Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.10.2008, 11:16   #1
Hal
 
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Standard

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?



Hallo,

habe heute mal eine routinemäßigen Scan mit MBAM gemacht (ohne dass besondere Symptome für einen Virenbefall vorlagen) und zu meiner Verwunderung wurden zwei Infektionen gemeldet:

Infizierte Dateien:
C:\Dokumente und Einstellungen\*username*\results.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\userinit.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Nun war ich doch etwas überrascht, da sich kein Virus bemerkbar macht. Mein System (WinXP SP3, IE7, benutze für I-net und Email Opera 9.61) halte ich immer auf dem neuesten Stand, weder bekomme ich seltsame Emails (nicht mal Spam) noch würde ich unbekannte Anhänge öffnen, auf komischen Seiten bewege ich mich schon mal überhaupt nicht.

Hab daraufhin mal die userinit.exe bei Virustotal auswerten lassen (Virustotal. MD5: d1e53dc57143f2584b1dd53b036c0633), ohne Ergebnis.

Google meinte, dass Heuristics.Reserved.Word.Exploit-Meldungen von MBAM manchmal auch False Positives sind, ich würde aber trotzdem gerne auf Nummer sicher gehen.

Hier die Logs von HijackThis und MBAM:

HiJackThis:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:52:42, on 28.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PTBSync\PTBSync.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\*username*\Desktop\Security\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://www.kaspersky.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 3410 bytes
         
MBAM:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1331
Windows 5.1.2600 Service Pack 3

28.10.2008 10:36:22
mbam-log-2008-10-28 (10-36-18).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48563
Laufzeit: 5 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\*username*\results.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\userinit.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
         
Geben die Logs Anlass zur Sorge?

Gruss,
Hal.

Alt 28.10.2008, 11:20   #2
myrtille
/// TB-Ausbilder
 
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Standard

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?



Hi,

ja, da gibt es anlass zur Sorge.

Wo lag die Datei, die du bei virustotal hochgeladen hast?

Gib bitte mal den Pfad "C:\windows\userinit.exe" bei virustotal ein und lass die Datei auswerten.

lg myrtille

EDIT: Wieso hast du keine Antivirenprogramme installiert?
__________________

__________________

Alt 28.10.2008, 11:25   #3
Hal
 
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Standard

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?



Das ging ja fix.

Habe die Datei eigentlich genauso hochgeladen, wie du es beschrieben hast, also den Pfad "c:\windows\userinit.exe" eingegeben, dann auf "Senden der Datei", dann auf "Analysiere die Datei".

Hab's gerade noch einmal so gemacht. Ergebnis:

Virustotal. MD5: d1e53dc57143f2584b1dd53b036c0633

Gruss,
Hal.
__________________

Alt 28.10.2008, 11:27   #4
myrtille
/// TB-Ausbilder
 
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Standard

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?



Hi,

das scheint die "legitime" userinit.exe zu sein, sie hat jedoch an dem Ort absolut nichts verloren.

Könntest du bitte folgende Datei ebenfalls bei Virustotal hochladen:
C:\windows\system32\userinit.exe

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 28.10.2008, 11:49   #5
Hal
 
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Standard

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?



Hallo,

hmm, ich kann mich sehr dunkel daran erinnern, dass ich vor einigen Monaten mal Probleme mit Login hatte (nach Installation eines Vista Transformation Pack) und im Zuge der anschließenden Reparatur auch die userinit.exe in ein anderes Verzeichnis kopiert habe. Möglich, dass sie dadurch in das Verzeichnis c:\Windows gelangt ist.

