HEUR/HTML.Malware

  • geschlossen
  • Frage

  • heureka66
  • 4697 Aufrufe 7 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • HEUR/HTML.Malware

    Liebe FSBler, meine erste Frage hier mit großer Hoffnung auf Unterstützung: benutze AviraAntivir Premium. Das hat mir nun eine Meldung siehe Titel gemacht und ich kann das weder in Quarantäne schieben noch löschen. AntiVir meint, es sei eine Mailbox, daher werde es nicht gelöscht. Enthalte Teile des "100year-Virus"??? Meine festplatte rattert ständig, ohne AKtion meinerseits. Trotz Neustart, Update kann ich nix ändern. Was kann man tun? Danke!
  • Wie ich ja in der Frage geschrieben habe, läßt sich das Ganze weder in die Quarantäne schieben (also dass, was bei krombacher ging) noch eine andere Aktion ist möglich. Geupdatet habe ich natürlich, war ja der erste Hinweis,den ich gefunden hatte. Vielleicht habt Ihr noch eine Idee? Hab
  • Wie in einem der Beiträge schon geschrieben...

    HEUR heißt das Antivir vermutet das dort Schadsoftware und/oder ein Virus ist.

    Das heißt das da nicht wirklich einer sein muss!!
    [SIZE=1]
    Was ist der Unterschied zwischen einem U-Boot und MS Windows?
    Keiner, sobald man ein Fenster aufmacht, fangen die Probleme an
    Alle Tips von mir ohne Gewähr und auf eigenes Risiko !!
    UP1 UP2 UP3[/SIZE][SIZE=1]
    [/SIZE]
  • Habe in Antivir alles auf "alles durchsuchen,alle Dateitypen..." eingestellt und erneut einen Scan machen lassen, da sind denn nun 17 Funde herausgekommen. Allerdings hat sich offenbar die Einstellung "primäre AKtion: reparieren, sekundäre Aktion: löschen" selbst verändert, im Report steht eben "ignorieren... "Also ist alles drauf.. Werde es mit den Tipps aus dem Forum zum Entfernen versuchen, sind ja viele da... Vielleicht kann sich trotzdem jemand den Report anschauen? Wie akut ist das Problem? Danke!!

    Avira AntiVir Premium
    Erstellungsdatum der Reportdatei: Donnerstag, 17. April 2008 10:30

    Es wird nach 1204887 Virenstämmen gesucht.

    L
    Plattform: Windows XP
    Windowsversion: (Service Pack 2) [5.1.2600]
    Boot Modus: Normal gebootet
    Benutzername: SYSTEM


    Versionsinformationen:
    BUILD.DAT : 8.1.00.331 19215 Bytes 09.04.2008 16:07:00
    AVSCAN.EXE : 8.1.2.12 311553 Bytes 15.04.2008 08:59:36
    AVSCAN.DLL : 8.1.1.0 57601 Bytes 15.04.2008 08:59:36
    LUKE.DLL : 8.1.2.9 151809 Bytes 15.04.2008 08:59:36
    LUKERES.DLL : 8.1.2.0 12545 Bytes 15.04.2008 08:59:36
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 06:06:07
    ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 18:10:21
    ANTIVIR2.VDF : 7.0.3.156 795136 Bytes 11.04.2008 14:35:02
    ANTIVIR3.VDF : 7.0.3.177 154624 Bytes 17.04.2008 06:34:34
    Engineversion : 8.1.0.30
    AEVDF.DLL : 8.1.0.5 102772 Bytes 15.04.2008 08:59:37
    AESCRIPT.DLL : 8.1.0.23 233851 Bytes 15.04.2008 08:59:37
    AESCN.DLL : 8.1.0.13 115061 Bytes 15.04.2008 08:59:37
    AERDL.DLL : 8.1.0.19 418164 Bytes 15.04.2008 08:59:37
    AEPACK.DLL : 8.1.1.1 364918 Bytes 15.04.2008 08:59:37
    AEOFFICE.DLL : 8.1.0.17 192891 Bytes 15.04.2008 08:59:37
    AEHEUR.DLL : 8.1.0.18 1167735 Bytes 15.04.2008 08:59:37
    AEHELP.DLL : 8.1.0.12 115063 Bytes 15.04.2008 08:59:36
    AEGEN.DLL : 8.1.0.15 299379 Bytes 15.04.2008 08:59:36
    AEEMU.DLL : 8.1.0.5 430450 Bytes 15.04.2008 08:59:36
    AECORE.DLL : 8.1.0.26 168311 Bytes 15.04.2008 08:59:36
    AVWINLL.DLL : 1.0.0.7 14593 Bytes 15.04.2008 08:59:36
    AVPREF.DLL : 8.0.0.1 25857 Bytes 15.04.2008 08:59:36
    AVREP.DLL : 7.0.0.1 155688 Bytes 20.04.2007 14:14:53
    AVREG.DLL : 8.0.0.0 30977 Bytes 15.04.2008 08:59:36
    AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 08:59:36
    AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 15.04.2008 08:59:36
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 08:59:36
    SMTPLIB.DLL : 1.2.0.19 28929 Bytes 15.04.2008 08:59:36
    NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 08:59:36
    RCIMAGE.DLL : 8.0.0.31 2564353 Bytes 15.04.2008 08:59:32
    RCTEXT.DLL : 8.0.32.0 86273 Bytes 15.04.2008 08:59:32

