Hallo @ll,
Ich bin auf Lösungssuche und brauche mal einen Tip von Euch...

nach einem Routine-scan am 30.01 auf einem Test-Image, bekam ich folgende "Schädlinge" gemeldet:

Zonemap.Ranges: Benutzer-Einstellungen (Registrierungsdatenbank-Wert, fixing failed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range6\:Range

Zonemap.Ranges: Benutzer-Einstellungen (Registrierungsdatenbank-Wert, fixed)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range6\:Range

Zonemap.Ranges: Benutzer-Einstellungen (Registrierungsdatenbank-Wert, fixed)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range6\:Range

Zonemap.Ranges: Benutzer-Einstellungen (Registrierungsdatenbank-Wert, fixed)
HKEY_USERS\S-1-5-21-1123561945-73586283-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range6\:Range

Zonemap.Ranges: Benutzer-Einstellungen (Registrierungsdatenbank-Wert, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range6\:Range
insgesamt 18 Schlüssel (15x user mit Admin.-Recht / 3x eingeschränkt)
jeweils für Range 3,6 und 8

SS&D-Hosts-Datei ?

In den "zonemap/Ranges" gibt es bei mir 1-33 Schlüssel...
Just in 3,6 und 8 fehlt dieser :Range-Eintrag:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range3]
"*"=dword:00000004
während die anderen :Range-IP´s in der hosts auftauchen...

Liege ich da mit meiner Vermutung völlig falsch, dass da etwas nicht stimmt bzw. gestimmt hat ?
Vorhin hatte ich nach update mal einen der Backups wiederhergestellt und beim scan keine Meldung bekommen...

Evtl. in dem Zusammenhang, ich füge eine neue Host-Datei eigentlich immer nur hinzu ?
(ohne alte vorher zu entfernen)

ausserdem habe ich im Bericht folgendes:

--- System information ---
Windows XP (Build: 2600) Service Pack 2
/ Windows XP / SP3: Windows XP-Hotfix - KB873339
alle WIN-updates schon SP3...

Ich meine, als AVPEc-Kämpfer ist mein PC ja ziemlich sicher, aber schon so weit voraus...Mhmm :D

also wenn Ihr nun sagt: Alle Backups zurück, bin ich Euch dankbar...:bigthumb:

Das ist in dem Sinn kein Schaedling, sondern nur Eintraege in der Registrierung. So weit ich mich erinnere, nutzt Spybot das auch fuer die Imunisierung. Einige Malware traegt dort auch spezielle Seite ein, damit sie mit geringerer Sicherheitsstufe aufgerufen werden koennen. Die IP Adresse, die Spybot da geloescht hat waere interessant gewesen.


Das mit dem SP3 ist normal, denn diese Updates werden nachher im SP3 gebuendelt, ist ja auch logisch, da sie nach SP2 erschienen sind! ;)

Hallo Ralf,
siehste, irgendwie bin ich doch ein bisschen AVPEC 7 geschädigt...
ich habe jetzt soviele logs und Berichte...:cool:

also, habe jetzt erstmal die Backups wiederhergestellt und die IP´s sind:
:Range3: 69.50.171.122
:Range6: 82.179.170.11
:Range8: 66.230.175.129

eben gescannt werden sie auch wieder gemeldet:
bei den scans meinte ich zu beobachten, die Befund-Meldung kommt so kurz um "180 solution searchassistent"...

04.02.2006 20:21:02 - ##### check started #####
04.02.2006 20:21:02 - ### Version: 1.4
04.02.2006 20:21:02 - ### Date: 04.02.2006 20:21:02
04.02.2006 20:21:06 - ##### checking bots #####
04.02.2006 20:23:46 - found: Zonemap.Ranges Benutzer-Einstellungen
04.02.2006 20:23:46 - found: Zonemap.Ranges Benutzer-Einstellungen
04.02.2006 20:23:46 - found: Zonemap.Ranges Benutzer-Einstellungen
04.02.2006 20:23:46 - found: Zonemap.Ranges Benutzer-Einstellungen
04.02.2006 20:23:46 - found: Zonemap.Ranges Benutzer-Einstellungen
04.02.2006 20:23:46 - found: Zonemap.Ranges Benutzer-Einstellungen
04.02.2006 20:23:46 - found: Zonemap.Ranges Benutzer-Einstellungen
04.02.2006 20:23:46 - found: Zonemap.Ranges Benutzer-Einstellungen
04.02.2006 20:23:46 - found: Zonemap.Ranges Benutzer-Einstellungen
04.02.2006 20:23:46 - found: Zonemap.Ranges Benutzer-Einstellungen
04.02.2006 20:23:46 - found: Zonemap.Ranges Benutzer-Einstellungen
04.02.2006 20:23:47 - found: Zonemap.Ranges Benutzer-Einstellungen
04.02.2006 20:23:47 - found: Zonemap.Ranges Benutzer-Einstellungen
04.02.2006 20:23:47 - found: Zonemap.Ranges Benutzer-Einstellungen
04.02.2006 20:23:47 - found: Zonemap.Ranges Benutzer-Einstellungen
mal die gekürzte version, ansonsten wie oben...
(also eigentlich war ich der Meinung, aber gut...)

nach der 1.Meldung hatte ich erstmal SpywareBlaster 3.4 mit Schutz rückgängig und deinstalliert.
Die Meldungen blieben, sodass ich irgendwann ? dann doch gelöscht hatte.

wie gesagt sollte alles sauber sein (AVPEC, eScan, Ad-Aware ohne Befund)...auf Multi-Boot/3.Partition
ein Image ohne AV/Fw, dann AVPEC 7 !!! Kerio installiert...

wie gesagt bei Rokop war ähnlich, daher die Eingrenzung auf Spybot S&D und...
war eben froh, dass es nicht nur bei mir so...
(sagt man ja mittlerweile als AVPEC 7ner...):D

sorry, die Erkennung ist ein Fehler gewesen und wird mit dem nächsten Update behoben sein.

die Erkennung sucht nach bestimmten IPgruppen unter dem Wert Ranges unter oben genannten Schlüsseln, wenn man allerdings diese IP z.B. in die restricted zones einträgt( wie es auch bei der Immunisierung passiert), werden die trotzdem gefunden, daher also ein Fehler meinerseits was das angeht :o

SUPER ! :bigthumb:
schon passiert...das update...

darum hatte ich mich ja auch "geopfert", damit nicht zuviele "das" löschen !