mwav escan 7, "Verkaufsförderer" inside ? Einstellungen

[Gast_Jens1962_*]

Ich habe mir mal die neue Version von escan kurz angesehen. Seltsames Teil, startet man die Download-Datei, dann installiert sich das Proggi ins temp-Verzeichnis. danach startet es, fragt das Einverständnis ab und es kann jetzt Deutsch. Ein manuelles Entpacken in ein anderes Verzeichnis, wie das gewohnte bases_x funktioniert auch.
Bei einem 1. Scan die übliche Prozedur, ein Fund (oh Schreck ) und der Hinweis, daß man zum Beseitigen Geld ausgeben muß, also wie gehabt. Was mich stutzig gemacht hat, waren die Funde:

Fri Sep 02 12:30:40 2005 => System found infected with netster Spyware/Adware
({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
Fri Sep 02 12:30:42 2005 => System found infected with SpywareNo!/SpySheriff Commercial
KeyLogger ({ca4fc24b-c65c-11d1-aa6f-000000000000})! Action taken: Keine Aktion vorgenommen.
Fri Sep 02 12:30:42 2005 => System found infected with SpywareNo!/SpySheriff Commercial
KeyLogger ({ddd136ce-517b-11d2-ad03-00105a17b608})! Action taken: Keine Aktion vorgenommen.
Fri Sep 02 12:30:42 2005 => System found infected with SpywareNo!/SpySheriff Commercial
KeyLogger ({4f99a075-5227-11d2-ad06-00105a17b608})! Action taken: Keine Aktion vorgenommen.
Fri Sep 02 12:30:42 2005 => System found infected with SpywareNo!/SpySheriff Commercial
KeyLogger ({371d0743-7a57-11d2-ad5a-00105a17b608})! Action taken: Keine Aktion vorgenommen.
Fri Sep 02 12:30:42 2005 => System found infected with SpywareNo!/SpySheriff Commercial
KeyLogger ({e9d55102-9683-11d2-ba68-0040053687fe})! Action taken: Keine Aktion vorgenommen.
Fri Sep 02 12:30:42 2005 => System found infected with SpywareNo!/SpySheriff Commercial
KeyLogger ({0c1f87ae-ae62-11d3-911c-00105a17b608})! Action taken: Keine Aktion vorgenommen.
Fri Sep 02 12:30:42 2005 => System found infected with SpywareNo!/SpySheriff Commercial
KeyLogger ({b22fe43c-d1e8-432a-a862-9f83d5f04732})! Action taken: Keine Aktion vorgenommen.
Fri Sep 02 12:30:43 2005 => Offending value found in HKCU\Software\gnu !!!
Fri Sep 02 12:30:43 2005 => Object "bearshare Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.
Fri Sep 02 12:30:49 2005 => Object "abxtoolbar Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.

Fri Sep 02 12:31:09 2005 => Offending file found: C:\WINDOWS\system32\file_id.diz
Fri Sep 02 12:31:09 2005 => System found infected with Midnight Oil Spyware/Adware (file_id.diz)! Action taken: Keine Aktion vorgenommen.
Fri Sep 02 12:31:18 2005 => Offending file found: C:\WINDOWS\system32\plugin.dll
Fri Sep 02 12:31:18 2005 => System found infected with 007guard.com hijacker Spyware/Adware (plugin.dll)! Action taken: Keine Aktion vorgenommen.
Fri Sep 02 12:31:30 2005 => Offending file found: C:\WINDOWS\system32\DartSock.dll
Fri Sep 02 12:31:30 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger (DartSock.dll)! Action taken: Keine Aktion vorgenommen.

Die Funde in der Registry habe ich weggelassen, die verwirren nur. Das Einzige, was wirklich zu stimmen scheint, sind die ungenutzten Dateiendungen.

Ich habe auf das System den Norton, AntiVir, Panda-online, ewido, Adaware, Spybot, MS-Antispyware und a² angesetzt - einhellige Meinung: der Rechner ist sauber.
Die "file_id.diz" ist eine Textdatei mit dem Inhalt

Lame Ain't MP3 Encoder [Win32]

, die "plugin.dll" gehört zu Adobe und die "DartSock.dll" ordne ich vom Ursprung her dieser Firma zu. Welches Programm diese Komponente/n (es sind mehrere von dieser Firma auf diesem Rechner) verwendet, weiß ich nicht.

Ich bin gerade dabei, diesen Rechner neu aufzubauen und werde diesen Test nicht wiederholen (ist nicht meiner), vielleicht kann ja mal eine/r von Euch sich diese Version ansehen. Als Fazit bin ich dankbar dafür, daß dieses Programm seine "Funde" nicht bereinigen kann.

Jens

Ich schreibe mal Klammer-r-Klammer: ® Muß das sein?

[Rene-gad]

@Jens1962

Ich habe auf das System den Norton, AntiVir, Panda-online, ewido, Adaware, Spybot, MS-Antispyware und a² angesetzt - einhellige Meinung: der Rechner ist sauber.

Es ist auch so, d.h. es besteht keine unmittelbare Gefahr. AFAIU befinden sich die Funde von eScan in %systemdrive%\Programme\InstallShield Installation Information - Ordner, der on default unsichtbar ist. Es ist durchaus möglich, dass von dir genannte Programme solche Ordner einfach ignorieren.
Ich habe vor Kurzem KAV5 vs. Trendmicro11 getestet. KAV hat an meinem PC mehr als 1 Mio. Dateien (ja, ich habe viele kleine Dateien drauf ) gescannt, TM - nur ca. 750.000. Beide Programme hatten die Aufgabe "Alle Dateien, Alle Ordner" zu scannen.
PS: Du kannst mal Spaßes halber die Dateien von diesen Ordner bei jotti oder virustotal checken lassen.

[Gast_Jens1962_*]

Ich habe mir die Dateien nochmal aus dem Backup geholt, mit denen ist nichts.
Die anderen Sachen gehören zum Real-Player, zu einem TCP-controller, zu einem FTP-Dingens usw.
Einem unbedarften User sollte man so ein Tool nicht unbedingt in die Hände geben, nur unter Aufsicht. In diesem Fall wären wohl einige Programme grundlos zerschossen worden.

Jens