Hier mal die Virustotal-Auswertung der userinit.exe in system32: http://www.virustotal.com/de/analisi...a365c2941bd32c

Und die Logs von RSIT:

info.txt:
Code:
ATTFilter
info.txt logfile of random's system information tool 1.04 2008-10-28 11:40:06

======Uninstall list======

-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop 5.0 Limited Edition-->C:\WINDOWS\UNIN0407.EXE -f"C:\Programme\Adobe\Photoshop 5.0 LE\DeIsL1.isu" -c"C:\Programme\Adobe\Photoshop 5.0 LE\Uninst.dll"
Adobe Photoshop CS3-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\5f143314a5d434c8511097393d17397\Setup.exe
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
Adobe Setup-->MsiExec.exe /I{F01F79AD-1F47-4685-AE4E-CCFA4EA9FF7C}
Aspell English Dictionary-0.50-2-->C:\Programme\Aspell\unins001.exe
Aspell German Dictionary-0.50-2-->C:\Programme\Aspell\unins002.exe
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
ClearType Tuning Control Panel Applet-->MsiExec.exe /I{C9E4932C-8417-4E4C-A0E3-EE534810AB4D}
Corel Applications-->C:\WINDOWS\Corel\Uninstal.exe
doPDF 6.0  printer-->"C:\Programme\Softland\doPDF 6\unins000.exe"
Dragon NaturallySpeaking 8-->MsiExec.exe /I{DDDD0C4B-57F7-4A85-ACF0-DB3FC8F1DBB4}
FileZilla Client 3.1.3.1-->C:\Programme\FileZilla FTP Client\uninstall.exe
Foxit Reader-->C:\Programme\Foxit Software\Foxit Reader\Uninstall.exe
GIMP 2.4.6-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
GIMPshop 2.2.8-->C:\Programme\GIMPshop\uninst.exe
GNU Aspell 0.50-3-->C:\Programme\Aspell\unins000.exe
GTK+ 2.10.11 runtime environment-->"C:\Programme\Gemeinsame Dateien\GTK\2.0\setup\unins000.exe"
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\*username*\Desktop\Security\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Intel Matrix Storage Manager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}\Setup.exe"   -l0407 -INTELUNINST
Intel(R) Graphics Media Accelerator Driver for Mobile-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx2ID PCI\VEN_8086&DEV_2792 PCI\VEN_8086&DEV_2592
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Kaspersky Online Scanner-->C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
Maguma Studio 1.3.4-->"C:\Programme\Maguma\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP Media Content-->MsiExec.exe /I{90300409-6000-11D3-8CFE-0050048383C9}
Microsoft Office XP Small Business-->MsiExec.exe /I{91130409-6000-11D3-8CFE-0050048383C9}
Motorola SM56 Data Fax Modem-->C:\WINDOWS\Motorola\SMSERIAL\sm56unst.exe
Mozilla Firefox (3.0.3)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSN-->C:\Programme\MSN\MsnInstaller\msninst.exe /Action:ARP
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{C4A230B7-518F-4224-A5A3-27F06CC57111}
Nero Suite-->C:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID=""
Opera 9.61-->MsiExec.exe /X{F8CCEF4F-6EEF-4B81-B70D-821E72451D93}
PDF 2 ImagePDF 2-->C:\WINDOWS\cadkasdeinst01.exe "C:\Programme\PDF 2 ImagePDF 2\"
PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
PDFCreator-->C:\Programme\PDFCreator\unins000.exe
Peter's Flexible RenAmiNg Kit (PFrank) 2.19-->"C:\Programme\PFrank\unins000.exe"
PHP 5.2.6-->MsiExec.exe /I{6E1205BF-25BC-44A5-B10E-34402BFF5D45}
PTBSync (Atomuhr Synchronisation & Terminkalender)-->C:\Programme\PTBSync\PTBSync.exe /UnInstall
Quicksys RegDefrag 2.0-->"C:\Programme\Quicksys\RegDefrag\unins000.exe"
RadarSync -->C:\Programme\RadarSync\uninst.exe
Registry System Wizard-->"C:\Programme\Registry System Wizard\unins000.exe"
Revo Uninstaller 1.75-->C:\Programme\VS Revo Group\Revo Uninstaller\uninst.exe
Secunia PSI (RC3)-->"C:\Programme\Secunia\PSI (RC3)\uninstall.exe"
Security Task Manager 1.7f-->C:\Programme\Security Task Manager\Uninstal.exe "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Security Task Manager"
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)-->"C:\WINDOWS\ie7updates\KB928090-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)-->"C:\WINDOWS\ie7updates\KB929969\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\setup.exe" -l0x7  -removeonly
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Texas Instruments PCIxx21/x515 drivers.-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{E7A744FD-E1B8-4FF6-ADC1-EA4C32181457} /l1033 
Trillian-->C:\Programme\Trillian\trillian.exe /uninstall
Ultra Defragmenter-->"C:\WINDOWS\UltraDefrag\uninstall.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update Manager-->MsiExec.exe /I{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}
VertrigoServ (remove only)-->C:\Programme\VertrigoServ\Uninstall.exe
Vista Icon Pack v3 System Patch-->VIPuninstall.bat
VistaMizer 2.5.2.0-->C:\WINDOWS\VistaMizer\Uninstall.exe
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Format SDK Hotfix - KB891122-->"C:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Messenger 5.1-->MsiExec.exe /I{76EA55BD-535F-4AB4-AD80-A8CA331F4E6F}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
xp-AntiSpy 3.96-8-->C:\Programme\xp-AntiSpy\Uninstall.exe

