You are not logged in.

Thursday, July 31st 2014, 5:31pm

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

  • "marie99" started this thread

Date of registration:
Jan 12th 2010

  • Send private message

1

Tuesday, January 12th 2010, 5:13pm

Nach Virenfund: Quarantäne, löschen oder muss man immer gleich die Festplatte formatieren?!

Hallo!

Eben fand AntiVir drei Viren auf meinem Computer. Direkt nach dem Hochfahren kam die Meldung – und nicht etwa, während sich die Viren zuvor draufluden. Das fand ich schon ungewöhnlich. Und ich kann mir auch wirklich nicht erklären, wo die herkommen sollten.

(Bin auch etwas in Panik, denn vor einem halben Jahr hatte ich zum ersten Mal so einen schlimmen Virus, dass ich (mit Hilfe) hektisch alle Daten retten, die Festplatte neu formatieren und alles neu draufladen musste – was mich wochenlang beschäftigt hat. Ich hoffe so, dass es dieses Mal nicht so schlimm ist …)

Folgende drei Funde meldete AntiVir:

HTML/Rce.Gen
ADSPY/Dealio.Instal
ADSPY/Dealio.Search

Ich habe sie in Quarantäne verschoben.

Andere haben ja auch gerade mit dem Dealio-Virus zu tun, ich hab mir da ein paar Threads durchgelesen und dort wurde geraten, diese Programme entweder über Browser-Add-Ons oder über die Systemsteuerung zu entfernen, nur dort tauchen sie bei mir gar nicht auf.

Weiß jemand, wie gefährlich diese drei Viren sind? Und muss ich sie jetzt in diesem Quarantäne-Ordner lassen oder kann ich sie irgendwie richtig löschen? (Komischerweise soll man ja gerade die "Löschen"-Funktion von AntiVir nicht anklicken, das soll einer verstehen …)

Ich wäre sehr dankbar für einen Rat.

Viele Grüße
Marie

gekaa

Community member

Date of registration:
Jan 5th 2006

Version:
Avira Antivirus Suite

Operating System:
Windows 8.1 Pro 32

  • Send private message

2

Tuesday, January 12th 2010, 5:31pm

Hallo marie99!
Ich begrüsse Dich herzlich im Forum. :)
Als erstes bitte den Avirabericht vom Vollscan,als zweites ein HijeckThis-Log hier reinstellen.
Ich hoffe Du kannst das noch mit Deinem PC erledigen.
Wie es geht steht im Forum.
Gruss gekaa ;)

3

Tuesday, January 12th 2010, 6:30pm

Nicht weiter tragisch. Deinstalliereaus deinen Browsern die Dealio - Toolbar und Searchsettings - dann ist Ruhe. Diese Toolbar installiert sich meist bei diversen Programmen ungefragt mit und über Searchsettings werden diverse Daten weitergegeben. Solltest du alles unter Systemsteuerung - Software deinstallieren können oder direkt im Browser bei Addons. Die in Quarantäne befindlichen Dateien kannst du löschen. Wenn noch Funde in der Systemwiederherstellung auftauchen, diese einfach deaktivieren und danach wieder aktiv setzen (link in meiner signatur).


Mit der Html.rce.gen mal wie folgt verfahren:

Stelle die Datei aus der Quarantäne auf das Desktop her (wiederherstellen nach) und lade sie zu Virustotal (link in meiner Signatur) zur Analyse hoch und poste das Ergebnis. Den AV-Guard solltest du für diesen Zeitraum temporär deaktivieren.

This post has been edited 1 times, last edit by "Nighthawk" (Jan 12th 2010, 6:31pm)


  • "marie99" started this thread

Date of registration:
Jan 12th 2010

  • Send private message

4

Tuesday, January 12th 2010, 9:12pm

Danke für die Antworten!

Hallo gekaa!

Hier ist erstmal der AntiVir-Bericht:

------------------------------------------------------------------------------------

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 12. Januar 2010 09:52

Es wird nach 1521437 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ...

Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 08:53:29
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 08:53:29
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 08:53:29
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 08:53:29
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 08:53:29
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 08:53:29
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 08:53:29
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 08:53:29
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 08:53:29
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 08:53:29
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 08:53:29
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 08:53:29
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 08:53:29
VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 20:44:43
VBASE015.VDF : 7.10.1.178 195584 Bytes 07.12.2009 12:17:58
VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 19:25:11
VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 20:30:46
VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 19:08:58
VBASE019.VDF : 7.10.2.63 187392 Bytes 24.12.2009 13:43:00
VBASE020.VDF : 7.10.2.93 195072 Bytes 29.12.2009 20:27:38
VBASE021.VDF : 7.10.2.131 201216 Bytes 07.01.2010 20:25:36
VBASE022.VDF : 7.10.2.158 192000 Bytes 11.01.2010 21:40:17
VBASE023.VDF : 7.10.2.159 2048 Bytes 11.01.2010 21:40:17
VBASE024.VDF : 7.10.2.160 2048 Bytes 11.01.2010 21:40:17
VBASE025.VDF : 7.10.2.161 2048 Bytes 11.01.2010 21:40:17
VBASE026.VDF : 7.10.2.162 2048 Bytes 11.01.2010 21:40:17
VBASE027.VDF : 7.10.2.163 2048 Bytes 11.01.2010 21:40:17
VBASE028.VDF : 7.10.2.164 2048 Bytes 11.01.2010 21:40:17
VBASE029.VDF : 7.10.2.165 2048 Bytes 11.01.2010 21:40:17
VBASE030.VDF : 7.10.2.166 2048 Bytes 11.01.2010 21:40:17
VBASE031.VDF : 7.10.2.169 90112 Bytes 11.01.2010 21:40:17
Engineversion : 8.2.1.134
AEVDF.DLL : 8.1.1.2 106867 Bytes 08.11.2009 06:38:52
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 05.01.2010 14:09:10
AESCN.DLL : 8.1.3.0 127348 Bytes 11.12.2009 13:17:39
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 01.12.2009 20:44:47
AEPACK.DLL : 8.2.0.4 422263 Bytes 05.01.2010 14:09:09
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.194 2228599 Bytes 08.01.2010 20:37:19
AEHELP.DLL : 8.1.9.0 237943 Bytes 17.12.2009 09:54:30
AEGEN.DLL : 8.1.1.83 369014 Bytes 05.01.2010 14:09:04
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.9.1 180598 Bytes 11.12.2009 13:17:39
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 12. Januar 2010 09:52

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '37269' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPUVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FNPLicensingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vc9tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBHGui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vc9play.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OpWareSE4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atchk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vc9secs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atchksrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '48' Prozesse mit '48' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '65' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <C: Festplatte Programme>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{BE9AA554-C1E3-4E7F-9239-D7EFA5819E6E}\RP43\S0032341.Acl
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
C:\System Volume Information\_restore{BE9AA554-C1E3-4E7F-9239-D7EFA5819E6E}\RP58\A0041803.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Dealio.Instal
C:\System Volume Information\_restore{BE9AA554-C1E3-4E7F-9239-D7EFA5819E6E}\RP58\A0041805.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Dealio.Search
Beginne mit der Suche in 'D:\' <D: Festplatte Daten>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{BE9AA554-C1E3-4E7F-9239-D7EFA5819E6E}\RP43\S0032341.Acl
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7c5b35.qua' verschoben!
C:\System Volume Information\_restore{BE9AA554-C1E3-4E7F-9239-D7EFA5819E6E}\RP58\A0041803.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Dealio.Instal
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2569de.qua' verschoben!
C:\System Volume Information\_restore{BE9AA554-C1E3-4E7F-9239-D7EFA5819E6E}\RP58\A0041805.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Dealio.Search
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1f9e76.qua' verschoben!


