Hi,
manche Sites z.B. Ebay.de oder microsoft-Update kann ich nicht mehr aufrufen. Komisch ist nur, wenn ich mit genau diesem Notebook eine VPN in die Firma aufbaue dann kann ich die Sites plötzlich anzeigen. Ein ping auf ebay.de gibt mir mit VPN und auch ohne zwar die IP zurück aber eine Zeitüberschreitung. Wenn ich diese IP im Browser eingebe dann kann ich mit VPN die Site anzeigen und ohne VPN nicht. Sollte also keine DNS-Sache sein.
Allerdings bleibt ja mit und ohne VPN der Browser immer der gleiche, kann es dann trotzdem bösartiger Code sein ?
Hier noch das HijackThis log.

Logfile of HijackThis v1.98.2
Scan saved at 20:35:51, on 17.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Software\Tools\StrongDisk Pro\StrDisk.exe
C:\Software\Tools\Antivir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Software\Tools\Antivir\AVGUARD.EXE
C:\Software\Tools\Antivir\AVWUPSRV.EXE
C:\Software\Kommunikation\LANguard\sscansvc.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Software\Tools\VMware\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Avant Browser\iexplore.exe
C:\Dokumente und Einstellungen\supergau\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com.tw/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Progra~1\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [StrongDisk] C:\Software\Tools\StrongDisk Pro\StrDisk.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Software\Tools\Antivir\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094582036155
O17 - HKLM\System\CCS\Services\Tcpip\..\{85910BDD-1DF6-4357-826E-781A10562106}: NameServer = 212.18.0.5,212.18.3.5

@firestone

wahrscheinlich hast du dieser im system
http://www.trendmicro.com/vinfo/viru...=WORM_SDBOT.WE
wechsle in den abgesicherten modus und fixe
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
lösche danach manuell winsysi.exe
lade danach escan
http://www.mwti.net/antivirus/free_utilities.asp
mache es genau so wie hier beschrieben
http://www.trojaner-board.de/showthread.php?t=8131
und poste nur die ergebnisse hier im board
mache ein neues log von HijackThis und poste es hier
chaosman

Alles gemacht, hat nix geholfen.
ein paar Dateien sind gelöscht worden aber zwei musste ich selbst löschenwinsysi.exe ist auch weg aber auf Ebay und te komm ich immer noch nicht bzw. nur wenn ich via VPN in die Firma eingewählt bin.
Hier nochmal das neuset HijackThis Log.

Vielen Dank.

Logfile of HijackThis v1.98.2
Scan saved at 22:20:59, on 18.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Software\Tools\StrongDisk Pro\StrDisk.exe
C:\Software\Tools\Antivir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Software\Tools\Antivir\AVGUARD.EXE
C:\Software\Tools\Antivir\AVWUPSRV.EXE
C:\Software\Kommunikation\LANguard\sscansvc.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Software\Tools\VMware\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\supergau\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com.tw/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Progra~1\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [StrongDisk] C:\Software\Tools\StrongDisk Pro\StrDisk.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Software\Tools\Antivir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094582036155
O17 - HKLM\System\CCS\Services\Tcpip\..\{85910BDD-1DF6-4357-826E-781A10562106}: NameServer = 212.18.0.5,212.18.3.5

Was genau hat den Escan gefunden?

HI,
also es ist:

Win32.Parite.b
Backdoor.Win32.Wilba.a
Worm.Win32.Padobot.r
TrojanProxy.Win32.Bobax.c
TrojanDownloader.Win32.Agent.cw
Tool.Win32.Reboot
TrojanDownloader.Win32.Small.wa
Backdoor.Win32.Rbot.gen
Exploit.Java.Bytverify
Trojan.Java.ClassLoader.Dummy.d

wie kann das sein trotz vorherigem Virenupdate und Scan (Antivir) und Adaware Update und Scan?

Vielen Dank.
mfg Henry

Lese dir dies mal durch Backdoor.Win32.Rbot.gen

Das bedeutet, dass Dein System kompromittiert ist. Es gibt keine sichere Möglichkeit, die Spuren die diese Viren im befallenen System hinterlassen, so zu entfernen, dass das System Deines Computers wieder als sicher betrachtet werden kann. Das System Deines Computers befindet sich möglicherweise in fremder Hand.

