AntiVir-Fundmeldung: HEUR/HTML.Malware => Problem???

(Bitte durchlesen ... ist glaub ich wichtig um die Frage am Schluss zu verstehen!!!)​

Hallo zusammen,

habe mal wieder ein neues Virenproblem ... glaube ich.

Wenn ich das richtig sehe fing es damit an, dass ich dieses Add-On installierte:
Adblock Plus 1.3.1 (https://addons.mozilla.org/de/firefox/addon/1865/). Wobei ich nicht sicher bin, ob es an dem Add-On an sich oder der verwendeten Block-Liste liegt ... wenn das Add-On verantwortlich ist.

Wie ich darauf komme???
Erster Hinweis ist Ort des Fundes:

'Reklamiert' wird der Fund: HEUR/HTML.Malware in diesem Ordner

Zweiter Hinweis: Die Meldungen erfolgten erst nach der Installation (ca. 12-24 Stunden später).

Komisch bei der Geschichte ist:
Den/Die Ordner "\Cache\" bzw. "_CACHE_001_" gibt es auf meinem Rechner nicht. Habe im Explorer nachgesehen und nichts gefunden - Ordneroptionen: "Alle Dateien und Ordner anzeigen" ist aktiviert.

Darauf hin habe ich SpyBot S&D laufen lassen ... bzw. es versucht:
- Programm starten
- Update durchführen
- wie empfohlen "Immunisierung" gestartet

Im Gegensatz zum normalen Ablauf, hat das Programm diesmal die Immunisierung nur zu 2/3 durchgeführt ... danach hat die Darstellung des Programms geflackert und das Programm hat angefangen bereits immunisierte Profile/Dateien wieder zu de-immunisieren!!! Nach einiger Zeit - das Programm ließ sich nicht beenden - erschien Meldung: "Nicht genügend Quotes vorhanden um diese Aktion durchzuführen".
Auch das zweimalige Neuinstallieren des Programms (einmal drüber installiert; einmal deinstalliert-Neustart Windows-neu installiert) hat daran nichts geändert.

Avira-Antivir fing das Spinnen an (ließ sich entweder gar nicht öffnen bzw. ließ sich öffnen, beendete sich aber selbständig, wenn irgendwas angeklickt wurde) so dass selbst "Luke Filewalker" das Diagnosetool bei dem Versuch den Fundort zu überprüfen (mit Rechtsklick) abstürzte ...

'Schlau' wie ich bin, sagte ich mir: "Wenn es da ist (laut Avira AntiVir) und nicht sichtbar (laut Explorer und Antivir - nach geglücktem Überprüfungsversuch)... muss es ein Rootkit sein."

Also besorgte ich mir - in Unkenntnis der Materie - vier Rootkid-Scanner

• SOPHOS Anti-Root-Kit (installiert)
• AVG Anti-Rootkit Free (installiert)
• Gmer Antirootkit (nicht zur Installation gedacht)

Das letzte Progamm verstehe ich nicht ... die beiden ersten gratulierten mir zu einem "Rootkit-freien System" ...

Also einen Rootkit ... Virus ... Malware ... Dingsdabumsda ... hat ich nicht - oder???

Bevor ihr jetzt noch verwirrter seid als ich jetzt schon ... hier meine Frage:

Kann es sein, dass AVIRA Antivir ein von Adblock Plus 1.3.1 verwendete ... und NICHT schädliche ... Programm-Routine mit einem Mal-Ware-Virus verwechselt?

Falls ja ... was kann ich da machen? (Adblock ist bereits deinstalliert und über "Extras/Neueste Chroniken löschen" bis auf 'aktive Logins' wurde alles gelöscht).

EDIT:
Zweiter Verdacht:

Da bin ich mir aber noch weniger sicher:
Zum selben Zeitpunkt habe ich angefangen, mich vor dem Schließen des Browsers (FF Version 3.6.10) nicht mehr vom AB abzumelden ... da es ja der Forensoftware oder der Datenbank nicht schaden soll ...
(siehe: http://forum.hilfe-forum.eu/threads/495348-Quasselecke?p=1438033#post1438033 und http://forum.hilfe-forum.eu/threads/495348-Quasselecke?p=1438034#post1438034)

Ist es möglich, dass dies nicht nur als "Cookie" sondern als Eintrag in einer versteckten Datei auf der Festplatte gespeichert wird. So dass Antivir dies als Malware missversteht und den Zugriff löscht.