    Konfiguration für den aktuellen Suchlauf:
    Job Name.........................: Vollständige Systemprüfung
    Konfigurationsdatei..............: c:\programme\antivir personaledition premium\sysscan.avp
    Protokollierung..................: niedrig
    Primäre Aktion...................: interaktiv
    Sekundäre Aktion.................: ignorieren
    Durchsuche Masterbootsektoren....: ein
    Durchsuche Bootsektoren..........: ein
    Bootsektoren.....................: C:, D:, E:,
    Durchsuche Speicher..............: ein
    Durchsuche aktive Programme......: ein
    Durchsuche Registrierung.........: ein
    Suche nach Rootkits..............: ein
    Datei Suchmodus..................: Alle Dateien
    Durchsuche Archive...............: ein
    Rekursionstiefe einschränken.....: aus
    Archiv Smart Extensions..........: ein
    Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
    Makrovirenheuristik..............: ein
    Dateiheuristik...................: hoch
    Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

    Beginn des Suchlaufs: Donnerstag, 17. April 2008 10:30

    Der Suchlauf nach versteckten Objekten wird begonnen.
    Es wurden '61145' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

    Der Suchlauf über gestartete Prozesse wird begonnen:
    Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'swdsvc.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svcntaux.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'LogitechDesktopMessenger.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'pdfSaver3.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'IBSERVER.EXE' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'SDTrayApp.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'acs.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'CNYHKey.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'mHotkey.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
    Es wurden '43' Prozesse mit '43' Modulen durchsucht

    Der Suchlauf über die Masterbootsektoren wird begonnen:
    Masterbootsektor HD0
    [INFO] Es wurde kein Virus gefunden!
    Masterbootsektor HD1
    [INFO] Es wurde kein Virus gefunden!
    [WARNUNG] Das Gerät ist nicht bereit.
    Masterbootsektor HD2
    [INFO] Es wurde kein Virus gefunden!
    [WARNUNG] Das Gerät ist nicht bereit.
    Masterbootsektor HD3
    [INFO] Es wurde kein Virus gefunden!
    [WARNUNG] Das Gerät ist nicht bereit.

    Der Suchlauf über die Bootsektoren wird begonnen:
    Bootsektor 'C:\'
    [INFO] Es wurde kein Virus gefunden!
    Bootsektor 'D:\'
    [INFO] Es wurde kein Virus gefunden!
    Bootsektor 'E:\'
    [INFO] Es wurde kein Virus gefunden!

    Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
    Die Registry wurde durchsucht ( '28' Dateien ).