Die sicherste Lösung ist deinen Rechner nach dieser Anleitung neu aufzusetzen:
http://board.protecus.de/showtopic.p...me=1097944155&

Also, wie schon vermutet lag es an der Netzwerkeinstellung. Über VPN ging es ja nur direkt nicht.
Habe es von einem anderen Rechner in meinem Heimnetz probiert und da ging es auch nicht.
Also habe ich auf meinen WLAN-Router geschaut und da ist mir aufgefallen das die MTU (MaximunTransferUnit) noch auf Auto stand. Die muss natürlich fest auf 1492 stehen bei einer PPPoE Verbindung. Und sofort konnte ich wieder auf Ebay und Windors-Update usw.

@ firestone

Rbot.gen--> Erläuterung

Tipps und Hilfestellung dazu von:

Lutz und Cidre und MountainKing

Zitat:

Zitat von firestone

HI,
also es ist:

Win32.Parite.b, Backdoor.Win32.Wilba.a, Worm.Win32.Padobot.r, TrojanProxy.Win32.Bobax.c, TrojanDownloader.Win32.Agent.cw, Tool.Win32.Reboot, TrojanDownloader.Win32.Small.wa, Backdoor.Win32.Rbot.gen, Exploit.Java.Bytverify, Trojan.Java.ClassLoader.Dummy.d

Es ist nicht zu verantworten, mit einem kompromittierten System im Netz zu bleiben.

Die Sophos Viren-Enzyklopädie zitiert:

"W32/Rbot-CI ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben mit einfachen Kennwörtern zu verbreiten. Er enthält außerdem Backdoortrojaner-Funktionalität, wodurch er unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht, während er als Dienstprozess im Hintergrund aktiv ist.

W32/Rbot-CI verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, nachdem das Backdoortrojaner-Element den entsprechenden Befehl von einem remoten Anwender erhalten hat.

W32/Rbot-CI kopiert sich als WUAMGRD.EXE in den Windows-Systemordner und erstellt Registrierungseinträge namens MICROSOFT UPDATE MACHINE unter folgenden Schlüsseln, damit er beim Systemstart aktiviert wird."

Löschen genügt nicht, das System MUSS formatiert werden.

SD

Welchen "konkreten" Grund gibt es, das System zu formatieren.
Solche Vorschläge sind immer der beste Virus "formatiert alle eure Platten!".
Eine intensive Bekämfung ist sicher sinnvoller. Kostet zwar sehr viel Zeit aber wenn ich mir vorstelle als Admin von 500 Rechnern zum Teil mit klinischer Software und Datenbanken, alle Systeme zu formatieren, na dann vielen Dank auch.
Es gibt soviel systemnahe Tools mit denen man von Hand solche Sachen verfolgen und bekämfen kann.
Formatieren werde ich jedenfalls ganz sicher nichts.

Welche systemnahen Tools meinst du denn damit?
Die Empfehlung lautet auch nicht, dass man bei jedem Schädling formatieren muss, sondern man das speziell bei solchen, die Fremden Zugriff auf den Rechner erlauben (und da existierten bei dir mehrere) als für Normalnutzer beste, schnellste und sicherste Lösung sehen sollte. Dann sind nämlich Tools wie Viren- oder Adwarescanner nicht mehr ausreichend zur wirklich definitiven Säuberung (sind sie sowieso nicht, wie du ja gemerkt hast), weil u.a. Systemdateien manipuliert sein können und evtl. versteckte Programme, Starteinträge usw. existieren. Ganz davon abgesehen muss man sich nun auch die Frage stellen, ob du per VPN noch mehr Rechner infiziert hast. Ein Experte kann mit Zeitaufwand und entsprechender Kenntnis sicher auch derartige Infektionen ohne Neuinstallation entfernen, allerdings hätte der sich, weil er seinen Rechner richtig konfiguriert und sich nicht auf Sicherheitssoftware verlässt, nicht so viele Schädlinge eingefangen.

Und auch als Admin von 500 Rechnern ist man für deren Sicherheit verantwortlich, wenn diese nicht anders als durch Neuinstallation wiederherzustellen wäre, kann im Endeffekt auch der Zeitaufwand kein Argument sein. Wenn die Alternative beispielsweise die mögliche Weitergabe von sensiblen Unternehmensdaten wäre?

