellen = Ja ; Datei speichern unter = avpm.rpt ; Informationen über komprimierte Dateien im Report anzeigen = Nein ; Informationen über saubere Objekte im Report anzeigen = Nein ; Anhängen = Nein ; Maximale Größe festlegen auf (KB) = Ja ; Maximale Größe = 2048 ; Vorgehen für infizierte Dateien: = Verschieben nach Ordner ; = Infected ; Quarantäne aktivieren = Ja ; Erlauben von Löschen oden Umbenennen der infizierten Verbundene Objekte = Nein ; Maximale Größe der Archive u.ä. Dateien beschränken auf(Kb) = Nein ; ; ; ; "Arbeitsplatz" ; Ausführung aktivieren = Ja ; Vorgehen für infizierte Dateien: = Benutzer fragen ; Wechseldatenträger scannen = Ja ; Lokale Festplatten scannen = Ja ; Netzwerklaufwerke scannen = Ja ; Dateien der folgenden Arten scannen: = Ausführbare Dateien ; Durch Maskierung ausschließen = Nein ; Sektoren scannen = Ja ; Arbeitsspeicher scannen = Ja ; Verbundene Objekte folgender Typen scannen: = Ja ; Archive = Nein ; SFX Archive = Ja ; Mail-Datenbanken = Nein ; Reine Text Mail = Nein ; Eingebettete Objekte = Ja ; Code Analyser aktivieren = Ja ; ; <200.1000.10201.2.103> OK Warnung Verdacht Infiziert <200.904.1204.1304.e04> Desinfiziert Gelöscht Umbenannt Verschoben <200.b04.d04.c04.2204> Wird nach dem Neustart gelöscht Wird nach dem Neustart umbenannt Desinfektion erfolglos Komprimiert <200.1b04.1a04.a04.1004> Archiv Verschlüsselt Beschädigt Unbekanntes Format <200.1104.f04.704.1404> Durch Kennwort geschützt Durch einen anderen Prozess gesperrt Lesezugriff verweigert Zu wenig Platz auf der Festplatte <200.804.304.504.604> E/A-Fehler Verloren Kernel-Fehler Oberflächen-Fehler <200.404.1c04.204.104> Objekt Ergebnis Beschreibung <100.3c00000c.f000018.19000010> -------------------- Gruß
Internetfan1971 |
|
|
02.09.2003, 22:18
Beitrag
#6
|
|
Trojaner-Jäger Gruppe: Mitarbeiter Beiträge: 1.156 Mitglied seit: 15.04.2003 Wohnort: Düsseldorf Mitglieds-Nr.: 23 Betriebssystem: WinXP, MacOS 10.6, Vista |
Kannst Du den ganzen Report mal an virus@rokop-security.de schicken? Der gepostete Auszug hilft leider nicht weiter.
wizard -------------------- wizardRESEARCH - Malware Research & Analysis since 1989
|
|
|
02.09.2003, 23:17
Beitrag
#7
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Ja, auch wenn ich nicht so recht verstehe wieso dies nötig ist. Das Infektionen stattgefunden haben ist doch wohl klar, oder? Im ganzen Report wird aber weder der Virusname noch Ort und Name der infizierte Datei genant.
Ich habe irgendwo eine KAV 4.05 Personal Demo auf einer CD. Werde die erst mal morgen installieren und updaten. Hoffe das es geht! Dan werde ich nochmal scannen und dann bekommst Du/Ihr den Report. Dort wird dann hoffentlich mehr drin stehten! -------------------- Gruß
Internetfan1971 |
|
|
03.09.2003, 07:51
Beitrag
#8
|
|
Trojaner-Jäger Gruppe: Mitarbeiter Beiträge: 1.156 Mitglied seit: 15.04.2003 Wohnort: Düsseldorf Mitglieds-Nr.: 23 Betriebssystem: WinXP, MacOS 10.6, Vista |
ZITAT(Internetfan1971 @ 3. September 2003, 00:16) Das Infektionen stattgefunden haben ist doch wohl klar, oder? Leider nein, denn ZITAT Im ganzen Report wird aber weder der Virusname noch Ort und Name der infizierte Datei genant. wiederspricht dem ja. Kannst Du auch die genau Programmversion von KAV posten. Findet sich im Kontroll Center unter Komponenten. wizard -------------------- wizardRESEARCH - Malware Research & Analysis since 1989
|
|
|
03.09.2003, 16:48
Beitrag
#9
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
So ich habe heute KAV Lite deinstalliert und KAV Antivirus Personal 4.05.37 von der PC Praxis CD-ROM 5/03 installiert. War keine Demo, sondern eine zeitlich begrenzte Vollversion. Ist jetzt gültig bis 27.11.03.
