Hallo,

ich habe seit nunmehr einem Jahr Sype (Internettelephonie) auf meinem Rechner.
Gestern nach meinem wöchentlichem AntiVir update und Scan meckert er über folgende Datei.

----------------- SCHNIPP --------------------------
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 5. August 2006 12:00

Es wird nach 474461 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows 2000
Windowsversion: (Service Pack 4) [5.0.2195]
Benutzername: ******
Computername: ******

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 12.02.2006 20:57:28
AVSCAN.DLL : 7.0.0.42 57384 12.02.2006 20:57:28
LUKE.DLL : 7.0.0.42 118824 12.02.2006 20:57:29
LUKERES.DLL : 7.0.0.42 32808 12.02.2006 20:57:29
ANTIVIR0.VDF : 6.35.0.1 7371264 12.02.2006 20:57:28
ANTIVIR1.VDF : 6.35.0.168 730112 12.02.2006 20:57:28
ANTIVIR2.VDF : 6.35.1.50 373248 12.02.2006 20:57:28
ANTIVIR3.VDF : 6.35.1.52 50688 12.02.2006 20:57:28
AVEWIN32.DLL : 7.1.1.2 1782272 12.02.2006 20:57:28
AVPREF.DLL : 7.0.0.1 53288 12.02.2006 20:57:28
AVREP.DLL : 6.35.1.25 737320 12.02.2006 20:57:28
AVRPBASE.DLL : 7.0.0.0 2162728 06.05.2006 09:02:07
AVPACK32.DLL : 7.1.0.1 335912 12.02.2006 20:57:28
AVREG.DLL : 6.31.0.90 27688 12.02.2006 20:57:28
NETNT.DLL : 6.32.0.0 6696 12.02.2006 20:57:29
NETNW.DLL : 6.32.0.0 9768 12.02.2006 20:57:29
RCIMAGE.DLL : 7.0.0.71 1642536 12.02.2006 20:57:30
RCTEXT.DLL : 7.0.0.75 77864 12.02.2006 20:57:30

C:\Programme\meine\Skype\Phone\unins000.exe
[FUND] Enthält verdächtigen Code: HEUR/Trojan.Downloader
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '453d700e.qua' verschoben!
----------------- SCHNAPP --------------------------

Ein Onlinescan dieser Datei (453d700e.qua) bei Virustotal ergab nichts (kein Virus).

Ist doch ein wenig irritierend, oder?
Vielen Dank im voraus.

Gruß
Jo

Hi,
kein Grund zur Sorge. Hier sollte es sich um ein false-positive von Avira handeln, das sicherlich bald behoben sein wird.
Nobody is perfect...
Schönen Sonntag noch!
cacatoa

Hallo jo1965,
schau dir die Meldung nochmal genau an.......
Das "HEUR" heißt Heuristik.Das ist sozusagen "raten auf hohem Niveau"....
Technische Erklärungen dazu, findest du in Wikipedia oder Google.
Ein Fehlalarm meines Erachtens...
Irrlicht
Edit
Moin cacatoa
Bist noch ganz schön fix (fg)...

Moin @ irrlicht!
Die Strafe wird auf Dich herabregnen! *ggg*
cacatoa

Hi @ll,

wow das ging ja fix.
Also kann ich die Datei wieder aus dem Quarantäneverzeichnis befreien?

Wikipedia sagt über Heuristik folgendes.

Gruß
Jo

Hallo jo,
[QUOTE][kann ich die Datei wieder aus dem Quarantäneverzeichnis befreien?

/QUOTE]
Jepp,kannst du...
Du kannst aber auch,wie bei "Rokop",noch ein paar Sicherheitsforen durchfragen....
Irrlicht

hallo, habe ein ähnliches problem und weiß nicht was ich jetzt machen soll!

ich habe eben meinen computer hochgefahren und da macht antivir auch gleich eine meldung, dass es verdächtige dateien gefunden hat (4):

dateinameerster fall) C:\windows\installer.exe
(2.) C:\windows\2051.exe
(3.) C:\dokumente und einst.\administrator\...\chiii.exe
(4.) C:\dokumente und einst.\administrator\...\2051[1]
quarantäne objekt1.) 46d5233f.qua
(2.)46a11e8e.qua
(3.)46a11e61.qua
(4.)46df1f35.qua
betriebssystembei allen 4) windows NT/2000/XP workstation

Suchengine alle4) 7.03.00.15
virendefinitionsdateialle4) 6.37.00.03
Meldungalle4)enthält verdächtigen code:HEUR/crypted
Dtum/uhrzeit: (alle4) 10.06.2007 18.00 uhr (also noch ganz frisch)

was soll ich jetzt tun?? ich beziehe internet über kabel das ich mit 2 personen teile und habe angst das wenn ich ein virus bekomme mein vater und bruder auch virus haben! kann ich das irgendwie prüfen ob das ein virus ist oder nicht??