Bei jeder Antivir-Meldung (siehe Anhang) drücke ich auf "Entfernen" ... das Programm überprüft das System (ein Balken erscheint, zeigt den Fortschritt und verschwindet wieder) und beim nächsten Aufruf von ALPHA-BORAD und HILFE-FORUM muss ich mich wieder anmelden.

Wenn ich das nicht bald verstehe ... werde ich erst mal ein oder zwei Tage nicht reinkommen können, da ich dann - vorsichtshalber - mein komplettes System werde neu installieren müssen um einen Virusbefall ausschließen zu können

AW: AntiVir-Fundmeldung: HEUR/HTML.Malware => Problem???

Das eine hat mit den anderen nix zu tun. Das wird das Plugin selber sein....
lies mal was Avira dazu schreibt:
http://www.avira.com/de/support-threats-description/tid/4142/heur_html_malware.html//tlang/de

Ich würde dir empfehlen, das Plugin im abgesicherten Modus wieder zu deinstallieren und (auch im abgesicherten Modus) das Virenprogramm durchlaufen zu lassen und im Anschluß SpyBot, aber eben alles im abgesicherten.
Desweiteren schmeiß die Rootkit Scanner runter, viel hilft nicht zwangsläufig viel

AW: AntiVir-Fundmeldung: HEUR/HTML.Malware => Problem???

Ähm ... Fire? ... ich weiß ich schreib ein bisschen viel ... aber hast du meine ersten Beitrag ... komplett durchgelesen?

• Das Tool ist bereits dinstalliert! (OK nicht im "abgesicherten Modus" ... wo ist der überhaupt? Hab den seit Win98 nicht mehr gesehen, benutze WinXP?)
• Das Virenprogramm erkennt bei MANUELLER Prüfung (WENN sie mal funktioniert) keine Malware! (Vielleicht weil sie 'entfernt' ist? eine andere Möglichkeit gibt es scheinbar nicht auf der Meldung.)
• Spybot SPINNT IN DER GEGEND RUM!!! (Wieso soll ich der Funktion "System überprüfen" trauen, wenn die "Immunisierung" unzuverlässig ist und (scheinbar - für MICH ersichtlich - das Gegenteil tut - also die Immunisierung aufheben?)

Und irgendwie ... finde ich ... ist es sinnlos, das Tool erneut zu installieren, nur um es (im abges. Moduns) sofort wieder zu de-installieren ...

Auf die Seite bin ich auch gekommen bei meiner Recherche ... aber da ist von

die Rede und nicht von

und selbst wenn ICH dort irgendetwas finden würde was mir helfen könnten täten würde ... ICH VERSTEH NICHT WAS DA STEHT!!!

Bisher konnte ich nur herausfinden, dass meine zweite Vermutung - höchstwahrscheinlich - falsch ist, da die Meldung seit meinem Beitrag ständig erscheint, ich ständig auf "Entfernen" gehe und meine Anmeldung bei AB und HF trotzdem bestehen bleibt. Für diesen Effekt (dass ich beim erneuten Besuch wieder "draußen" stehe und mich neu anmelden muss) muss es also eine andere Erklärung geben ... was jetzt aber nicht weiter interessierte soll.

AW: AntiVir-Fundmeldung: HEUR/HTML.Malware => Problem???

Der abgesicherte Modus wäre bei XP das selbe wie beim 98er Beim Booten F8 -> abgesicherter Modus

HEUR/HTML.Malware wäre auch nur der "Oberbegriff"

...so nun zum Rest. Offentsichtlich läßt sich eben das Tool/Plugin nicht im normalen Modus deinstallieren, das Windows scheinbar eine Datei davon verwendet. Deswegen kommt auch jedesmal die Fehlermeldung wieder. Oberflächlich ist es weg, läuft aber noch im Hintergrund. Um sicher zu gehen empfehle ich eben die Scanns im abgesicherten.
Wegen der Anmeldung, da vermute ich das dein Datenschutz im Browser nicht korrekt eingestellt ist. Dazu aber erst mehr, wenn dein erstes Problem beseitigt ist.