=====HijackThis Backups=====

O23 - Service: OneStep Search Service - OneStepSearch.net, Inc. - C:\Programme\OneStepSearch\onestep.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\userinit.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O24 - Desktop Component 0: (no name) - (no file)

======Hosts File======

127.0.0.1 ilead.track.it
127.0.0.1 www.layer-ads.de
127.0.0.1 layer-ads.de
127.0.0.1 www.sponsorads.de
127.0.0.1 sponsorads.de
127.0.0.1 www.way2cash.eu
127.0.0.1 www.ad4cash.de
127.0.0.1 www.adpark.de
127.0.0.1 www.adspin.de
127.0.0.1 www.gigacash.de

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=C:\Programme\VertrigoServ\Php\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM;C:\Perl\bin;C:\Programme\Gemeinsame Dateien\GTK\2.0\bin
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 13 Stepping 8, GenuineIntel
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=0d08
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%
"PHPRC"=C:\Programme\VertrigoServ\Php\

-----------------EOF-----------------
         


Alt 28.10.2008, 11:50   #6
Hal
 
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Standard

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?



log.txt:
Code:
ATTFilter
Logfile of random's system information tool 1.04 (written by random/random)
Run by *username* at 2008-10-28 11:40:04
Microsoft Windows XP Professional Service Pack 3
System drive C: has 34 GB (60%) free of 57 GB
Total RAM: 502 MB (46% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:40:05, on 28.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PTBSync\PTBSync.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\*username*\Desktop\RSIT.exe
C:\Dokumente und Einstellungen\*username*\Desktop\Security\Admin.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://www.kaspersky.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 3460 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"PTBSync"=C:\Programme\PTBSync\PTBSync.exe [2008-10-27 492544]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2008-10-22 399504]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleanup]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe [2008-04-14 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
C:\WINDOWS\system32\hkcmd.exe [2005-03-22 126976]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe [2005-03-09 139264]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
C:\WINDOWS\system32\igfxtray.exe [2005-03-22 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe [2005-08-11 249856]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [2005-08-11 81920]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\rfagent]
C:\Programme\RFA\rfagent.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe [2008-09-29 21755688]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
C:\WINDOWS\sm56hlpr.exe [2005-04-26 544768]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2003-09-29 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 144784]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2004-10-05 688218]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
C:\Programme\Synaptics\SynTP\SynTPLpr.exe [2004-10-05 98394]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VIPv3_Auto_Update]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vistadrv]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VisualTooltip]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Ad Muncher.lnk]
C:\PROGRA~1\ADMUNC~1\AdMunch.exe [2007-11-03 779776]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^CLCL.lnk]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Hotmail Popper.lnk]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^OpenOffice.org 1.1.5.lnk]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^OpenOffice.org 2.2.lnk]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MacroMaker.lnk]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~3\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"IDriverT"=3
"IAANTMon"=2
"gusvc"=2
"AVWUpSrv"=2
"AntiVirService"=2
"wscsvc"=2
"sdCoreService"=2
"sdAuxService"=2
"WLSetupSvc"=3
"usnjsvc"=3
"FLEXnet Licensing Service"=3
"AVP"=3
"Apache2.2"=3
"aawservice"=3
"MDM"=2
"ImapiService"=3
"PSI_SVC_2"=2

