Bevor dich Escan mit seinen sonderbaren Meldungen verunsichert, nimm mal die org. KAV Scan-Only Version: http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/ (neuste Version herunterladen)

Stelle dein Antivir ein wie hier beschrieben: http://www.trojaner-board.de/showthread.php?t=54192

Was bedeutet "aus gegebenem Anlass" bei dir?

Hallo!

Zitat:

Zitat von raman

Was bedeutet "aus gegebenem Anlass" bei dir?

Das bedeutet, dass ich beim Einrichten eines Notebooks einen Routinescan mit Escan gemacht habe, bei dem diese merkwürdigen Ergebnisse herausgekommen sind. Daraufhin habe ich natürlich alle Rechner im Netzwerk kontrolliert.

Mein Antivir-Log für PC 1:

Versionsinformationen:
BUILD.DAT : 168 23343 Bytes 19.09.2007 13:57:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 06.09.2007 18:27:04
AVSCAN.DLL : 7.0.6.0 57384 Bytes 06.09.2007 18:27:04
LUKE.DLL : 7.0.5.3 147496 Bytes 06.09.2007 18:27:06
LUKERES.DLL : 7.0.6.0 10792 Bytes 06.09.2007 18:27:06
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 18:27:13
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 20:42:09
ANTIVIR2.VDF : 7.0.2.49 1339904 Bytes 25.01.2008 20:44:13
ANTIVIR3.VDF : 7.0.2.50 2048 Bytes 25.01.2008 20:44:13
AVEWIN32.DLL : 7.6.0.56 3215872 Bytes 25.01.2008 20:44:14
AVWINLL.DLL : 1.0.0.7 14376 Bytes 20.04.2007 04:54:10
AVPREF.DLL : 7.0.2.2 25640 Bytes 06.09.2007 18:27:04
AVREP.DLL : 7.0.0.1 155688 Bytes 20.04.2007 04:54:11
AVPACK32.DLL : 7.6.0.3 360488 Bytes 15.01.2008 20:51:29
AVREG.DLL : 7.0.1.6 30760 Bytes 06.09.2007 18:27:04
AVARKT.DLL : 1.0.0.20 278568 Bytes 06.09.2007 18:27:03
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 06.09.2007 18:27:04
NETNT.DLL : 7.0.0.0 7720 Bytes 20.04.2007 04:54:10
RCIMAGE.DLL : 7.0.1.32 2875432 Bytes 05.09.2007 18:29:18
RCTEXT.DLL : 7.0.62.0 90152 Bytes 05.09.2007 18:29:18
SQLITE3.DLL : 3.3.17.1 339968 Bytes 06.09.2007 18:27:06

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\sicherheit\avira premium security suite\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: Z:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Sonntag, 27. Januar 2008 17:59

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\enum
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\parameters
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\security
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\servicebinary
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\group
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\imagepath
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\errorcontrol
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\start
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\type
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\tag
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '33751' Objekte überprüft, '10' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'regetdx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ScanningProcess' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mwavscan.com' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vc7tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Transparent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RCPServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VC7Play.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsusProb.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InstantAccess.e' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.ex' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WFXSNT40.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'devldr32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WFXMOD32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WFXSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VC7SecS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'trayman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NTStart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'regsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GemServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FolderSizeSvc.e' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTsvcCDA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKKBService.ex' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '49' Prozesse mit '49' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'K:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'L:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'M:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '22' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <*>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <*>
Beginne mit der Suche in 'E:\' <*>
E:\*\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <001001c756c9$275225d0$2201a8c0@botteri>][From: "Sparkasse Finanzportal GmbH. Support" <custome][Subject: Sparkasse Finanzportal informiert Sie ]334.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/SparBkfraud.5
[1] Archivtyp: MIME
--> file0.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/SparBkfraud.5
--> Mailbox_[Message-ID: <01c81484$ee13c210$62681657@fulvia.danby>][From: "Jerome Anaya" <fulvia.danby@vonwurden.dk>][Subject: Hot pictures]2236.mim
[1] Archivtyp: MIME
--> angel.zip
[2] Archivtyp: ZIP
--> angel.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Ntech.N
[WARNUNG] Die Datei wurde ignoriert.
E:\*\gelesen.sbd\Freunde.sbd\*
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <001401c41e12$6f966b70$fe7aa8c0@homer>][From: "*>][Subject: Re: an den Osterhasen]80.mim
[1] Archivtyp: MIME
--> file1.html
[FUND] Ist das Trojanische Pferd TR/StartPage.FI
[WARNUNG] Die Datei wurde ignoriert.
Beginne mit der Suche in 'F:\' <*>
Beginne mit der Suche in 'G:\' <*>
Beginne mit der Suche in 'H:\' <*>
Beginne mit der Suche in 'I:\' <*>
Beginne mit der Suche in 'J:\' <*>
Beginne mit der Suche in 'K:\' <*>
Beginne mit der Suche in 'L:\' <*>
Beginne mit der Suche in 'M:\' <*>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'X:\' <*>
Beginne mit der Suche in 'Y:\'
Der zu durchsuchende Pfad Y:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'Z:\'
Der zu durchsuchende Pfad Z:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Sonntag, 27. Januar 2008 21:05
Benötigte Zeit: 3:05:56 min

Der Suchlauf wurde vollständig durchgeführt.

16181 Verzeichnisse wurden überprüft
558394 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
558390 Dateien ohne Befall
13134 Archive wurden durchsucht
3 Warnungen
34 Hinweise
33751 Objekte wurden beim Rootkitscan durchsucht
10 Versteckte Objekte wurden gefunden



Die angegebene Email dieses ominösen Sparkassen Portals ist übrigens nicht aufzufinden.

LG

Ja, das ist halt diese "Escankrankheit". Das ist, zusammen mit dem ungewollten erstellen von Ordnern im Windowsverzeichniss, ein Grund, das man Escan nicht nutzen sollte, schon garnicht wenn es sich um unerfahrene User handelt, das kann einem extrem verunsichern!

Daher auch die Bitte, die KAV scan-only Version zu nehmen. Die Erkennung ist die Gleiche, gereinigt wird auch und die Fehlalarme bleiben aus. Hat der Scan mit KAV noch etwas ergeben?

Zu der nicht auffindbaren Email. Du musst den entsprechenden Ordner erst komprimieren lassen. Dann ist die Mail auch weg

Hi,

ich kann das AVPTool nicht installieren - er bricht immer vorzeitig ab. Probiere es weiter...

Was fuer eine Fehlermeldung gibt es?

Hi,

zuerst kommt eine Aufforderung, dass ein Scan im abgesicherten Modus nötig ist (- das passiert übrigens auch, wenn ich wärend der Installation bereits im abgesicherten Modus bin), dann geht die Installation weiter und wenn Sie fertig ist, öffnet sich eine Dialogbox mit der Nachricht, dass die setup-Datei einen Fehler verursacht hat und dass ein Fehlerprotokoll erstellt wird. Frage ist nur, wo... Die Protokolle unter der Windowsverwaltung können offenbar nicht gemeint sein - da taucht jedenfalls nichts vergleichbares auf.

Gruß

Warum hast du denn im abgesicherten Modus installiert? Das geht bei einigen Programmen garnicht, da sie bestimmte Dateien brauchen, die im abgesicherten Modus nicht installiert/geladen sind.

Ansonsten mache bitte den Scan mit Drweb.