Ich habe jetzt einen neuen Threat gemacht,weil das andere ja abgeschlossen ist.
Ich möchte meine externe Festplatte überprüfen.Nur diese Festplatte.Sie trägt den Buchstaben C.Ich habe jetzt alle EScan Daten gelöscht.Den EScan frisch auf die besagte externe Festplatte runtergeladen und wollte mit dem scannen starten.Aber er scannt immer erst auf der normalen Festplatte,wo das Betriebssystem drauf ist (bei mir das E).Ist das normal?Auch zeigt er dann gleich 2 "grokster Spyware/Adware" an.Seltsam auch dass im abgesicherten Modus bei der Festplatte E,wo das Betreibssystem drauf ist immer alles ok ist,also sauber und wenn die Prüfung während des normalen Modus läuft,zeigt es 2 "grokster Spyware/Adware" an.

Habe ich jetzt einen Virus oder nicht?WErde im anschluss den log posten.


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 10/24/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\magnet !!!
Offending Key found: HKCR\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\program files\Musicmatch\Musicmatch Update\MMJB\TDM\TDMInstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
E:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 31686
Gefundene Viren: 2
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 8
Dauer des Scans bisher: 00:07:59
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Deaktiviert
System-Ordner Überprüfung: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Deaktiviert
Überprüfung der Festplatten: Aktiviert
Überprüfung aller Festplatten eaktiviert

Batchstart: 8:20:51.29
Batchende: 8:20:54.43

Was sind das für Funde auf der externen Platte?Ich habe auch noch den Editor Log gepostet,da ich finde der obere von Find.bat sieht irgendwie nicht fertig aus.Habe einfach alle wichtigen Pasagen aus dem Editor hier rein kopiert.

Vielen Dank für die Hilfe.

Fri Oct 26 08:05:36 2007 => Optionen vom Benutzer ausgewählt:
Fri Oct 26 08:05:36 2007 => Specherüberprüfung: Aktiviert
Fri Oct 26 08:05:36 2007 => Registry Überprüfung: Deaktiviert
Fri Oct 26 08:05:36 2007 => StartUp-Ordner Überprüfung: Deaktiviert
Fri Oct 26 08:05:36 2007 => System-Ordner Überprüfung: Deaktiviert
Fri Oct 26 08:05:36 2007 => Überprüfung der Systembereiche: Deaktiviert
Fri Oct 26 08:05:36 2007 => Überprüfung der Dienste: Deaktiviert
Fri Oct 26 08:05:36 2007 => Überprüfung der Festplatten: Aktiviert
Fri Oct 26 08:05:36 2007 => Überprüfung aller Festplatten eaktiviert
Fri Oct 26 08:05:36 2007 => Festplatte gewählt = C:\
Fri Oct 26 08:05:36 2007 => Verzeichniss Überprüfung: Deaktiviert
Fri Oct 26 08:05:44 2007 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Fri Oct 26 08:05:44 2007 => Loading Spyware Signatures from new External Database [Name: E:\DOKUME~1\*\LOKALE~1\Temp\spydb.avs, Size: 255868].
Fri Oct 26 08:05:44 2007 => Indexed Spyware Databases Successfully Created...

