Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Auf einmal HEUR/Trojan.Downloader

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.08.2006, 09:54   #1
jo1965
 
Auf einmal HEUR/Trojan.Downloader - Icon17

Auf einmal HEUR/Trojan.Downloader



Hallo,

ich habe seit nunmehr einem Jahr Sype (Internettelephonie) auf meinem Rechner.
Gestern nach meinem wöchentlichem AntiVir update und Scan meckert er über folgende Datei.

----------------- SCHNIPP --------------------------
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 5. August 2006 12:00

Es wird nach 474461 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows 2000
Windowsversion: (Service Pack 4) [5.0.2195]
Benutzername: ******
Computername: ******

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 12.02.2006 20:57:28
AVSCAN.DLL : 7.0.0.42 57384 12.02.2006 20:57:28
LUKE.DLL : 7.0.0.42 118824 12.02.2006 20:57:29
LUKERES.DLL : 7.0.0.42 32808 12.02.2006 20:57:29
ANTIVIR0.VDF : 6.35.0.1 7371264 12.02.2006 20:57:28
ANTIVIR1.VDF : 6.35.0.168 730112 12.02.2006 20:57:28
ANTIVIR2.VDF : 6.35.1.50 373248 12.02.2006 20:57:28
ANTIVIR3.VDF : 6.35.1.52 50688 12.02.2006 20:57:28
AVEWIN32.DLL : 7.1.1.2 1782272 12.02.2006 20:57:28
AVPREF.DLL : 7.0.0.1 53288 12.02.2006 20:57:28
AVREP.DLL : 6.35.1.25 737320 12.02.2006 20:57:28
AVRPBASE.DLL : 7.0.0.0 2162728 06.05.2006 09:02:07
AVPACK32.DLL : 7.1.0.1 335912 12.02.2006 20:57:28
AVREG.DLL : 6.31.0.90 27688 12.02.2006 20:57:28
NETNT.DLL : 6.32.0.0 6696 12.02.2006 20:57:29
NETNW.DLL : 6.32.0.0 9768 12.02.2006 20:57:29
RCIMAGE.DLL : 7.0.0.71 1642536 12.02.2006 20:57:30
RCTEXT.DLL : 7.0.0.75 77864 12.02.2006 20:57:30

C:\Programme\meine\Skype\Phone\unins000.exe
[FUND] Enthält verdächtigen Code: HEUR/Trojan.Downloader
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '453d700e.qua' verschoben!

----------------- SCHNAPP --------------------------

Ein Onlinescan dieser Datei (453d700e.qua) bei Virustotal ergab nichts (kein Virus).

Ist doch ein wenig irritierend, oder?
Vielen Dank im voraus.

Gruß
Jo

Alt 06.08.2006, 10:06   #2
cacatoa
 
Auf einmal HEUR/Trojan.Downloader - Standard

Auf einmal HEUR/Trojan.Downloader



Hi,
kein Grund zur Sorge. Hier sollte es sich um ein false-positive von Avira handeln, das sicherlich bald behoben sein wird.
Nobody is perfect...
Schönen Sonntag noch!
cacatoa
__________________

__________________

Alt 06.08.2006, 10:09   #3
irrlicht
 
Auf einmal HEUR/Trojan.Downloader - Standard

Auf einmal HEUR/Trojan.Downloader



Hallo jo1965,
schau dir die Meldung nochmal genau an.......
Das "HEUR" heißt Heuristik.Das ist sozusagen "raten auf hohem Niveau"....
Technische Erklärungen dazu, findest du in Wikipedia oder Google.
Ein Fehlalarm meines Erachtens...
Irrlicht
Edit
Moin cacatoa
Bist noch ganz schön fix (fg)...
__________________

Alt 06.08.2006, 10:15   #4
cacatoa
 
Auf einmal HEUR/Trojan.Downloader - Standard

Auf einmal HEUR/Trojan.Downloader



Moin @ irrlicht!
Die Strafe wird auf Dich herabregnen! *ggg*
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 06.08.2006, 10:33   #5
jo1965
 
Auf einmal HEUR/Trojan.Downloader - Standard

Auf einmal HEUR/Trojan.Downloader



Hi @ll,

wow das ging ja fix.
Also kann ich die Datei wieder aus dem Quarantäneverzeichnis befreien?