Interessant das es jetzt keine Bezeichnung Infizierte Objekte mehr gibt, heißt dort wohl Bekannte Viren und die Anzahl ist Null! Merkwürdigerweise ist der Report der Lite Version entschieden ausführlicher als die der Personal. Ist vielleicht ja auch Einstellungssache? Kenne mich damit halt noch nicht aus. Ist ja auch ziemlich egal, ich werde Euch einfach alles schicken was ich habe! Ich habe mir Trojan Hunter 3.6 Demo über die Adresse im Forum heruntergeladen und da ich kein Autoupdate durchführen kann, habe ich das von der Homepage. Gut, ich habe gescannt und nicht gut was gefunden! Hier der Intensive Test, offline durchgeführt. Registry scan No suspicious entries found Inifile scan No suspicious entries found Port scan No suspicious open ports found Memory scan No trojans found in memory File scan Found possible trojan file: C:\Programme\TVgenial\TVgenial.exe (Possible Latinus trojan) Found trojan file: D:\WIN98SE\tools\reskit\netadmin\pwledit\pwledit.exe (Password-stealing trojan) 2 trojan files found 1 possible trojan files found Der Schnelltest online durchgeführt Registry scan No suspicious entries found Inifile scan No suspicious entries found Port scan Port 68/TCP is open (matches Subseven.100) Memory scan No trojans found in memory File scan (autostarted files, running executables) No trojan files found Also laut Trojan Hunter ein identifizierter und ein potenzieller Trojaner und Subseven. KAV Personal hatte nichts gefunden! Ich schicke Euch gleich noch die beiden Dateien zum Scannen im Zip-Archiv. Und Danke!! -------------------- Gruß
Internetfan1971 |
|
|
03.09.2003, 17:00
Beitrag
#10
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Ich habe da irgendwelche Probleme mit der Mail. Die kommt später!
-------------------- Gruß
Internetfan1971 |
|
|
03.09.2003, 18:17
Beitrag
#11
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Die Mail wurde jetzt versandt!
-------------------- Gruß
Internetfan1971 |
|
|
04.09.2003, 15:30
Beitrag
#12
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.092 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
ZITAT(Internetfan1971 @ 3. September 2003, 17:47) Ich habe mir Trojan Hunter 3.6 Demo Gut, ich habe gescannt und nicht gut was gefunden! ...C:\Programme\TVgenial\TVgenial.exe (Possible Latinus trojan) ....D:\WIN98SE\tools\reskit\netadmin\pwledit\pwledit.exe (Password-stealing trojan) 2 trojan files found 1 possible trojan files found hi Internetfan1971! Warum ist für dich eine Demo-Version von Trojan Hunter mehr glaubwürdig, als KAV? Schliesst du die Fehlalarme komplett aus? Ein OL-Scan von Trendmicro? Ein OL-Scan von PCFlank? Dito für den Port 68 gezielt? IMO du hast gar keinen Grund zur Panik: die beiden Programme könnte man maximal als Spy- oder Adware bezeichnen (weder Spybot noch Adaware noch AVG bei mir gaben ein Alarm für TVgenial aus ?!?) -------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
04.09.2003, 16:17
Beitrag
#13
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
ZITAT(Rene-gad @ 4. September 2003, 16:29) ...C:\Programme\TVgenial\TVgenial.exe (Possible Latinus trojan) ....D:\WIN98SE\tools\reskit\netadmin\pwledit\pwledit.exe (Password-stealing trojan) Habe ich fast uebersehen, das sollten beides Fehlalarme von TH sein. Aber Magnus wird da wohl mehr zu sagen, falls er diesen Thread lesen sollte. -------------------- MfG Ralf
|
|
|
04.09.2003, 16:40
Beitrag
#14
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Ich weis nicht, ob Dir Wizard schon auf die Mail geantwortet hat, aber die gesendeten Dateien sind beide harmlos. Ich hatte bisher leider keine Möglichkeit, mir den Report richtig anzuschauen.