Also,
1.Tools sind z.B. sowas wie Regmon,Filemon etc. Mit den entsprechenden Filterregeln findet man recht schnell, welche Registrywerte und Schlüssel wie verwendet werden.Soviel zu "versteckten Programmen und Starteinträgen".
2."speziell bei denen die Zugriff auf andere..." Kannst Du Dich noch an die Zeit von Netbus,BackOrifice etc. erinnern. Da hat auch niemand gleich sein System formatiert.
3.Habe nicht ich als Admin diese Trojaner eingeschleppt sondern andere Benutzer und es gibt auch noch die Möglichkeit das Benutzer Code absichtlich einschleppen mittels Diskette,USB-Stick (ein verseuchtes Notebook bekommt auch vom DHCP schnell mal eine IP und ist damit im Netz)usw. Und um dem nächsten Tipp gleich vorzubeugen, Usern wie Geschäftsführern, ärztlichen Direktoren, Profs usw. die Diskettenlaufwerke und USB zu sperren ist auch nicht so genial, die fühlen sich dadurch Zitat:"wie bevormundete Kinder". ;-) Das zum Thema "ein Experte hätte..." Meinst Du mit Experten die, die nach mehrmaligem posten, das über VPN die Sites erreicht werden und ohne VPN nicht, immer noch NUR in Richtung Trojaner suchen (trotzdem ein Dank an alle die helfen oder es versuchen). Letztlich lag es nur an einem falschen MTU-Wert (MaximumTransferUnit) am WLAN-Router des Benutzers.
Jetzt stell dir vor, man hätte jetzt alles formatiert und der sichtbare Effekt für den Laien bleibt danach der gleiche. Der sagt (natürlich aus unwissenheit) als erstes "Das hätte ich auch hinbekommen".
Schon manchen selbsternannten (Willgern-) Experten hat es schon mit Viren etc. erwischt.
4.hat es in der Tat drei Systeme erwischt und ich hab es wie oben beschrieben mit Ruhe und ein paar netten Tools soweit gebracht das eScan jetzt (auf den bisher getestetten Rechnern) nix mehr findet.

An dieser Stelle herzlichen Dank an chaosman, durch den ich überhaupt erst von eScan erfahren habe.

Vielen Dank.

mfg Henry

"1.Tools sind z.B. sowas wie Regmon,Filemon etc. Mit den entsprechenden Filterregeln findet man recht schnell, welche Registrywerte und Schlüssel wie verwendet werden.Soviel zu "versteckten Programmen und Starteinträgen"."

Ich bin mir nicht sicher, ob die genannten Programme versteckte Einträge tatsächlich erkennen, die beispielsweise Rootkits verwenden, welche deswegen auch von Virenscannern nicht entdeckt werden. Es gibt einige Programme, die das können, deswegen habe ich nach den Namen gefragt, wie gesagt, ob die beiden dazugehören, weiss ich nicht, ich kenne nur andere bisher.

" Kannst Du Dich noch an die Zeit von Netbus,BackOrifice etc. erinnern. Da hat auch niemand gleich sein System formatiert"

Willst du im Sicherheitsbereich tatsächlich das als Maßstab nehmen, was die Mehrzahl der Nutzer macht/nicht macht?

"3.Habe nicht ich als Admin diese Trojaner eingeschleppt sondern andere Benutzer und es gibt auch noch die Möglichkeit das Benutzer Code absichtlich einschleppen mittels Diskette,USB-Stick (ein verseuchtes Notebook bekommt auch vom DHCP schnell mal eine IP und ist damit im Netz)usw. Und um dem nächsten Tipp gleich vorzubeugen, Usern wie Geschäftsführern, ärztlichen Direktoren, Profs usw. die Diskettenlaufwerke und USB zu sperren ist auch nicht so genial, die fühlen sich dadurch Zitat:"wie bevormundete Kinder". ;-)"

Das mag sein, dann muss ihnen aber auch klar sein, dass dadurch die Sicherheit verringert wird, wenn das ok ist, bist du ja dann auch nicht verantwortlich zu machen.