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2005-03-22 348160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-05 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\Programme\Maguma\tools\DbgListener.exe"="C:\Programme\Maguma\tools\DbgListener.exe:*:Disabled:Listener for php debugger DBG"
"C:\Programme\Opera\Opera.exe"="C:\Programme\Opera\Opera.exe:*:Enabled:Opera Internet Browser"
"C:\Programme\ftp-uploader\FTPUploader.exe"="C:\Programme\ftp-uploader\FTPUploader.exe:*:Enabled:ftpuploader.de"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\VertrigoServ\Apache\bin\v_apache.exe"="C:\Programme\VertrigoServ\Apache\bin\v_apache.exe:*:Enabled:Apache h**p Server"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b6b299a4-05f1-11dc-86af-000ae4aa4c84}]
shell\AutoRun\command - E:\Secret.exe
shell\explore\command - E:\Secret.exe
shell\open\command - E:\Secret.exe


======File associations======

.js - edit - 
.js - open - 

======List of files/folders created in the last 1 months======

2008-10-28 11:40:04 ----D---- C:\rsit
2008-10-28 10:28:27 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\Malwarebytes
2008-10-28 10:28:22 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-28 10:28:21 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2008-10-28 08:14:29 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\Miranda
2008-10-27 08:43:22 ----SD---- C:\Programme\PTBSync
2008-10-27 08:43:22 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PTBSync
2008-10-24 08:38:53 ----D---- C:\Programme\GIMPshop
2008-10-16 09:34:23 ----D---- C:\OFFICE10
2008-10-15 09:29:02 ----A---- C:\WINDOWS\longfile.INI
2008-10-15 09:28:59 ----RA---- C:\WINDOWS\system32\VBOA300.DLL
2008-10-15 09:28:59 ----RA---- C:\WINDOWS\system32\VBDB300.DLL
2008-10-15 09:28:59 ----RA---- C:\WINDOWS\system32\VBA32.DLL
2008-10-15 09:28:58 ----RA---- C:\WINDOWS\system32\VBAR2132.DLL
2008-10-15 09:28:58 ----RA---- C:\WINDOWS\system32\VBAEN32.DLL
2008-10-15 09:28:58 ----RA---- C:\WINDOWS\system32\MSOC95.DLL
2008-10-15 09:28:58 ----RA---- C:\WINDOWS\system32\MSLT3032.DLL
2008-10-15 09:28:57 ----RA---- C:\WINDOWS\system32\VBRUN300.DLL
2008-10-15 09:28:57 ----RA---- C:\WINDOWS\system32\MSXL3032.DLL
2008-10-15 09:28:57 ----RA---- C:\WINDOWS\system32\MSXB3032.DLL
2008-10-15 09:28:57 ----RA---- C:\WINDOWS\system32\MSTX3032.DLL
2008-10-15 09:28:57 ----RA---- C:\WINDOWS\system32\MSRD2X32.DLL
2008-10-15 09:28:57 ----RA---- C:\WINDOWS\system32\MSPX3032.DLL
2008-10-15 09:28:56 ----RA---- C:\WINDOWS\system32\VBAR2232.DLL
2008-10-15 09:28:56 ----RA---- C:\WINDOWS\system32\MSJTER32.DLL
2008-10-15 09:28:56 ----RA---- C:\WINDOWS\system32\MSJINT32.DLL
2008-10-15 09:28:55 ----RA---- C:\WINDOWS\system32\MSJT3032.DLL
2008-10-15 09:26:29 ----N---- C:\WINDOWS\system32\scpext.dll
2008-10-15 09:26:28 ----N---- C:\WINDOWS\system32\mfcuia32.dll
2008-10-15 09:26:28 ----N---- C:\WINDOWS\system32\mfcans32.dll
2008-10-15 09:26:27 ----N---- C:\WINDOWS\system32\mfc30.dll
2008-10-15 09:26:25 ----N---- C:\WINDOWS\system32\scint70.dll
2008-10-15 09:26:08 ----D---- C:\Programme\Corel Draw 7
2008-10-15 08:52:15 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\InstallShield
2008-10-14 10:02:07 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
2008-10-14 09:58:41 ----A---- C:\WINDOWS\system32\javaws.exe
2008-10-14 09:58:41 ----A---- C:\WINDOWS\system32\javaw.exe
2008-10-14 09:58:41 ----A---- C:\WINDOWS\system32\java.exe
2008-10-14 09:57:53 ----D---- C:\Programme\Java
2008-10-14 09:55:46 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\Skype
2008-10-14 09:55:30 ----D---- C:\Programme\Skype
2008-10-14 09:36:08 ----D---- C:\Programme\Mozilla Firefox
2008-10-14 07:53:10 ----D---- C:\Programme\Secunia
2008-10-09 08:29:30 ----D---- C:\Programme\PDF 2 ImagePDF 2
2008-10-09 08:29:30 ----A---- C:\WINDOWS\cadkasdeinst01.exe

