HTML/Rce.Gen5 --> Was nun?

Destinyx3 · 06.01.2013, 18:57

Hallo ihr Lieben,

ich bin ein totaler Laie was sowas wie Computer oder sonstiges angeht und nachdem mein erster Post auf dieser Seite ein Fehlalarm war, hab ich nun hier denke ich wirklich ein Problem.

Beim surfen meldete sich mein Virenscan und meldete mir das ich mir den Virus "HTML/Rce.Gen5" eingefangen habe. Im Internet fand ich nicht wirklich was dazu, nur allgemein zu dem Virus HTML/Rce.Gen und wusste halt nicht ob dies auch auf meinen Fall zutrifft.

Typ: Datei

Quelle: C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\ztqomix6.default\Cache\A\E7\EBECEd01

Status: Infiziert

Quarantäne-Objekt: 54930fa7.qua

Wiederhergestellt: NEIN

Zu Avira hochgeladen: NEIN

Betriebssystem: Windows XP/VISTA Workstation/Windows 7

Suchengine: 8.02.10.224

Virendefinitionsdatei: 7.11.56.06

Meldung: HTML/Rce.Gen5

Datum/Uhrzeit: 06.01.2013, 17:22

Das sind jetzt erstmal die allgemeinen Infos die mir angezeigt werden. Ich habe die Datei in Quarantäne gesteckt und vorsichtshalber den Firefox Cache gelöscht (Ich hoffe das war nicht falsch, wurde mir empfohlen ;( oder obs überhaupt wichtig war)

Ich kenne mich wirklich überhaupt nicht aus und weiß nun nicht was ich machen soll. Ich habe bereits einen Virenscann mit Avira danach durchgeführt (da ich gelesen habe, dass oftmals danach noch mehr Viren auftauchen, also bei HTML/Rec.Gen5), der war allerdings negativ und alles war sauber. Nun mache ich gerade den zweiten Durchlauf.

Dann habe ich allegmein mal ein wenig nach diesem Virus gegoogelt und diese Seite wurde mir empfohlen:

hxxp://www.helpster.de/html-rce-gen-entfernen-so-geht-s_83891

Es sieht ziemlich einfach aus und für mich als Laie wäre das natürlich vorteilhaft, aber werde ich den Virus auch so los? Nach dieser Anleitung?

Ich hoffe ihr könnt mir irgendwie helfen und entschuldigung wenn ich irgendwas falsch gemacht habe oder total doof rüberkomme

EDIT:
Hier noch weitere Infos

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 6. Januar 2013 17:22

Es wird nach 4605796 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Starter
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LISA-PC