"Das zum Thema "ein Experte hätte..." Meinst Du mit Experten die, die nach mehrmaligem posten, das über VPN die Sites erreicht werden und ohne VPN nicht, immer noch NUR in Richtung Trojaner suchen (trotzdem ein Dank an alle die helfen oder es versuchen). Letztlich lag es nur an einem falschen MTU-Wert (MaximumTransferUnit) am WLAN-Router des Benutzers."

Fakt ist nun mal, dass auf diesem Notebook Trojaner sind/waren, es handelte sich doch nicht um Einbildungen. Es mag ja vielleicht mit deinem ursprünglichen Problem nichts zu tun gehabt zu haben, aber das ändert doch gar nichts daran, dass dieser Rechner infiziert ist? Wäre es besser, das Problem wäre gleich erkannt worden und man hätte die Schädlinge auf dem Rechner gelassen? Es ging ja auch gar nicht um bestimmte Personen, ich meinte mit Experten eben die Leute, die sehr genau wissen, was Schädlinge können und nicht können und wie man sie ohne Neuinstallation vom Rechner bekommt. Es weiss ja auch nicht jeder alles und hier gehts nun mal meistens um Trojaner.

"Jetzt stell dir vor, man hätte jetzt alles formatiert und der sichtbare Effekt für den Laien bleibt danach der gleiche. Der sagt (natürlich aus unwissenheit) als erstes "Das hätte ich auch hinbekommen"."

Das wäre mir aus genau diesem Grund völlig wurscht. Ich wüsste ja, warum ich es gemacht hätte und könnte es auch begründen, auch wenn es, wie gesagt, mit dem eigentlichen Problem nichts zu tun hatte, es war eben ein weiteres, das aber ebenso gelöst werden musste.

"4.hat es in der Tat drei Systeme erwischt und ich hab es wie oben beschrieben mit Ruhe und ein paar netten Tools soweit gebracht das eScan jetzt (auf den bisher getestetten Rechnern) nix mehr findet."

Was eben nur bedeutet, dass ein Scanner nichts mehr findet und nicht, dass das System garantiert sauber ist. Du hast ja selbst angemerkt, dass es dich wundert, dass so viele Schädlinge trotz Antivir und Adaware gefunden wurden. Das hängt nicht nur mit den Qualitätsunterschieden der Programme zusammen, sondern es bestehen bei Backdoors eben noch weitere Unsicherheiten.

Mir geht es ja nicht darum, dich anzugreifen, aber wenn man mal ein paar wirklich bis ins Letzte "übernommene" Systeme inklusive fröhlicher Entwarnungen der Scanner gesehen hat, neigt man dazu, lieber vom GAU auszugehen und entsprechend Empfehlungen auszusprechen.

Hi,

also angegriffen fühle ich mich nun wirklich nicht. Kontroverse Diskusionen sollten doch zum Nachdenken anregen. Das haben wir hier sicher getan und jeder kann jetzt selbst entscheiden (je nach Wissensstand) ob er sein System platt macht oder die Bekämpfung intensiviert (was bazu noch bildet).
Wie gesagt, der Satz lautete
Zitat:"Löschen genügt nicht, das System MUSS formatiert werden."
ohne Alternativen.
Das wars, was mir nicht gefallen hat, weil man eben differenzieren muss wie wichtig das System ist oder ob eine längere Ausfallzeit durch Neuinstallation und Konfig. überhaupt in kauf zu nehmen ist (integrierte klinische Systeme).
Letztlich hab ich es ja mit ein wenig NowHow hinbekommen.
Und letztlich hast Du ja nun doch auch Alternativen eingeräumt.
Also sind wir uns doch einig. Das ich einen PC mit ein paar Spielen und einem Textverarbeitungsprogramm nicht lange prüfen werde ist natürlich klar ;-)
Noch kurz etwas dazu, dass alle möglichen Virenprogramme (Antivir,CA Inoculate usw. ) nichts gefunden haben und eScann doch.
Wer schon an wissenschaftllichen Studien gearbeitet hat, wird bestätigen, dass es auch sehr oft "falsch positive" Ergebnisse gibt.
Will sagen Kaspersky hat vieleicht auch nicht unbedingt die Weisheit mit Löffeln gegessen.

In diesem Sinne...

mfg H.