Ende des Suchlaufs: Dienstag, 12. Januar 2010 12:20
Benötigte Zeit: 44:56 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

14257 Verzeichnisse wurden überprüft
402276 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
402272 Dateien ohne Befall
2289 Archive wurden durchsucht
1 Warnungen
4 Hinweise
37269 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

-----------------------------------------------------------------------------

Die Anleitung zum HijeckThis-Log hab ich auf Anhieb nicht gefunden - ich suche nachher nochmal und melde mich wieder.

Danke
Marie

gnagflow

Community member

Date of registration:
Mar 3rd 2006

Version:
Avira Internet Security Suite

Operating System:
WIN7 U SP1, WIN 8.1 64-bit

  • Send private message

5

Tuesday, January 12th 2010, 9:19pm

Hier die Anleitung für HiJackThis, damit Du nicht die ganze nacht mit der Suche danach verbringen musst.
http://forum.avira.com/wbb/index.php?pag…&threadID=79379
GRuß Wolfgang
In seinem Lachen liegt der Schlüssel,
mit dem wir den ganzen Menschen entschlüsseln

- Thomas Carlyle - 1795-1881 brit. Schriftsteller

  • "marie99" started this thread

Date of registration:
Jan 12th 2010

  • Send private message

6

Tuesday, January 12th 2010, 9:32pm

Hallo nighthawk!

Das wär ja schön, wenn es "nicht weiter tragisch" wäre!

Ich hab versucht, aus Firefox/AddOns und unter Systemsteuerung/Software die Dealio-Toolbar zu deinstallieren, aber sie steht dort nicht!

Und die in Quarantäne befindlichen Dateien kann ich wirklich löschen? Warum soll man sie dann denn nicht gleich löschen, wenn sie bei AntiVir gefunden werden? Warum soll man denn 'löschen' auf keinen Fall anklicken, sondern immer 'in Quarantäne verschieben'? (Zumindest hört man es so immer im chip-Forum.) Und noch eine blöde Frage: Wie lösche ich die Dateien denn jetzt, wie komme ich jetzt, nachdem ich sie in Quarantäne verschoben hab, an sie ran?

Was Du weiter schriebst, hab ich nicht so ganz verstanden: "Wenn noch Funde in der Systemwiederherstellung auftauchen, diese einfach deaktivieren und danach wieder aktiv setzen (link in meiner signatur)."
Aber damit kann ich mich ja beschäftigen, wenn noch weitere Funde auftauchen, oder?

Das, was Du für das html/rce.gen vorschlugst, versuche ich gleich nochmal. Ich hoffe, ich schaffe das heute noch.

Danke
Marie

7

Tuesday, January 12th 2010, 10:02pm

Sie scheint bei dir nicht mehr installiert gewesen zu sein, da sämtliche Funde in der Systemwiederherstellung waren. Löschen tust du die Funde indem du Antivir öffnest, auf Quarantäne gehst und dort dann entfernen wählst. Wie man die Systemwiederherstellung deaktiviert ist sehr gut in dem Link in meiner Signatur beschrieben.

Quarantäne verschieben ist dazu gedacht, das man die Datei im Notfall wiederherstellen kann, wenns ein Fehlalarm war oder einen Fund analysieren kann. Wenn du immer gleich löschen würdest, würde man dies nie herausfinden.

  • "marie99" started this thread

Date of registration:
Jan 12th 2010

  • Send private message

8

Tuesday, January 12th 2010, 10:05pm

Danke für den Link!

Ich hab ein bisschen Angst vor diesem HiJack-Programm, obwohl ja alles ganz einfach klingt in der Anleitung.