hoffentlich kann mit jemand helfen
danke schon mal!!
mfg

ups! die smilis sollten eigentlich ein doppelpunkt und dann eine klammer sein^^

hi,
hast du zwei virenscanner aktiv oder was?
denn das antivir die eigene quarantäne scannt, und dort auch zeugs findet, ist mir nicht bekannt...
ich würde C:\windows\2051.exe mal löschen, wenns normal ned geht mit killbox (benutz google)
aus diesen pfaden werde ich ned schlau:
C:\dokumente und einst.\administrator\...\chiii.exe
C:\dokumente und einst.\administrator\...\2051[1]
was wohl die ... heissen... ich nehme mal an, das zeugs liegt im temp ordner, dann lade dir CCleaner oder clearprog, und lösche alle temp-dateien!
dann noch die dateien inder quarantäne von antivir löschen, und ein hjt-log posten!

edit: mit dem HEUR/Trojan.Downloader lag antivir richtig, der downloader ist in der chiii.exe!

nach dem ich in hochgefahren hatte kamen diese meldungen und dann hab ich über antivir das system durchsucht wodurch es noch eine datei gefunden hatte
und dass eine ist C:\dokumente und eistellungen\administrator(benutzername)

also dann hab ich wahrscheinlich virus oder was?

hab noch ein problem! ich mache grad noch ne systemuntersuchung und da hat antivir noch 2 datein gefunden:


dateiname: C:\programme\outlook\v.tmp
meldung: enthält signatur des wurms WORM/VB.DW
beim zweiten ist nur der dateiname anders:....\outlook\p.zip
quarantäne objekt: 1. 46e03317.qua
2.46e63311.qua
die systemuntesuchung steht jetzt auf 90% kann also sein das da noch was kommt
soll ich das auch nochmal von diesem virustotal prüfen lassen?? und was für datein soll ich jetzt noch löschen??? /diese datei 2051.exe hab ich jetzt entfernt)

so die system überprüfung ist jetzt zuende und ich gib schreibe einfach mal den report hier rein:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 10. Juni 2007 17:58

Es wird nach 569934 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Administrator
Computername: ROUVEN

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.2 208936 Bytes 05.12.2006 14:29:57
AVSCAN.DLL : 7.0.3.0 35880 Bytes 26.10.2006 18:54:37
LUKE.DLL : 7.0.3.2 143400 Bytes 31.10.2006 15:07:43
LUKERES.DLL : 7.0.2.0 9256 Bytes 19.10.2006 07:27:59
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 07:15:44
ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14.11.2006 08:12:08
ANTIVIR2.VDF : 6.36.1.113 221696 Bytes 01.12.2006 08:12:12
ANTIVIR3.VDF : 6.37.0.3 6144 Bytes 01.12.2006 08:12:14
AVEWIN32.DLL : 7.3.0.15 1982976 Bytes 04.12.2006 16:18:38
AVPREF.DLL : 7.0.2.0 23592 Bytes 03.11.2006 08:56:47
AVREP.DLL : 6.37.0.3 983080 Bytes 01.12.2006 08:05:52
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 07:43:10
AVPACK32.DLL : 7.2.0.5 368680 Bytes 23.10.2006 14:21:31
AVREG.DLL : 7.0.1.1 30760 Bytes 23.10.2006 09:52:24
NETNT.DLL : Keine Information!
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08.11.2006 11:26:22
RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.11.2006 12:17:43

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Erweiterte Sucheinstellungen.....: 0x00001000

Beginn des Suchlaufs: Sonntag, 10. Juni 2007 17:58

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'PROFIL~1.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lѕass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ipwins.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wuaclt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'iwctrl.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'PCLETray.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'Update.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'whagent.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'retadpu1000137.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ToADiMon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'vidmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'nfomon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TrayIcon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'KBDAP32A.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'Amoumain.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'UAService7.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchosts.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '45' Prozesse mit '45' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 33 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\chiii.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d5233f.qua' verschoben!
C:\Programme\outlook\p.zip
[0] Archivtyp: ZIP
--> Setup.exe
[FUND] Enthält Signatur des Wurmes WORM/VB.DW
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46e63311.qua' verschoben!
C:\Programme\outlook\v.tmp
[FUND] Enthält Signatur des Wurmes WORM/VB.DW
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46e03317.qua' verschoben!
C:\WINDOWS\system32\drivers\core.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Sonntag, 10. Juni 2007 19:46
Benötigte Zeit: 1:47:36 min

Der Suchlauf wurde vollständig durchgeführt.

5013 Verzeichnisse wurden überprüft
262055 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
262052 Dateien ohne Befall
1414 Archive wurden durchsucht
3 Warnungen
0 Hinweise

hab jetzt noch ein problem! ich habe nun eine verknüpfung auf dem desktop die ich nicht kenne und mir sicher bin das die da nie war oder ich sie installiert habe! sie heißt "click to find and fix errors"

warum antwortet keiner?