Wikipedia sagt über Heuristik folgendes.

Gruß
Jo


Alt 06.08.2006, 11:03   #6
irrlicht
 
Auf einmal HEUR/Trojan.Downloader - Standard

Auf einmal HEUR/Trojan.Downloader



Hallo jo,
[QUOTE][kann ich die Datei wieder aus dem Quarantäneverzeichnis befreien?

/QUOTE]
Jepp,kannst du...
Du kannst aber auch,wie bei "Rokop",noch ein paar Sicherheitsforen durchfragen....
Irrlicht

Alt 10.06.2007, 18:01   #7
demonhunter
 
Auf einmal HEUR/Trojan.Downloader - Standard

Auf einmal HEUR/Trojan.Downloader



hallo, habe ein ähnliches problem und weiß nicht was ich jetzt machen soll!

ich habe eben meinen computer hochgefahren und da macht antivir auch gleich eine meldung, dass es verdächtige dateien gefunden hat (4):

dateinameerster fall) C:\windows\installer.exe
(2.) C:\windows\2051.exe
(3.) C:\dokumente und einst.\administrator\...\chiii.exe
(4.) C:\dokumente und einst.\administrator\...\2051[1]
quarantäne objekt1.) 46d5233f.qua
(2.)46a11e8e.qua
(3.)46a11e61.qua
(4.)46df1f35.qua
betriebssystembei allen 4) windows NT/2000/XP workstation

Suchengine alle4) 7.03.00.15
virendefinitionsdateialle4) 6.37.00.03
Meldungalle4)enthält verdächtigen code:HEUR/crypted
Dtum/uhrzeit: (alle4) 10.06.2007 18.00 uhr (also noch ganz frisch)

was soll ich jetzt tun?? ich beziehe internet über kabel das ich mit 2 personen teile und habe angst das wenn ich ein virus bekomme mein vater und bruder auch virus haben! kann ich das irgendwie prüfen ob das ein virus ist oder nicht??

hoffentlich kann mit jemand helfen
danke schon mal!!
mfg

Alt 10.06.2007, 18:02   #8
demonhunter
 
Auf einmal HEUR/Trojan.Downloader - Standard

Auf einmal HEUR/Trojan.Downloader



ups! die smilis sollten eigentlich ein doppelpunkt und dann eine klammer sein^^

Alt 10.06.2007, 18:12   #9
.::|||::.
 

Auf einmal HEUR/Trojan.Downloader - Standard

Auf einmal HEUR/Trojan.Downloader



hi,
hast du zwei virenscanner aktiv oder was?
denn das antivir die eigene quarantäne scannt, und dort auch zeugs findet, ist mir nicht bekannt...
ich würde C:\windows\2051.exe mal löschen, wenns normal ned geht mit killbox (benutz google)
aus diesen pfaden werde ich ned schlau:
C:\dokumente und einst.\administrator\...\chiii.exe
C:\dokumente und einst.\administrator\...\2051[1]
was wohl die ... heissen... ich nehme mal an, das zeugs liegt im temp ordner, dann lade dir CCleaner oder clearprog, und lösche alle temp-dateien!
dann noch die dateien inder quarantäne von antivir löschen, und ein hjt-log posten!

edit: mit dem HEUR/Trojan.Downloader lag antivir richtig, der downloader ist in der chiii.exe!
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Alt 10.06.2007, 18:17   #10
demonhunter
 
Auf einmal HEUR/Trojan.Downloader - Standard

Auf einmal HEUR/Trojan.Downloader



nach dem ich in hochgefahren hatte kamen diese meldungen und dann hab ich über antivir das system durchsucht wodurch es noch eine datei gefunden hatte
und dass eine ist C:\dokumente und eistellungen\administrator(benutzername)

Alt 10.06.2007, 18:20   #11
demonhunter
 
Auf einmal HEUR/Trojan.Downloader - Standard

Auf einmal HEUR/Trojan.Downloader



also dann hab ich wahrscheinlich virus oder was?