Bei chip.de las ich gerade folgendes:
"HijackThis ist ein mächtiges Tool, um das Windows-Innenleben auf ungewollte Veränderungen hin zu überprüfen. Aufgrund seiner Beschaffenheit eignet sich das Tool aber nur für Experten und kann bei unbedarfter Nutzung schnell zu ungewollten Folgen führen."
Hm. Ich bin kein Experte, meine Nutzung wäre unbedarft. Allerdings mit der Anleitung hier, also vielleicht sollte ich es doch probieren, ich weiß nicht.

Noch eine Frage zu dieser Anleitung: Werden die Programme, die auf meinem Computer laufen, dann in dem HiJackThis-Protokoll erscheinen? Und wie verhindere ich, dass (Zitat aus der Anleitung) "dieses Programm keine persönlich identifizierbare Daten preisgibt wie z.B. Passworte und ähnliches"? Fragen über Fragen, und ich trau mich nicht so recht.

Marie

Michael_Mann

Moderator

Date of registration:
Oct 24th 2005

Version:
Avira Ultimate Protection Suite
Avira Free Unix/Linux
Avira Android Security

Operating System:
AmigaOS 3.9, Ubuntu 13.10+ & Windows XP SP3, win7 HEdit. 64b (sp1)

  • Send private message

9

Tuesday, January 12th 2010, 10:08pm

Diese Daten kann das Programm auch nicht anzeigen. Bitte nur das LOG einstellen, da passiert nichts. Programme zu deaktivieren oder ähnliches machst Du dann nur auf unsere Empfehlungen hin.
Meine PCs: Amiga 1200 und WinUAE. Dafür ist Virenfreiheit garantiert.
Links: Tipps & Tricks -- HiJackThis -- Video Anleitungen
I speak german and english only

  • "marie99" started this thread

Date of registration:
Jan 12th 2010

  • Send private message

10

Tuesday, January 12th 2010, 10:40pm

Okay, dann probiere ich das mal mit dem HiJackThis, morgen.

Nighthawk, die beiden dealio-Dateien hab ich nun gelöscht, danke. Aber sag mal, wenn ich den html/rce.gen-Virus mir aus der Quarantäne auf das Desktop holen soll, ist das nicht gefährlich? Kann ich die Datei nicht einfach so kopieren und zu diesem Virustotal schicken? Na, wohl nicht, sonst hättest Du's ja geschrieben. Und wie deaktiviere ich den AV-Guard temporär, das hab ich gerade nicht gefunden?

Mannmannmann, das ist wirklich alles nicht so einfach. (Wie machen das denn Leute, die sich gar nicht mit Computern auskennen, wenn sie mal einen Virus bekommen? Ich kenn mich ja durchaus ein bisschen aus, aber das ist ja wirklich kompliziert alles.) Und seeehr beängstigend finde ich, dass ich mir wirklich nicht erklären kann, wo die Viren herkommen! Ich war gestern kaum im Internet und wenn, dann nur bei Amazon oder beim Wetter, auf wirklich keinen irgendwie fragwürdigen Seiten. Ich hab nichts heruntergeladen und auch sonst weder Programme installiert noch Mailanhänge geöffnet, sondern einfach die ganze Zeit in einer Worddatei geschrieben. Und heute morgen beim Hochfahren sind plötzlich wie aus dem Nichts drei Viren da. Wie kann das sein??!!

Ich mache morgen weiter.

Danke Euch allen.
Marie

11

Tuesday, January 12th 2010, 10:43pm

Das sind keine wirklichen Viren - also keine Angst es ist nix schlimmes passiert. Den Guard deaktivierst du mit Rechtsklick auf den Schirm unten rechts in der Taskleiste und Guard aktivieren auswählen - dann geht der Schirm zu. Wenn du ihn nicht deaktivierst, wird er jedes hochladen der Datei unterbinden. Es ist nicht gefährlich, wenn du es so machst wie beschrieben.