    Der Suchlauf über die ausgewählten Dateien wird begonnen:

    Beginne mit der Suche in 'C:\' <BOOT>
    C:\hiberfil.sys
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    C:\pagefile.sys
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    C:\Dokumente und Einstellungen\Anke\Anwendungsdaten\Thunderbird\Profiles\ve1voepc.default\Mail\pop3.web.de\Inbox
    [0] Archivtyp: Netscape/Mozilla Mailbox
    --> Mailbox_[Message-ID: <5C091595.4332343@ninja.dk>][From: Citibank Deutschland <sicherheitsabteilung@citi][Subject: Citibank Deutschland: Mon, 5 Feb. 2007 05:07:0]68.mim
    [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/CitiBkFraud.2
    --> Mailbox_[From: 'Fifth Third Bank' <service-593998803ib@53.com>][Subject: Fifth Third Bank: confirm your account details!][Message-ID: <E1HENI8-0000WV-00@mx33.web.de>]72.mim
    [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
    --> Mailbox_[From: 'Postbank' <operator46143726684ib@postbank.de>][Subject: Sehr wichtig [Tue, 06 Feb 2007 12:33:18 -0500]][Message-ID: <E1HEUCQ-0005BL-00@mx20.web.de>]74.mim
    [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
    --> Mailbox_[From: 'Fifth Third Bank' <customerservice-num12659598][Subject: Security notice. -Tue, 06 Feb 2007 23:22:25 -05][Message-ID: <E1HEeKj-0006UF-00@mx40.web.de>]76.mim
    [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
    --> Mailbox_[From: 'Fifth Third Bank' <clients91111546586ver@secur][Subject: Confirm Your Online Account Details -Wed, 07 Fe][Message-ID: <E1HEsob-0006Z1-00@mx30.web.de>]80.mim
    [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/53bkfraud.2
    --> Mailbox_[From: 'Postbank' <rechnungsupport-id3715346098ib@post][Subject: amtlicher Bescheid -Thu, 08 Feb 2007 00:29:29 -][Message-ID: <E1HF12v-0006Mr-00@mx28.web.de>]84.mim
    [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
    --> Mailbox_[From: 'Fifth Third Bank' <services-364248594852ib@53.][Subject: Fifth Third Bank - Important Information -Wed, ][Message-ID: <E1HF1D5-0003Cf-00@mx27.web.de>]86.mim
    [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
    --> Mailbox_[From: 'Fifth Third Bank' <accounts-num859407ver@secur][Subject: Fifth Third Bank: important security notice!][Message-ID: <E1HFD8D-0008Ks-00@mx33.web.de>]90.mim
    [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
    --> Mailbox_[Message-ID: <ADA43A7B.0692698@csh.cl>][From: Mark Shultz <sales@neckermann.de>][Subject: Vielen Dank fur Ihren Einkauf der Videosammlung]92.mim
    [1] Archivtyp: MIME
    --> bezahlung.exe
    [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.N.1
    --> Mailbox_[Message-ID: <AC0ED09D.2837328@cebinet.com.br>][From: TMS Logistik <Jami@cebinet.com.br>][Subject: KD 98858 Webshop Bestellung 2.02.2007]102.mim
    [1] Archivtyp: MIME
    --> Bestellung-98858.pdf.exe
    [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.L
    --> Mailbox_[From: 'Fifth Third Bank' <operator_853746778733957ver][Subject: Fifth Third Bank - Important Information. [Sat,][Message-ID: <E1HFywo-0000Cn-00@mx33.web.de>]104.mim
    [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/53bkfraud.4
    --> Mailbox_[From: 'Fifth Third Bank' <clientservice-id30668442972][Subject: Fifth Third Bank: instructions for client [Sun,][Message-ID: <E1HGG55-0008Pz-00@mx32.web.de>]108.mim
    [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
    --> Mailbox_[From: 'Deutsche Postbank' <online-num573919802ib@post][Subject: Deutsche Postbank: amtlicher Bescheid -Mon, 12 ][Message-ID: <E1HGWOd-0003B9-00@mx32.web.de>]112.mim
    [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
    --> Mailbox_[From: 'Fifth Third Bank' <refnumber_id180915728ib@53.][Subject: instructions for customer. [Tue, 13 Feb 2007 15][Message-ID: <E1HH70V-0001J0-00@mx33.web.de>]118.mim
    [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/53bkfraud.2
    --> Mailbox_[From: 'Deutsche Postbank' <support_5371274248299ib@po][Subject: Deutsche Postbank: Sehr wichtig Wed, 14 Feb 200][Message-ID: <E1HHDoo-0001BG-00@mx32.web.de>]120.mim
    [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
    --> Mailbox_[From: 'Postbank' <dienst_id118528292364ib@postbank.de][Subject: Deutsche Postbank Internet Banking -Wed, 14 Feb][Message-ID: <E1HHUb4-0000Ma-00@mx27.web.de>]126.mim
    [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
    --> Mailbox_[Message-ID: <CF796CE2.4070007@nimfomanka.com.pl>][From: Kontakt <kontakt@citibank.de>][Subject: Citibank Deutschland: 16 Feb. 2007 03:36:12]130.mim
    [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/CitiBkFraud.2
    --> Mailbox_[Message-ID: <C2445F2A.9283509@nisr.com>][From: Kontakt <kontakt@citibank.de>][Subject: Citibank Deutschland: 16 Feb. 2007 03:36:12]132.mim
    [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/CitiBkFraud.2
    --> Mailbox_[From: 'Deutsche Postbank AG' <refid_06599ib@postbank.][Subject: eiliger Bescheid -Sun, 18 Feb 2007 09:24:46 -07][Message-ID: <E1HIot8-0004bA-00@mx28.web.de>]146.mim
    [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Postbkfraud.7
    --> Mailbox_[From: 'Deutsche Postbank AG' <refid_06599ib@postbank.][Subject: eiliger Bescheid -Sun, 18 Feb 2007 09:24:46 -07][Message-ID: <E1HIot8-0004bA-00@mx28.web.de>]152.mim
    [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Postbkfraud.7
    --> Mailbox_[From: 'Fifth Third Bank' <customerservice-4327412548v][Subject: important information for Fifth Third Bank cust][Message-ID: <E1HKkdR-0007BD-00@mx33.web.de>]184.mim
    [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
    --> Mailbox_[From: 'Branch Banking and Trust' <investigation-95334][Subject: Confirm your online account details][Message-ID: <E1HNLil-00045i-00@mx20.web.de>]238.mim
    [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Bankfraud.5
    --> Mailbox_[From: 'Sparkasse' <refid-737353sp@sparkasse.de>][Subject: Sparkasse: amtliche Nachrichten -Fri, 02 Mar 20][Message-ID: <E1HNLjU-0006DV-00@mx25.web.de>]240.mim
    [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/SparBkfraud.4
    --> Mailbox_[From: 'Citibank Deutschland' <referencenummer-id18653][Subject: amtlicher Bescheid][Message-ID: <E1HO2H6-0005Wp-00@mx21.web.de>]244.mim
    [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
    [WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
    C:\Dokumente und Einstellungen\Anke\Anwendungsdaten\Thunderbird\Profiles\ve1voepc.default\Mail\pop3.web.de\Junk
    [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
    [WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
    Beginne mit der Suche in 'D:\' <BACKUP>
    Beginne mit der Suche in 'E:\' <RECOVER>