======List of files/folders modified in the last 1 months======

2008-10-28 11:40:04 ----D---- C:\Temp
2008-10-28 11:39:38 ----D---- C:\WINDOWS\Prefetch
2008-10-28 10:52:38 ----D---- C:\Programme\Trillian
2008-10-28 10:28:25 ----D---- C:\WINDOWS\system32\drivers
2008-10-28 10:28:21 ----SD---- C:\Programme
2008-10-27 12:08:48 ----A---- C:\WINDOWS\SchedLgU.Txt
2008-10-27 10:55:46 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\Mozilla
2008-10-27 08:43:22 ----RSD---- C:\WINDOWS\Fonts
2008-10-27 08:07:00 ----D---- C:\WINDOWS\system32
2008-10-27 08:07:00 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-10-27 08:05:16 ----D---- C:\WINDOWS
2008-10-24 08:01:35 ----HD---- C:\WINDOWS\inf
2008-10-24 08:01:30 ----RSHDC---- C:\WINDOWS\system32\dllcache
2008-10-24 08:01:10 ----HD---- C:\WINDOWS\$hf_mig$
2008-10-24 08:01:07 ----D---- C:\WINDOWS\system32\CatRoot2
2008-10-22 10:54:48 ----D---- C:\WINDOWS\Temp
2008-10-22 10:54:48 ----D---- C:\WINDOWS\Debug
2008-10-22 10:18:33 ----D---- C:\WINDOWS\Help
2008-10-22 08:46:15 ----SHD---- C:\WINDOWS\Installer
2008-10-22 08:46:07 ----D---- C:\Programme\Opera 9
2008-10-16 08:35:43 ----D---- C:\Programme\Internet Explorer
2008-10-16 07:04:50 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2008-10-15 17:35:02 ----A---- C:\WINDOWS\system32\netapi32.dll
2008-10-15 09:29:00 ----D---- C:\WINDOWS\msapps
2008-10-15 09:28:52 ----D---- C:\WINDOWS\Corel
2008-10-15 09:16:51 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\gtk-2.0
2008-10-15 09:13:50 ----D---- C:\Programme\Gemeinsame Dateien
2008-10-15 09:12:23 ----D---- C:\WINDOWS\WinSxS
2008-10-15 09:05:44 ----SH---- C:\boot.ini
2008-10-15 09:05:44 ----A---- C:\WINDOWS\win.ini
2008-10-15 09:05:44 ----A---- C:\WINDOWS\system.ini
2008-10-14 11:01:15 ----RSD---- C:\WINDOWS\assembly
2008-10-14 11:00:20 ----D---- C:\WINDOWS\Microsoft.NET
2008-10-14 10:21:01 ----SHD---- C:\System Volume Information
2008-10-14 10:21:01 ----D---- C:\WINDOWS\system32\Restore
2008-10-14 09:55:33 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-10-14 09:41:57 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\FileZilla
2008-10-14 09:33:26 ----D---- C:\Programme\FileZilla FTP Client
2008-10-14 09:17:41 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2008-10-14 09:17:00 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2008-10-14 09:15:40 ----D---- C:\Programme\Adobe
2008-10-14 09:10:59 ----D---- C:\Dokumente und Einstellungen\*username*\Anwendungsdaten\AdobeUM
2008-10-14 09:04:43 ----SD---- C:\WINDOWS\Web
2008-10-14 07:47:04 ----D---- C:\Programme\Lavasoft
2008-10-14 07:47:04 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-14 07:46:13 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-10 09:27:44 ----D---- C:\Programme\VertrigoServ
2008-10-07 20:19:40 ----A---- C:\WINDOWS\system32\MRT.exe
2008-10-03 17:58:14 ----A---- C:\WINDOWS\system32\ieframe.dll