Fri Oct 26 08:05:46 2007 => Offending Key found: HKCU\Software\magnet !!!
Fri Oct 26 08:05:46 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Fri Oct 26 08:05:47 2007 => Offending Key found: HKCR\magnet !!!
Fri Oct 26 08:05:47 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Fri Oct 26 08:05:55 2007 => Checking MountPoints2 Registry Key...
Fri Oct 26 08:05:55 2007 => Checking CLSID Reference Entries...
Fri Oct 26 08:05:55 2007 => Entry "HKCR\ComPlusMetaData.MsCorHost" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Fri Oct 26 08:05:55 2007 => Entry "HKCR\ComPlusMetaData.MsCorHost.2" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Fri Oct 26 08:05:55 2007 => Entry "HKCR\DSP.DSP" verweist auf das ungültige Objekt "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Fri Oct 26 08:05:55 2007 => Entry "HKCR\DSP.DSPDMOProp_Chorus.1" verweist auf das ungültige Objekt "{6F63B172-5543-4593-91CE-EDBA65B9FACDB}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Fri Oct 26 08:05:56 2007 => Entry "HKCR\SymWriter.pdb" verweist auf das ungültige Objekt "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Fri Oct 26 08:05:57 2007 => Checking Module Usage Entries...
Fri Oct 26 08:05:57 2007 => Checking User Trusted External App Entries...
Fri Oct 26 08:05:57 2007 => Checking Shared DLL Entries...
Fri Oct 26 08:05:57 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Fri Oct 26 08:05:57 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "E:\Programme\InterVideo\Common\Bin\IVIPromotion.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Fri Oct 26 08:13:34 2007 => ***** Überprüfe spezielle ITW Viren *****
Fri Oct 26 08:13:34 2007 => Überprüfe auf Welchia Virus...
Fri Oct 26 08:13:34 2007 => Überprüfe auf LovGate Virus...
Fri Oct 26 08:13:34 2007 => Überprüfe auf CodeRed Virus...
Fri Oct 26 08:13:34 2007 => Überprüfe auf OpaServ Virus...
Fri Oct 26 08:13:34 2007 => Überprüfe auf Sobig.e Virus...
Fri Oct 26 08:13:34 2007 => Überprüfe auf Winupie Virus...
Fri Oct 26 08:13:34 2007 => Überprüfe auf Swen Virus...
Fri Oct 26 08:13:34 2007 => Überprüfe auf JS.Fortnight Virus...
Fri Oct 26 08:13:34 2007 => Überprüfe auf Novarg Virus...
Fri Oct 26 08:13:34 2007 => Überprüfe auf Pagabot Virus...
Fri Oct 26 08:13:34 2007 => Überprüfe auf Parite.b Virus...
Fri Oct 26 08:13:34 2007 => Überprüfe auf Parite.a Virus...
Fri Oct 26 08:13:34 2007 => Überprüfe auf Adware.SeekSeek Virus...

Fri Oct 26 08:13:34 2007 => ***** Scan vollständig. *****

Fri Oct 26 08:13:34 2007 => Gescannte Dateien: 31686
Fri Oct 26 08:13:34 2007 => Gefundene Viren: 2
Fri Oct 26 08:13:34 2007 => Anzahl der desinfizierten Dateien: 0
Fri Oct 26 08:13:34 2007 => Umbenannte Dateien: 0
Fri Oct 26 08:13:34 2007 => Anzahl der gelöschten Dateien: 0
Fri Oct 26 08:13:34 2007 => Anzahl Fehler: 8
Fri Oct 26 08:13:34 2007 => Dauer des Scans bisher: 00:07:59
Fri Oct 26 08:13:34 2007 => Virus-Datenbank Datum: 10/24/2007
Fri Oct 26 08:13:34 2007 => Virus-Datenbank Zähler: 443589

Fri Oct 26 08:13:34 2007 => Scan vollständig.

Zitat:

Zitat von sagen

Ich habe jetzt alle EScan Daten gelöscht.Den EScan frisch auf die besagte externe Festplatte runtergeladen und wollte mit dem scannen starten.Aber er scannt immer erst auf der normalen Festplatte,wo das Betriebssystem drauf ist (bei mir das E).Ist das normal?

Schätzelein, schau dir das Programm doch mal an. Im oberen Bereich des Programmfensters legst du die Scanoptionen und damit auch den Scanbereich fest. Setze das Häkchen NUR bei Ordner, wähle c:\ aus und schließe die Unterordner mit ein. That's it.

Zitat:

Habe ich jetzt einen Virus oder nicht?WErde im anschluss den log posten.

Nein, gleicher Fehlalarm wie im anderen thread.

ok,das habe ich gesehen.Er hat das C gescannt,laut log.

Wenn es kein Virus ist,was ist dann das unten?Was muss ich tun?

Fri Oct 26 08:05:44 2007 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Fri Oct 26 08:05:44 2007 => Loading Spyware Signatures from new External Database [Name: E:\DOKUME~1\*\LOKALE~1\Temp\spydb.avs, Size: 255868].
Fri Oct 26 08:05:44 2007 => Indexed Spyware Databases Successfully Created...

Fri Oct 26 08:05:46 2007 => Offending Key found: HKCU\Software\magnet !!!
Fri Oct 26 08:05:46 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Fri Oct 26 08:05:47 2007 => Offending Key found: HKCR\magnet !!!
Fri Oct 26 08:05:47 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


die ungültigen Objekte beunruhigen mich auch nicht,die hast Du ja bereits erklärt.