  • "marie99" started this thread

Date of registration:
Jan 12th 2010

  • Send private message

12

Wednesday, January 13th 2010, 2:26pm

Hallo nighthawk und alle anderen lieben Helfer,

Hier ist erstmal das Ergebnis des html/rce.gen bei VirusTotal:

------------------------------------------------------------------------------------------------------------

Datei S0032341.Acl empfangen 2010.01.13 13:15:35 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/41 (7.32%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.48 2010.01.13 -
AhnLab-V3 5.0.0.2 2010.01.12 -
AntiVir 7.9.1.134 2010.01.13 HTML/Rce.Gen
Antiy-AVL 2.0.3.7 2010.01.12 -
Authentium 5.2.0.5 2010.01.12 -
Avast 4.8.1351.0 2010.01.12 -
AVG 9.0.0.725 2010.01.13 -
BitDefender 7.2 2010.01.13 -
CAT-QuickHeal 10.00 2010.01.13 -
ClamAV 0.94.1 2010.01.13 -
Comodo 3568 2010.01.13 -
DrWeb 5.0.1.12222 2010.01.13 -
eSafe 7.0.17.0 2010.01.13 -
eTrust-Vet 35.2.7234 2010.01.13 -
F-Prot 4.5.1.85 2010.01.12 -
F-Secure 9.0.15370.0 2010.01.13 -
Fortinet 4.0.14.0 2010.01.13 -
GData 19 2010.01.13 -
Ikarus T3.1.1.80.0 2010.01.13 -
Jiangmin 13.0.900 2010.01.13 -
K7AntiVirus 7.10.944 2010.01.11 Virus.DOS.CSL
Kaspersky 7.0.0.125 2010.01.13 -
McAfee 5859 2010.01.12 -
McAfee+Artemis 5859 2010.01.12 -
McAfee-GW-Edition 6.8.5 2010.01.13 Heuristic.Script.Rce
Microsoft 1.5302 2010.01.13 -
NOD32 4766 2010.01.13 -
Norman 6.04.03 2010.01.13 -
nProtect 2009.1.8.0 2010.01.13 -
Panda 10.0.2.2 2010.01.12 -
PCTools 7.0.3.5 2010.01.13 -
Prevx 3.0 2010.01.13 -
Rising 22.30.02.06 2010.01.13 -
Sophos 4.49.0 2010.01.13 -
Sunbelt 3.2.1858.2 2010.01.13 -
Symantec 20091.2.0.41 2010.01.13 -
TheHacker 6.5.0.3.148 2010.01.13 -
TrendMicro 9.120.0.1004 2010.01.13 -
VBA32 3.12.12.1 2010.01.13 -
ViRobot 2010.1.13.2134 2010.01.13 -
VirusBuster 5.0.21.0 2010.01.12 -
weitere Informationen
File size: 131112 bytes
MD5...: 498da8c6f8129b738ad62c7d9fa5b0a2
SHA1..: 55aaaa8e4e783944ad416e31b18202e55d682a8f
SHA256: 5aa599dc35abaf51b066e3a40d2dcd050626e24f4cb8f685f6825b27a2d65192
ssdeep: 1536:gQfdkItt/iKYmLNceeW75u7fSbelL77YkIL+YgKx9/G3JFV0uwhod:NHate
rgDSo7oLhDxA+u8u
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
trid..: Unknown!
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

-----------------------------------------------------------------------------------------------

Dann fand ich noch Folgendes bei Antivir zu diesem Virus:

Name: HTML/Rce.Gen
Entdeckt am: 14/08/2007
Art: Trojan
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein

---------------------------------------------------------------------------

Das klingt doch ganz gut, oder? Kann ich den Virus jetzt löschen (vorausgesetzt, ich bekomme ihn zunächst wieder vom Desktop in die Quarantäne geschoben ...)?