-------------------- (-- Roman --)
|
|
|
04.09.2003, 17:42
Beitrag
#15
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.092 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
hi @ll
diesen Passwort-Knacker kenne ich ehe gesagt nicht, aber TVGenial ist ein sehr nettes elektronische TV-Programm; leider seit einigen Monaten keine Freeware mehr, im Free-Modul sind nur 8 Sender inbegriffen -------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
05.09.2003, 10:50
Beitrag
#16
|
|
Trojaner-Jäger Gruppe: Mitarbeiter Beiträge: 1.156 Mitglied seit: 15.04.2003 Wohnort: Düsseldorf Mitglieds-Nr.: 23 Betriebssystem: WinXP, MacOS 10.6, Vista |
Ich hab' mir den Kram jetzt mal genauer angesehen. Die Anzeige von 3 infizierten Dateien ist IMHO definitiv ein Fehler von KAV Lite. Warum kann ich mir zwar auch nicht erklären, aber eine reelle Infektion hätte auch andere Einträge im Report erzeugt.
ZITAT Found possible trojan file: C:\Programme\TVgenial\TVgenial.exe (Possible Latinus trojan) Fehlalarm. ZITAT Found trojan file: D:\WIN98SE\tools\reskit\netadmin\pwledit\pwledit.exe (Password-stealing trojan) Fehlalarm. Hier springt auch die Heuristik von TDS-3 an. Ist ja auch nicht sonderlich verwunderlich, da obigen M$ Tool Passwörter ausliest. Nichts anderes macht ein Password-stealing trojan. ZITAT Port 68/TCP is open (matches Subseven.100) Das dürfte wohl auch ein Fehlalarm sein. Was Du allerdings prüfen solltest ist, ob der Port 68 bei Dir dauerhaft geöffnet ist. wizard -------------------- wizardRESEARCH - Malware Research & Analysis since 1989
|
|
|
05.09.2003, 11:09
Beitrag
#17
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.092 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
hi wizard,
ZITAT Also laut Trojan Hunter ein identifizierter und ein potenzieller Trojaner und Subseven. KAV Personal hatte nichts gefunden! ZITAT Die Anzeige von 3 infizierten Dateien ist IMHO definitiv ein Fehler von KAV Lite. -------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
05.09.2003, 11:15
Beitrag
#18
|
|
Trojaner-Jäger Gruppe: Mitarbeiter Beiträge: 1.156 Mitglied seit: 15.04.2003 Wohnort: Düsseldorf Mitglieds-Nr.: 23 Betriebssystem: WinXP, MacOS 10.6, Vista |
Die Aussage zu KAV Lite bezog sich auf die vorherigen Postings und nicht auf das Suchergebnis von TrojanHunter.
wizard -------------------- wizardRESEARCH - Malware Research & Analysis since 1989
|
|
|
Gast_Gladiator_* |
05.09.2003, 11:17
Beitrag
#19
|
Gäste |
ROFL
HURRRRRRRRRRRRRRRRRRRRA Endlich ...ein richtig krachender Verschreiber |
|
|
Gast_Gladiator_* |
05.09.2003, 11:18
Beitrag
#20
|
Gäste |
Nachtrag: Schei sse
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 14.06.2024, 04:18 |