.....und noch was, ich lese schon die Beiträge ganz durch

AW: AntiVir-Fundmeldung: HEUR/HTML.Malware => Problem???

OK ... dann weiß ich das jetzt - das mit dem durchlesen

Dann versuche ich das mal mit dem deinstallieren und Antivirprüfen im abgesicherten Modus. Hoffentlich muss ich den dazu nicht erst wieder installieren ...

AW: AntiVir-Fundmeldung: HEUR/HTML.Malware => Problem???

Sooo ... jezt ist es 02:04 Uhr und ich bin fertig mit dem Überprüfen ... und froh, dass die meißte Arbeit von Avira und Spybot erledigt wurde (der - gaaanz nebenbei - wieder richtig funktioniert ... auch wenn im abges. Modus kein Update gemacht werden konnte. Aber ich denke mal das ist normal).

Das Ergebnis:

Ich hatte also nicht nur die Malware sondern auch noch zwei sonstige Viren (oder einen Virus ... aber den doppelt?)
alle drei in Quarantäne und an Avira gemeldet (in meiner normalen Anmeldung - auch das scheint im abges. Modus nicht zu funzen)
SpyBot laufen lassen ... 46 Einträge im FF entdeckt und "gefixt"

Nun bin ich in meiner eigenen Anmeldung, starte den FF ... ... ... keine Meldung über Malware (SUPER!)
Bedanke mich bei dir Fire
bin noch verwirrter als vorher (warum hat Avira nicht auch die Java-Dinger gemeldet in meiner Anmeldung? - muss ich jetzt jede Virenprüfung im abges. Modus machen)

Und kann nur noch sagen "Lasst mich endlich in Ruhe ihr Schei*****" ... damit meine ich die Viren ... nicht dich Fire

AW: AntiVir-Fundmeldung: HEUR/HTML.Malware => Problem???

Cool, ich hatte zwar nie Probleme mit Viren... aber gut dass dus geschafft hast.

Ich hab jetzt erst gecheckt, dass es nicht Antivir Funmeldung (--> Witzmeldung) sondern Fundmeldung heißt. *hust*

AW: AntiVir-Fundmeldung: HEUR/HTML.Malware => Problem???

Ein echter Virenscann kann auch nur im abgesicherten Modus durchgeführt werden, da Windows keine Dateien löscht die zur Zeit im Gebrauch sind. Im abgesicherten wird nur das nötigste geladen (keine Treiber, keine Dienste, kein Netzwerk -deshalb auch kein Update oder Internet möglich etc).

AW: AntiVir-Fundmeldung: HEUR/HTML.Malware => Problem???

Mach dir nichts draus .. ICH hab´s geschrieben!!! Und muss immer zweimal hinsehen um nicht "Funkmeldung" zu lesen ...

@Fire: "echter Virenscan"? meinst du das im Sinne von "verlässlicher Virenscan", "gründlicher Virenscan" oder doch ehr im Sinn, dass jeder im Windows-Normal-Betrieb durchgeführter AV-Scan ein Witz bzw. ein Fake ist???
(Ich weiiiß ... ich bin ein echter Haarspalter ... aber je wenigber Wissen ich habe, desto angewiesener bin ich auf eine zweifelsfrei bzw. unzweideutige Ausdrucksweise ...)

AW: AntiVir-Fundmeldung: HEUR/HTML.Malware => Problem???

Ja, von mir aus verlässlicher
Im normalen Modus werden einige Schädlinge nicht gefunden bzw können eben nicht gelöscht werden. Ein Witz ist es deswegen aber nicht, eine Grundsicherheit ist gegeben.

AW: AntiVir-Fundmeldung: HEUR/HTML.Malware => Problem???

Ich hatte mit AntiVir damals ähnliche Probleme... Irgendwann habe Ich angefangen nurnoch mit dem Firefoxplugin NoScript zu surfen und seitdem ist Ruhe...