Alt 10.06.2007, 18:32   #12
demonhunter
 
Auf einmal HEUR/Trojan.Downloader - Standard

Auf einmal HEUR/Trojan.Downloader



hab noch ein problem! ich mache grad noch ne systemuntersuchung und da hat antivir noch 2 datein gefunden:


dateiname: C:\programme\outlook\v.tmp
meldung: enthält signatur des wurms WORM/VB.DW
beim zweiten ist nur der dateiname anders:....\outlook\p.zip
quarantäne objekt: 1. 46e03317.qua
2.46e63311.qua
die systemuntesuchung steht jetzt auf 90% kann also sein das da noch was kommt
soll ich das auch nochmal von diesem virustotal prüfen lassen?? und was für datein soll ich jetzt noch löschen??? /diese datei 2051.exe hab ich jetzt entfernt)

Alt 10.06.2007, 18:50   #13
demonhunter
 
Auf einmal HEUR/Trojan.Downloader - Standard

Auf einmal HEUR/Trojan.Downloader



so die system überprüfung ist jetzt zuende und ich gib schreibe einfach mal den report hier rein:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 10. Juni 2007 17:58

Es wird nach 569934 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Administrator
Computername: ROUVEN

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.2 208936 Bytes 05.12.2006 14:29:57
AVSCAN.DLL : 7.0.3.0 35880 Bytes 26.10.2006 18:54:37
LUKE.DLL : 7.0.3.2 143400 Bytes 31.10.2006 15:07:43
LUKERES.DLL : 7.0.2.0 9256 Bytes 19.10.2006 07:27:59
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 07:15:44
ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14.11.2006 08:12:08
ANTIVIR2.VDF : 6.36.1.113 221696 Bytes 01.12.2006 08:12:12
ANTIVIR3.VDF : 6.37.0.3 6144 Bytes 01.12.2006 08:12:14
AVEWIN32.DLL : 7.3.0.15 1982976 Bytes 04.12.2006 16:18:38
AVPREF.DLL : 7.0.2.0 23592 Bytes 03.11.2006 08:56:47
AVREP.DLL : 6.37.0.3 983080 Bytes 01.12.2006 08:05:52
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 07:43:10
AVPACK32.DLL : 7.2.0.5 368680 Bytes 23.10.2006 14:21:31
AVREG.DLL : 7.0.1.1 30760 Bytes 23.10.2006 09:52:24
NETNT.DLL : Keine Information!
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08.11.2006 11:26:22
RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.11.2006 12:17:43

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Erweiterte Sucheinstellungen.....: 0x00001000

Beginn des Suchlaufs: Sonntag, 10. Juni 2007 17:58

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'PROFIL~1.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lѕass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ipwins.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wuaclt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'iwctrl.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'PCLETray.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'Update.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'whagent.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'retadpu1000137.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ToADiMon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'vidmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'nfomon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TrayIcon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'KBDAP32A.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'Amoumain.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'UAService7.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchosts.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '45' Prozesse mit '45' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 33 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\chiii.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d5233f.qua' verschoben!
C:\Programme\outlook\p.zip
[0] Archivtyp: ZIP
--> Setup.exe
[FUND] Enthält Signatur des Wurmes WORM/VB.DW
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46e63311.qua' verschoben!
C:\Programme\outlook\v.tmp
[FUND] Enthält Signatur des Wurmes WORM/VB.DW
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46e03317.qua' verschoben!
C:\WINDOWS\system32\drivers\core.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Sonntag, 10. Juni 2007 19:46
Benötigte Zeit: 1:47:36 min

Der Suchlauf wurde vollständig durchgeführt.

5013 Verzeichnisse wurden überprüft
262055 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
262052 Dateien ohne Befall
1414 Archive wurden durchsucht
3 Warnungen
0 Hinweise

Alt 11.06.2007, 13:12   #14
demonhunter
 
Auf einmal HEUR/Trojan.Downloader - Standard

Auf einmal HEUR/Trojan.Downloader



hab jetzt noch ein problem! ich habe nun eine verknüpfung auf dem desktop die ich nicht kenne und mir sicher bin das die da nie war oder ich sie installiert habe! sie heißt "click to find and fix errors"

Alt 16.06.2007, 19:55   #15
demonhunter
 
Auf einmal HEUR/Trojan.Downloader - Standard

Auf einmal HEUR/Trojan.Downloader



warum antwortet keiner?