    Ende des Suchlaufs: Donnerstag, 17. April 2008 11:28
    Benötigte Zeit: 58:01 min

    Der Suchlauf wurde vollständig durchgeführt.

    17713 Verzeichnisse wurden überprüft
    536878 Dateien wurden geprüft
    17 Viren bzw. unerwünschte Programme wurden gefunden
    8 Dateien wurden als verdächtig eingestuft
    0 Dateien wurden gelöscht
    0 Viren bzw. unerwünschte Programme wurden repariert
    0 Dateien wurden in die Quarantäne verschoben
    0 Dateien wurden umbenannt
    2 Dateien konnten nicht durchsucht werden
    536861 Dateien ohne Befall
    10276 Archive wurden durchsucht
    7 Warnungen
    0 Hinweise
    61145 Objekte wurden beim Rootkitscan durchsucht
    0 Versteckte Objekte wurden gefunden

  • Leere einfach mal den Junk Ordner in Thunderbird...

    Ist alles Spam was da auftaucht...
    [SIZE=1]
    Was ist der Unterschied zwischen einem U-Boot und MS Windows?
    Keiner, sobald man ein Fenster aufmacht, fangen die Probleme an
    Alle Tips von mir ohne Gewähr und auf eigenes Risiko !!
    UP1 UP2 UP3[/SIZE][SIZE=1]
    [/SIZE]