Zitat:

Zitat von sagen

Fri Oct 26 08:05:46 2007 => Offending Key found: HKCU\Software\magnet !!!
Fri Oct 26 08:05:47 2007 => Offending Key found: HKCR\magnet !!!

gehören vermutlich zu limewire, sind jedenfalls typisch für filesharing, weshalb ich bei dir auf azureus getippt habe.

Zitat:

Fri Oct 26 08:05:46 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Fri Oct 26 08:05:47 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Keine Ahnung, was escan da anmeckert, jedenfalls sind es Fehlalarme. Kannst microworld gerne mal ne mail schreiben und nachhaken, was der sinnfreie Fund ohne Pfad und Dateiangabe soll. Gruß in die Schweiz

Heisst das,dass ich jetzt "sauber" bin?
Und diese "harmlosen" Funde muss ich nicht entfernen?Könnte ich sie entfernen?Was müsste ich machen dazu?

Och komm, nun ist wirklich gut. Wie oft denn noch: JA, du bist sauber, NEIN, es besteht kein Handlungsbedarf. Lass wie es ist und wenn du mit der gleichen Paranoia im Netz surfst, hast lange Freude mit deinem sauberen System.

Also ich bin doch nicht paranoid!????
Ich gebe doch von Anfang an offen zu ,dass ich in PC-Dingen total unerfahren bin.Will doch einfach sicher sein,nix falsch verstanden zu haben.
Verstehe daher Dein herabwertendes Verhalten jetzt nicht.

Da fällt es mir fast ein bisschen schwer ,mich für die Hilfe zu bedanken.Tue es aber trotzdem.

ALSO VIELEN,VIELEN DANK FÜR DEINE HILFE !!!

War weder abfällig noch überheblich von mir gemeint (steht mir btw auch nicht zu, bin selbst Laie). Nur die 10. Frage, ob du wirklich sauber bist, immer noch mit der Geduld eines tibetanischen Yaks mit Ja zu beantworten, hab ich nicht hinbekommen.

escan ist mittlerweile bekannt für zahlreiche Fehlalarme, deshalb heben mich die Fehlermeldungen deutlich weniger an als dich. Willst du mehr über Computer, ihre Sicherheit und zippzapp wissen, lies im Board, google selbst, probier einfach.

In diesem Sinne ein , ordell

ok,danke Dir!

Ich könnte mir evt.auch vorstellen,dass der Fehlalarm kommt,weil die von EScan doch erreichen wollen,dass der User Panik bekommt und das Programm kauft.....

Und auch auf die Gefahr hin zu nerven.....Das die Spyware ein Fehlalarm war ,habe ich begriffen.Ich würde nur gerne wissen,WORAN Du dies erkennst?Ich meine dies eher für meine Zukunft,wenn ich gelegentlich einen EScan machen will,woran erkenne ich ,dass dies ein Fehlalarm ist??
Merci !

Zitat:

Zitat von sagen

Ich könnte mir evt.auch vorstellen,dass der Fehlalarm kommt,weil die von EScan doch erreichen wollen,dass der User Panik bekommt und das Programm kauft.....

Ist ne Möglichkeit, aber Spekulation. Vielleicht bekommen sie es auch einfach nicht hin .

Zitat:

woran erkenne ich ,dass dies ein Fehlalarm ist??

Da ist bissl Erfahrung mit escan und verschiedenen logs dabei. Manche Funde - wie bei dir grokster - tauchen wieder und wieder auf, und das auch auf garantiert sauberen Kiste. Schnapp dir mal ein frisch aufgesetztes XP ohne weitere Software und lass escan laufen. Mit Sicherheit findet er was.

Sofern Dateien angemeckert werden, bei denen escan einen Pfad mitgibt, kannst du die Gegenprobe mit onlinescannern wie virustotal.com machen. Solche Tests geben zwar keine Garantie, dass die Datei sauber ist, aber die Wahrscheinlichkeit, dass escan sich künstlich aufregt, steigt doch drastisch.

Für die Fehlalarme ist v.a. die Spywareengine /-datenbank bei escan verantwortlich. Sofern du willst, kannst du in %temp% die Dateien spydb.avs, spydb.old und spyware.sdb auch löschen. Die werden allerdings bei jedem Update über einen microworld-server neu angeschleppt. Gruß

Ok,dann Danke ich Dir für Deine Mühe und hoffe auf nicht so bald wieder....

LG sagen