Hallo,
ich habe mir ClamWinAV installiert, mal nachsehen schadet ja (meist) nichts. 
Der Scan hat Stunden gedauert, am Ende meldet das Programm doch tatsächlich:
C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Thunderbird\Profiles\kqu8bez3.default\Mail\Local Folders\Inbox: Email.Phishing.Wiki FOUND
C:\WINDOWS\REGTLIB.EXE: Trojan.Poebot-14 FOUND
Die Phishing-Mail juckt nicht, ‚Trojan.Poebot-14‘ aber schon.
Weil ich mir keinen Infektionsweg vorstellen kann, habe ich mal noch eine zweite Meinung eingeholt, ‚Housecall‘ findet aber nichts.
Deshalb habe ich die Datei ‚C:\WINDOWS\REGTLIB.EXE‘ mal bei Jotti hoch geladen … nichts! Alle Scanner melden, die Datei wäre sauber, auch bei ClamAV steht bei Jotti: ‚Kein Virus‘. Was soll das? War die Idee doch nicht so gut?
Einen Grund zum Nachsehen hatte ich nicht, aber gute Schadsoftware soll ja unentdeckt bleiben. Falschmeldungen sind aber lästig.
Ich werde morgen ein Image einspielen, obwohl ich die Infektion nicht glaube. Etwas länger als die gelegentlich angegebenen 10 Minuten wird es schon dauern, ist also lästig. Ich kann in der Zeit nicht bei w-w-w lesen.
Habe ich mir mit ClamWin AV einfach nur den falschen Scanner ausgesucht? Ich brauche und will nichts, war permanent läuft, nur gelegentlich die Platte scannen. ClamWin AV hat darüber hinaus auch noch rund 10 mal so lange für den Scan benötigt, wie Housecall. Ist ein Onlinescan doch die bessere Wahl?
Gruß, Rainer
Habe ich mir mit ClamWin AV einfach nur den falschen Scanner
ausgesucht? Ich brauche und will nichts, war permanent läuft,
nur gelegentlich die Platte scannen. ClamWin AV hat darüber
hinaus auch noch rund 10 mal so lange für den Scan benötigt,
wie Housecall. Ist ein Onlinescan doch die bessere Wahl?
Fehlalarme gibt es bei jedem Scanner. In diesem Fall sieht’s aus, als sei ein alter Fehlalarm in ClamAV wieder mal aufgetaucht. Ist dein Scanner auf aktuellstem Stand? Und könntest du mir (nach vorheriger Mail-Absprache) eine Kopie der Datei zukommen lassen? Diese Datei würde ich mir gerne mal ansehen.
Gruss
Schorsch
Hi Schorsch,
Fehlalarme gibt es bei jedem Scanner. In diesem Fall sieht’s
aus, als sei ein alter Fehlalarm in ClamAV wieder mal
aufgetaucht. Ist dein Scanner auf aktuellstem Stand?
das hoffe ich, ich habe den gestern installiert. Beim ersten Start hat das Programm erzählt es würde aktualisiert.
Und
könntest du mir (nach vorheriger Mail-Absprache) eine Kopie
der Datei zukommen lassen? Diese Datei würde ich mir gerne mal
ansehen.
Gern! Ich schick Dir heute Abend erst mal eine Ankündigung, vorher komme ich an den Rechner nicht.
Danke, bis dann.
Gruß, Rainer
Ich werde morgen ein Image einspielen, obwohl ich die
Infektion nicht glaube. Etwas länger als die gelegentlich
angegebenen 10 Minuten wird es schon dauern, ist also lästig.
Ich kann in der Zeit nicht bei w-w-w lesen.
Da ich bei Dir davon ausgehe, daß es nur um die Systempartition und
nicht um die ganze Platte geht - viel länger als wird es nicht
dauern. Bei mir waren es immer so etwa 15 min.
Habe ich mir mit ClamWin AV einfach nur den falschen Scanner
ausgesucht? Ich brauche und will nichts, war permanent läuft,
nur gelegentlich die Platte scannen.
Man kann ja wohl jede AV abschalten und nur bei Bedarf aufrufen?
ClamWin AV hat darüber
hinaus auch noch rund 10 mal so lange für den Scan benötigt,
wie Housecall.
Und was bedeutet das Deiner Meinung nach?
Ist ein Onlinescan doch die bessere Wahl?
Mach doch, hast ja nichts zu verbergen
Hallo Rainer,
Fehlalarme gibt es bei jedem Scanner.
Ich habe auch so einen Fehlalarm.
Drei Beispielprogramme für die Verwendung von FTP aus einem Buch (etwa 10 bis 15 Jahre alt) lösen bei mir auch immer Alarm aus.
Scheinbar hatte ein Malware-Programmierer das selbe Buch wie ich und als Signatur hat man genau diese Byte-Kombination dieser Routine genommen.