Antwort

Themen zu Auf einmal HEUR/Trojan.Downloader
.dll, antivir, auf einmal, august, code, enthält, escan, folge, folgende, fund, gesuch, interne, internet, namen, nichts, nt.dll, nummer, onlinescan, programme, quara, samstag, scan, service, update, verdächtige, verschoben, windows




Ähnliche Themen: Auf einmal HEUR/Trojan.Downloader


  1. Zlob Trojan-Downloader & Gen:Trojan.Heur.mu!@YoPlN
    Plagegeister aller Art und deren Bekämpfung - 30.08.2014 (11)
  2. Kaspersky-Meldung : HEUR:Trojan-Downloader.Script.Generic
    Plagegeister aller Art und deren Bekämpfung - 21.06.2014 (10)
  3. [Win XP] botnet: ntp-muliplier; desinfect: Trojan.Script.Iframer, Trojan.Heur.TP, Win.Trojan.Iniduoh, Win.Trojan.Ramnit
    Log-Analyse und Auswertung - 08.02.2014 (16)
  4. Trojan.Heur.FU & Trojan.Heur.AutoIT.1 & Banker.d Worm
    Plagegeister aller Art und deren Bekämpfung - 07.01.2014 (34)
  5. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  6. Windows7:Kapersky findet HEUR:Trojan.Win32.generic und Trojan.Downloader.Win32MultiDL (Arbeitspc!)
    Log-Analyse und Auswertung - 15.11.2013 (9)
  7. Gen:Trojan.Heur.LP.sz4aaqOrUbbi und Win32.Trojan.Agent.000000
    Plagegeister aller Art und deren Bekämpfung - 18.05.2013 (4)
  8. BKA-Virus, PUM.UserWLoad, Trojan.Delf, Trojan.Ransom.Gen, alles auf einmal
    Log-Analyse und Auswertung - 18.11.2012 (23)
  9. Trijaner-Downloader.JS.Agent.gmg+Heur:Exploit.Java.CVE.2012-4681.ger
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  10. Virus Heur: Trojan- Downloader.Script.Generic
    Mülltonne - 28.07.2011 (3)
  11. Gen: Trojan.Heur.GM.01E0000002 und Trojan.Generic.4033639 von BitDefender Internet Security 2011 gef
    Plagegeister aller Art und deren Bekämpfung - 22.04.2011 (1)
  12. Kaspersky erkennt HEUR:Trojan-Downloader.Script.Generic im Fritz.Box Interface
    Plagegeister aller Art und deren Bekämpfung - 12.04.2011 (3)
  13. gen.trojan.heur!ik exploit.java.agent!ik trojan.bat.drive by!ik....
    Plagegeister aller Art und deren Bekämpfung - 24.02.2011 (3)
  14. Entfernung Trojan.Heur.Vundo.cu4@d4CKyXk sowie Trojan.Tdss.153
    Plagegeister aller Art und deren Bekämpfung - 17.01.2010 (1)
  15. Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (28)
  16. Trojan.Vundo/Trojan.Downloader/Trojan.Agent/Malware.Trace
    Plagegeister aller Art und deren Bekämpfung - 02.08.2008 (2)
  17. HILFEEEE!!!trojan-downloader-ruin, trojan-downloader-wareout
    Log-Analyse und Auswertung - 16.09.2005 (1)

Zum Thema Auf einmal HEUR/Trojan.Downloader - Hallo, ich habe seit nunmehr einem Jahr Sype (Internettelephonie) auf meinem Rechner. Gestern nach meinem wöchentlichem AntiVir update und Scan meckert er über folgende Datei. ----------------- SCHNIPP -------------------------- AntiVir PersonalEdition - Auf einmal HEUR/Trojan.Downloader...
Archiv
Du betrachtest: Auf einmal HEUR/Trojan.Downloader auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.