Versionsinformationen:
BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00
AVSCAN.EXE : 12.3.0.48 468256 Bytes 14.11.2012 16:01:14
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 15:13:10
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 15:13:11
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 15:13:12
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 15:37:25
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 06:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 06:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:42:07
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 19:46:17
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 16:17:19
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 15:18:08
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 13:24:34
VBASE008.VDF : 7.11.55.142 2214912 Bytes 03.01.2013 16:01:11
VBASE009.VDF : 7.11.55.143 2048 Bytes 03.01.2013 16:01:11
VBASE010.VDF : 7.11.55.144 2048 Bytes 03.01.2013 16:01:12
VBASE011.VDF : 7.11.55.145 2048 Bytes 03.01.2013 16:01:12
VBASE012.VDF : 7.11.55.146 2048 Bytes 03.01.2013 16:01:12
VBASE013.VDF : 7.11.55.196 260096 Bytes 04.01.2013 16:01:30
VBASE014.VDF : 7.11.55.197 2048 Bytes 04.01.2013 16:01:30
VBASE015.VDF : 7.11.55.198 2048 Bytes 04.01.2013 16:01:30
VBASE016.VDF : 7.11.55.199 2048 Bytes 04.01.2013 16:01:30
VBASE017.VDF : 7.11.55.200 2048 Bytes 04.01.2013 16:01:30
VBASE018.VDF : 7.11.55.201 2048 Bytes 04.01.2013 16:01:30
VBASE019.VDF : 7.11.55.202 2048 Bytes 04.01.2013 16:01:31
VBASE020.VDF : 7.11.55.203 2048 Bytes 04.01.2013 16:01:31
VBASE021.VDF : 7.11.55.204 2048 Bytes 04.01.2013 16:01:31
VBASE022.VDF : 7.11.55.205 2048 Bytes 04.01.2013 16:01:31
VBASE023.VDF : 7.11.55.206 2048 Bytes 04.01.2013 16:01:31
VBASE024.VDF : 7.11.55.207 2048 Bytes 04.01.2013 16:01:31
VBASE025.VDF : 7.11.55.208 2048 Bytes 04.01.2013 16:01:31
VBASE026.VDF : 7.11.55.209 2048 Bytes 04.01.2013 16:01:31
VBASE027.VDF : 7.11.55.210 2048 Bytes 04.01.2013 16:01:31
VBASE028.VDF : 7.11.55.211 2048 Bytes 04.01.2013 16:01:31
VBASE029.VDF : 7.11.55.212 2048 Bytes 04.01.2013 16:01:32
VBASE030.VDF : 7.11.55.213 2048 Bytes 04.01.2013 16:01:32
VBASE031.VDF : 7.11.56.6 123392 Bytes 06.01.2013 16:00:43
Engineversion : 8.2.10.224
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 15:01:37
AESCRIPT.DLL : 8.1.4.78 467323 Bytes 20.12.2012 16:01:19
AESCN.DLL : 8.1.10.0 131445 Bytes 14.12.2012 19:31:35
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 12:19:03
AERDL.DLL : 8.2.0.74 643445 Bytes 07.11.2012 16:46:58
AEPACK.DLL : 8.3.1.2 819574 Bytes 20.12.2012 16:01:18
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 16:58:02
AEHEUR.DLL : 8.1.4.168 5628280 Bytes 20.12.2012 16:01:14
AEHELP.DLL : 8.1.25.2 258423 Bytes 11.10.2012 15:00:52
AEGEN.DLL : 8.1.6.12 434549 Bytes 14.12.2012 19:31:27
AEEXP.DLL : 8.3.0.4 184692 Bytes 20.12.2012 16:01:20
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 15:01:28
AECORE.DLL : 8.1.30.0 201079 Bytes 14.12.2012 19:31:23
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 16:57:45
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 15:13:10
AVPREF.DLL : 12.3.0.32 50720 Bytes 14.11.2012 16:01:12
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 15:13:12
AVARKT.DLL : 12.3.0.33 209696 Bytes 14.11.2012 16:01:11
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 15:13:10
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 15:13:11
AVSMTP.DLL : 12.3.0.32 63480 Bytes 08.08.2012 15:01:10
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 15:13:11
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 08.08.2012 15:01:01
RCTEXT.DLL : 12.3.0.32 98848 Bytes 14.11.2012 16:01:08

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_50e997cb\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Sonntag, 6. Januar 2013 17:22

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_5_502_135.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_5_502_135.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNSEMAIN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PHControl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FastUserSwitching.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FspUip.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AthBtTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BtvStack.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ForceField.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'adminservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ath_CoexAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IswSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Lisa\AppData\Local\Mozilla\Firefox\Profiles\ztqomix6.default\Cache\A\E7\EBECEd01'
C:\Users\Lisa\AppData\Local\Mozilla\Firefox\Profiles\ztqomix6.default\Cache\A\E7\EBECEd01
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54930fa7.qua' verschoben!

Ende des Suchlaufs: Sonntag, 6. Januar 2013 17:22
Benötigte Zeit: 00:45 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
64 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
63 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

markusg · 06.01.2013, 19:53

Hi,
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die
Textbox.

Code:

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Destinyx3 · 07.01.2013, 16:56

Erstmal vielen Dank für die Hilfe, doch bevor ich dies tue, habe ich erneut eine Frage.

Habe gestern (bevor ich diese antwort gesehen habe) eine E-Mail and Avira geschickt und diese Antwort erhalten:

Wir haben folgende Archivdateien empfangen:
Datei ID Dateiname Größe (Byte) Ergebnis
27345770 quarantine.zip 14.53 KB OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
27182186 54930fa7.vir 116.21 KB FALSE POSITIVE

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
54930fa7.vir FALSE POSITIVE

Die Datei '54930fa7.vir' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

Dies bedeuted doch eigentlich, dass diese Datei nun nicht gefährlich ist, oder? Sollte ich nun trotzdem noch deinen Vorschlag durchgehen oder reicht dies?

markusg · 07.01.2013, 17:40

Hi
wir machen einen Scan, und sichern dann den PC noch ab.
malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

HTML/Rce.Gen5 --> Was nun?

Plagegeister aller Art und deren Bekämpfung: HTML/Rce.Gen5 --> Was nun?