MfG peter(TOO)
Hallo Barbara,
Da ich bei Dir davon ausgehe, daß es nur um die
Systempartition und
nicht um die ganze Platte geht - viel länger als wird es nicht
dauern. Bei mir waren es immer so etwa 15 min.
nein, es ist die ganze Platte, die ist nicht partitioniert. Außer Windows ist im Image nur Visual Basic, das möchte ich auf C: haben. Ich mag mich nicht darauf verlassen, daß eine andere Partition nicht infiziert wird und dann eventuell Jemandem mit einem Programm Schadsoftware liefern.
Habe ich mir mit ClamWin AV einfach nur den falschen Scanner
ausgesucht? Ich brauche und will nichts, war permanent läuft,
nur gelegentlich die Platte scannen.
Man kann ja wohl jede AV abschalten und nur bei Bedarf
aufrufen?
Keine Ahnung, da habe ich keinen Überblick. Im Prinzip sollte das gehen, aber vermutlich nicht immer so ganz einfach.
ClamWin AV hat darüber
hinaus auch noch rund 10 mal so lange für den Scan benötigt,
wie Housecall.
Und was bedeutet das Deiner Meinung nach?
Daß entweder ClamWin AV sehr langsam ist oder Housecall nicht alles gescannt hat. Danke für den Tipp, ClamWin ist ja open Source, da sehe ich mal rein.
Ist ein Onlinescan doch die bessere Wahl?
Mach doch, hast ja nichts zu verbergen
Das stimmt allerdings, so geheim sind meine Quellcodes nicht, die meisten davon sind hier veröffentlicht.
Gruß, Rainer
Hallo Barbara,
Da ich bei Dir davon ausgehe, daß es nur um die
Systempartition und
nicht um die ganze Platte geht - viel länger als wird es nicht
dauern. Bei mir waren es immer so etwa 15 min.
nein, es ist die ganze Platte, die ist nicht partitioniert.
Okay, dann wird´s halt etwas länger dauern, je größer die Platte bzw.
die Datenmenge, desto länger. Logisch, oder? Die 10min, die der
Hinterwäldler gerne nennt, beziehen sich auf die Startpartition, wie
er es nennt.
Habe ich mir mit ClamWin AV einfach nur den falschen Scanner
ausgesucht? Ich brauche und will nichts, war permanent läuft,
nur gelegentlich die Platte scannen.
Man kann ja wohl jede AV abschalten und nur bei Bedarf
aufrufen?
Keine Ahnung, da habe ich keinen Überblick. Im Prinzip sollte
das gehen, aber vermutlich nicht immer so ganz einfach.
Die AV, die ich kennengelernt habe, ließen sich alle abschalten bzw.
das mitstarten beim Systemstart deaktivieren.
Notfalls kann man unter msconfig einstellen, daß die nicht mit win
gestartet werden soll. Und das muß eine MacUserin einem WinUser
sagen, OMG!
ClamWin AV hat darüber
hinaus auch noch rund 10 mal so lange für den Scan benötigt,
wie Housecall.
Und was bedeutet das Deiner Meinung nach?
Daß entweder ClamWin AV sehr langsam ist oder Housecall nicht
alles gescannt hat.
KÖNNTE sein. Scheint mir nicht unlogisch, das suchen um so länger
dauert, je gründlicher es gemacht wird.
Danke für den Tipp, ClamWin ist ja open
Source, da sehe ich mal rein.
Nicht wahr, open source ist was Feines 
?
Hi Peter,
Fehlalarme gibt es bei jedem Scanner.
Ich habe auch so einen Fehlalarm.
Drei Beispielprogramme für die Verwendung von FTP aus einem
Buch (etwa 10 bis 15 Jahre alt) lösen bei mir auch immer Alarm
aus.
wenn Du das weißt, erschrickst Du ja nicht mehr.
Scheinbar hatte ein Malware-Programmierer das selbe Buch wie
ich und als Signatur hat man genau diese Byte-Kombination
dieser Routine genommen.
*gg* Das wird mir mit meinen VB-Programmen und VBScripts wohl nicht passieren, außer der Compiler ist so gut, daß mein FTP-Programm ähnlich aussieht.
Gruß, Rainer
Hallo Barbara,
Die AV, die ich kennengelernt habe, ließen sich alle
abschalten bzw.
das mitstarten beim Systemstart deaktivieren.
Notfalls kann man unter msconfig einstellen, daß die nicht mit
win
gestartet werden soll. Und das muß eine MacUserin einem
WinUser
sagen, OMG!
*gg* es gibt noch mehr Möglichkeiten, Dienste kann man nicht mit MSConfig abschalten, aber natürlich wo anders, wenn man weiß, wie der Dienst heißt.
Daß entweder ClamWin AV sehr langsam ist oder Housecall nicht
alles gescannt hat.
KÖNNTE sein. Scheint mir nicht unlogisch, das suchen um so
länger
dauert, je gründlicher es gemacht wird.
Es gibt auch noch andere mögliche Ursachen. Es kann gut sein, daß Houscall das gleiche macht, nur schneller.
Danke für den Tipp, ClamWin ist ja open
Source, da sehe ich mal rein.
Nicht wahr, open source ist was Feines ?
Das hoffe ich. Ich bin noch nicht sicher, daß ich genug davon lesen kann.
Gruß, Rainer