Danke
Marie

  • "marie99" started this thread

Date of registration:
Jan 12th 2010

  • Send private message

13

Wednesday, January 13th 2010, 2:33pm

... und prompt bekomme ich die Datei jetzt nicht vom Desktop wieder in die Quarantäne ... hab AntiVir drüberlaufen lassen (nur über diese Datei, die ja zuvor in der Quarantäne war und die ich wegen VirusTotal aufs Desktop geladen hatte), doch es kam keine Meldung, so dass ich die Datei nicht verschieben konnte. Jetzt hab ich ein ziemlich ungutes Gefühl mit dieser Virusdatei auf meinem Desktop ...

  • "marie99" started this thread

Date of registration:
Jan 12th 2010

  • Send private message

14

Wednesday, January 13th 2010, 2:39pm

... ich glaube, ich habs doch hinbekommen - über "AntiVir/Quarantäne/Verdächtige Datei hinzufügen". Jetzt hab ich diese Datei allerdings zweimal dort stehen, einmal so, wie so vorher dort stand: "Enthält Erkennungsmuster des html-scriptvirus html/rce.gen" und einmal als "Verdächtige Datei" (die vom Desktop). Ist das normal? Und kann ich jetzt beide löschen?

Danke,
so much.
Marie

Michael_Mann

Moderator

Date of registration:
Oct 24th 2005

Version:
Avira Ultimate Protection Suite
Avira Free Unix/Linux
Avira Android Security

Operating System:
AmigaOS 3.9, Ubuntu 13.10+ & Windows XP SP3, win7 HEdit. 64b (sp1)

  • Send private message

15

Wednesday, January 13th 2010, 7:38pm

Lasse mal diese beiden Dateien in der Quarantäne, da kann nichts mehr passieren.
Meine PCs: Amiga 1200 und WinUAE. Dafür ist Virenfreiheit garantiert.
Links: Tipps & Tricks -- HiJackThis -- Video Anleitungen
I speak german and english only

16

Wednesday, January 13th 2010, 9:50pm

Um einen Fehlalarm auszuschließen:

Bitte die Datei über das Webformular (link in meiner Signatur) zu Avira einsenden und im Webformular Verdacht auf Fehlalarm eingeben. Die Antwort bitte posten.

Die Datei kannst du einfach vom Desktop löschen. Nach dem Hochladen zu Avira kannst du auch die Dateien aus der Quarantäne löschen.

  • "marie99" started this thread

Date of registration:
Jan 12th 2010

  • Send private message

17

Thursday, January 14th 2010, 2:09pm

Muss ich die Datei für das Hochladen zu Avira wieder auf das Desktop laden? Dort hatte ich sie doch gerade gelöscht. Direkt aus dem Quarantäne-Ordner hab ich es jedenfalls nicht hochgeladen bekommen mit dem Formular.

Viele Grüße
Marie

18

Thursday, January 14th 2010, 6:29pm

Du kannst sie von hier hochladen - dies ist der Quarantäne - Ordner:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\INFECTED

  • "marie99" started this thread

Date of registration:
Jan 12th 2010

  • Send private message

19

Friday, January 15th 2010, 2:44pm

Hier ist die Antwort von Avira:

-----------------------------------------------------------------------

Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC00428858.

Wir haben folgende Archivdateien empfangen:

Datei ID Dateiname Größe (Byte) Ergebnis
25551601 4b7dcbee.qua 128.38 KB OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25551602 4b7dcbee.vir 128.04 KB FALSE POSITIVE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
4b7dcbee.vir FALSE POSITIVE

Die Datei '4b7dcbee.vir' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

--------------------------------------------------------------------------

Na, dann ist ja alles gut.
Mich würde aber dennoch interessieren, wie die anderen beiden Dateien (diese Dealio-Dateien) auf meinen Computer gekommen sind, ohne dass ich irgendetwas gemacht habe.

Bin SEHR erleichtert, dass ich jetzt nicht die Festplatte formatieren und alles neu machen muss ...

Euch allen vielen Dank!
Marie

20

Friday, January 15th 2010, 8:07pm

Die Delio Toolbar wird bei der Installation anderer Programme meist mitinstalliert, wenn man vergisst den Haken rauszunehmen.