wer oder was ist Suspicious.AD I

Question

Hallo zusammen ,

Laut Report findet NIS vermert Suspicious.AD


NIS 2009 Report

Kategorie:Behobene Sicherheitsrisiken
Datum/Uhrzeit,Risikostufe,Aktivität,Status,Empfohlene Aktion,Risikokategorie,Version der Definitionen,Komponente,Dateiname
03.08.2011 21:34,Hoch,Auto-Protect hat erkannt Suspicious.AD,"Blockiert, Blockiert",Behoben - Keine Aktion,Heuristikvirus,2011.07.31.003,Auto-Protect,c:\dokumente und einstellungen\all users\anwendungsdaten\avira\antivir desktop\temp\avguard_c7f12d80\000003d5-5fa34a58.av$
03.08.2011 12:13,Hoch,Auto-Protect hat erkannt Suspicious.AD,"Blockiert, Blockiert",Behoben - Keine Aktion,Heuristikvirus,2011.07.31.003,Auto-Protect,c:\dokumente und einstellungen\all users\anwendungsdaten\avira\antivir desktop\temp\avguard_c7f3a0b2\0000080e-f62ed048.av$
02.08.2011 22:16,Hoch,Auto-Protect hat erkannt Suspicious.AD,"Blockiert, Blockiert",Behoben - Keine Aktion,Heuristikvirus,2011.07.31.003,Auto-Protect,c:\dokumente und einstellungen\all users\anwendungsdaten\avira\antivir desktop\temp\avguard_c7ee3a6c\00000062-66df58b0.av$
02.08.2011 16:58,Hoch,Auto-Protect hat erkannt Suspicious.AD,"Blockiert, Blockiert",Behoben - Keine Aktion,Heuristikvirus,2011.07.31.003,Auto-Protect,c:\dokumente und einstellungen\all users\anwendungsdaten\avira\antivir desktop\temp\avguard_c7eeb4f9\000000ae-59f8b248.av$
01.08.2011 22:40,Hoch,Auto-Protect hat erkannt Suspicious.AD,"Blockiert, Blockiert",Behoben - Keine Aktion,Heuristikvirus,2011.07.31.003,Auto-Protect,c:\dokumente und einstellungen\all users\anwendungsdaten\avira\antivir desktop\temp\avguard_c7f154c9\000037e7-6244b708.av$
01.08.2011 22:40,Hoch,Auto-Protect hat erkannt Suspicious.AD,"Blockiert, Blockiert",Behoben - Keine Aktion,Heuristikvirus,2011.07.31.003,Auto-Protect,c:\dokumente und einstellungen\all users\anwendungsdaten\avira\antivir desktop\temp\avguard_c7f154c9\000037e6-d4c602e8.av$
01.08.2011 22:40,Hoch,Auto-Protect hat erkannt Suspicious.AD,"Blockiert, Blockiert",Behoben - Keine Aktion,Heuristikvirus,2011.07.31.003,Auto-Protect,c:\dokumente und einstellungen\all users\anwendungsdaten\avira\antivir desktop\temp\avguard_c7f154c9\000037e6-55c44078.av$
27.07.2011 11:01,Hoch,Auto-Protect hat erkannt Downloader,"Blockiert, Blockiert",Behoben - Keine Aktion,Virus,2011.07.19.040,Auto-Protect,c:\windows\temp\_avast_\unp111061681.tmp !


bemerkt sei hier noch das selbst Avira unter einem Win7 - PC bei Avast meckert , avast unter XP wieder deinstalliert , a2 besser !

Answer 1

-----------------------------------------------------------------------------------------------------------


In der Datei 'Battlefield 2\mods\fh2\binaries\fh2_toolbox\fh2_toolbox.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

21:55 03.08.2011 Es sei hier noch bemerkt das der Report vom 27062011 NICHTS dergleichen bemerkt - Komplett durchlauf !

Das Mod ist vom 2007-12-11 01:47:14.717937 eingespielt laut Log am 2011-02-11 14:58:24


-----------------------------------------------------------------------------------------------------------

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 27. Juni 2011 09:10 ! N I C H T S !

Es wird nach 2827845 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149986-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet


Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 11.06.2011 02:35:44
AVSCAN.DLL : 10.0.3.0 56168 Bytes 11.06.2011 02:35:44
LUKE.DLL : 10.0.2.3 104296 Bytes 11.06.2011 02:35:55
LUKERES.DLL : 10.0.0.0 13672 Bytes 11.06.2011 02:35:55
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 12:23:32
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 12:23:32
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 12:23:32
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 12:23:32
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 12:23:32
VBASE005.VDF : 7.11.8.179 2048 Bytes 31.05.2011 12:23:32
VBASE006.VDF : 7.11.8.180 2048 Bytes 31.05.2011 12:23:32
VBASE007.VDF : 7.11.8.181 2048 Bytes 31.05.2011 12:23:32
VBASE008.VDF : 7.11.8.182 2048 Bytes 31.05.2011 12:23:32
VBASE009.VDF : 7.11.8.183 2048 Bytes 31.05.2011 12:23:32
VBASE010.VDF : 7.11.8.184 2048 Bytes 31.05.2011 12:23:32
VBASE011.VDF : 7.11.8.185 2048 Bytes 31.05.2011 12:23:32
VBASE012.VDF : 7.11.8.186 2048 Bytes 31.05.2011 12:23:32
VBASE013.VDF : 7.11.8.222 121856 Bytes 02.06.2011 12:23:32
VBASE014.VDF : 7.11.9.7 134656 Bytes 04.06.2011 12:23:32
VBASE015.VDF : 7.11.9.42 136192 Bytes 06.06.2011 12:23:32
VBASE016.VDF : 7.11.9.72 117248 Bytes 07.06.2011 12:23:32
VBASE017.VDF : 7.11.9.107 130560 Bytes 09.06.2011 12:23:32
VBASE018.VDF : 7.11.9.143 132096 Bytes 10.06.2011 12:23:32
VBASE019.VDF : 7.11.9.172 141824 Bytes 14.06.2011 12:23:32
VBASE020.VDF : 7.11.9.214 144896 Bytes 15.06.2011 12:23:32
VBASE021.VDF : 7.11.9.244 196608 Bytes 16.06.2011 12:23:32
VBASE022.VDF : 7.11.10.28 152576 Bytes 20.06.2011 12:23:32
VBASE023.VDF : 7.11.10.53 210432 Bytes 21.06.2011 12:23:32
VBASE024.VDF : 7.11.10.88 132096 Bytes 24.06.2011 12:23:32
VBASE025.VDF : 7.11.10.89 2048 Bytes 24.06.2011 12:23:32
VBASE026.VDF : 7.11.10.90 2048 Bytes 24.06.2011 12:23:32
VBASE027.VDF : 7.11.10.91 2048 Bytes 24.06.2011 12:23:32
VBASE028.VDF : 7.11.10.92 2048 Bytes 24.06.2011 12:23:32
VBASE029.VDF : 7.11.10.93 2048 Bytes 24.06.2011 12:23:32
VBASE030.VDF : 7.11.10.94 2048 Bytes 24.06.2011 12:23:32
VBASE031.VDF : 7.11.10.105 77824 Bytes 26.06.2011 12:23:32
Engineversion : 8.2.5.24
AEVDF.DLL : 8.1.2.1 106868 Bytes 26.06.2011 12:23:32
AESCRIPT.DLL : 8.1.3.65 1606010 Bytes 26.06.2011 12:23:32
AESCN.DLL : 8.1.7.2 127349 Bytes 26.06.2011 12:23:30
AESBX.DLL : 8.2.1.34 323957 Bytes 26.06.2011 12:23:30
AERDL.DLL : 8.1.9.9 639347 Bytes 26.06.2011 12:23:30
AEPACK.DLL : 8.2.6.9 557429 Bytes 26.06.2011 12:23:30
AEOFFICE.DLL : 8.1.1.25 205178 Bytes 26.06.2011 12:23:30
AEHEUR.DLL : 8.1.2.132 3567992 Bytes 26.06.2011 12:23:30
AEHELP.DLL : 8.1.17.2 246135 Bytes 26.06.2011 12:23:30
AEGEN.DLL : 8.1.5.6 401780 Bytes 26.06.2011 12:23:30
AEEMU.DLL : 8.1.3.0 393589 Bytes 26.06.2011 12:23:30
AECORE.DLL : 8.1.21.1 196983 Bytes 26.06.2011 12:23:30
AEBB.DLL : 8.1.1.0 53618 Bytes 26.06.2011 12:23:30
AVWINLL.DLL : 10.0.0.0 19304 Bytes 11.06.2011 02:35:44
AVPREF.DLL : 10.0.0.0 44904 Bytes 11.06.2011 02:35:44
AVREP.DLL : 10.0.0.10 174120 Bytes 26.06.2011 12:23:32
AVREG.DLL : 10.0.3.0 53096 Bytes 11.06.2011 02:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 11.06.2011 02:35:44
AVARKT.DLL : 10.0.0.14 227176 Bytes 11.06.2011 02:35:43
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 11.06.2011 02:35:43
SQLITE3.DLL : 3.6.19.0 355688 Bytes 11.06.2011 02:35:55
AVSMTP.DLL : 10.0.0.17 63848 Bytes 11.06.2011 02:35:44
NETNT.DLL : 10.0.0.0 11624 Bytes 11.06.2011 02:35:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 11.06.2011 02:35:55
RCTEXT.DLL : 10.0.53.0 98152 Bytes 11.06.2011 02:35:55

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Einstellungen\Temp\8d832d5e.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 99
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 27. Juni 2011 09:10

Der Suchlauf über die ausgewählten Dateien wird begonnen:
Teil II


Beginne mit der Suche in 'C:\


Ende des Suchlaufs: Montag, 27. Juni 2011 12:12
Benötigte Zeit: 3:01:56 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

12721 Verzeichnisse wurden überprüft
483358 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
483358 Dateien ohne Befall
5098 Archive wurden durchsucht
0 Warnungen
0 Hinweise

Answer 2

Hallo,

es ist nicht ungewöhnlich, dass sich mehrere Virenscanner gegenseitig verdächtigen ein Schädling zu sein und dann auch gegenseitig blockieren. Deshalb rät auch jeder Hersteller solcher Software, ausschließlich eins dieser Programme einzusetzen und bei einem Wechsel das alte Programm zuerst vollständig zu entfernen, bevor das neue installiert wird. Und du redest hier gleich von 3 Programmen.

NIS berichtet dir hier, dass seine Selbstschutzfunktion den Hintergrundwächter von Avira erfolgreich daran hindern konnte, seine Arbeit zu machen, zumindest was die Dateien von NIS selbst angeht.

TR/Dropper.Gen wird gern mal von Avira gefunden, ich würde das Fundstück mal unter 'Verdacht auf Fehlalarm' zur Prüfung einschicken, du erhältst dann von Avira Nachricht, ob es sich um einen Fall von 'False positive' handelt oder nicht.

'Job Name..............................: ShlExt', damit kannst du heruntergeladene Dateien vor dem Öffnen prüfen, aber kein laufendes System. Bei diesem 'Job' bleiben die laufenden Prozesse und die Registry außen vor, eine 'Vollständige Systemprüfung ' könnte u.U. ein ganz anderes Bild ergeben.

Gruß
Kalle