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 Tcpip6;Microsoft IPv6-Protokolltreiber; C:\WINDOWS\system32\DRIVERS\tcpip6.sys [2008-06-20 225856]
R2 PortTalk;PortTalk; \??\C:\WINDOWS\system32\Drivers\PtbTalk.sys []
R2 rspndr;Antwort für Verbindungsschicht-Topologieerkennung; C:\WINDOWS\system32\DRIVERS\rspndr.sys [2006-11-08 62336]
R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\ADIHdAud.sys [2005-04-25 135168]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-03-22 827196]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-04 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys [2005-03-04 74496]
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2008-04-13 79232]
R3 smserial;smserial; C:\WINDOWS\system32\DRIVERS\smserial.sys [2005-04-26 839436]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2004-10-05 185824]
R3 tifm21;tifm21; C:\WINDOWS\system32\drivers\tifm21.sys [2005-04-05 160768]
R3 tunmp;Microsoft Tun-Miniportadaptertreiber; C:\WINDOWS\system32\DRIVERS\tunmp.sys [2008-04-13 12288]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 w29n51;Intel(R) PRO/Wireless 2200BG Netzwerkverbindungstreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w29n51.sys [2004-10-29 3222784]
S1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2008-04-14 41856]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2008-04-13 88320]
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys []
S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2008-04-13 40320]
S3 PSI;PSI; C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-06-16 7808]
S3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2004-08-04 5888]
S3 RT2500USB;RT2500 USB Wireless LAN Driver; C:\WINDOWS\system32\DRIVERS\rt2500usb.sys [2004-08-13 140544]
S3 S3SavageNB;S3SavageNB; C:\WINDOWS\system32\DRIVERS\s3gnbm.sys [2004-08-03 166912]
S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 ultradfg;ultradfg; C:\WINDOWS\System32\DRIVERS\ultradfg.sys [2008-03-09 23040]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S4 ADILOADER;General Purpose USB Driver (adildr.sys); C:\WINDOWS\System32\Drivers\adildr.sys []
S4 adiusbaw;USB ADSL WAN Adapter; C:\WINDOWS\system32\DRIVERS\adiusbaw.sys []
S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agp440.sys [2008-04-13 42368]
S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2008-04-13 44928]
S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2008-04-13 42752]
S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\system32\DRIVERS\amdagp.sys [2008-04-13 43008]
S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2004-08-04 13952]
S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\sisagp.sys [2008-04-13 40960]
S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\viaagp.sys [2008-04-13 42240]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

S3 6to4;IPv6-Hilfsdienst; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-07-30 654848]
S4 IAANTMon;Intel(R) Matrix Storage Event Monitor; C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe [2005-03-09 86140]
S4 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-03 69632]
S4 LexBceS;LexBce Server; C:\WINDOWS\system32\LEXBCES.EXE [2004-01-14 311296]
S4 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2003-06-19 322120]

-----------------EOF-----------------
         
Gruss,
Hal.

Alt 28.10.2008, 19:49   #7
myrtille
/// TB-Ausbilder
 
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Standard

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?



Hi,

es scheint erstmal nicht so auszusehen als ob du infizierst bist und da die Datei auch eine Microsoftdatei ist, würde ich vermuten, dass die Datei durch dich dort hinkopiert worden ist, bzw durch ein Programm dorthin verlegt wurde.

Wenn du die Datei dort behalten möchtest kannst du sie als Ausnahme bei MBAM hinzufügen.

Die Datei ist dir bekannt?
Zitat:
C:\Dokumente und Einstellungen\*username*\results.txt
lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 28.10.2008, 20:15   #8
Hal
 
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Standard

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?



Danke für die schnelle Rückmeldung. Werd die Datei dann wohl löschen.

Die andere Datei "results.txt" ist mir nicht bekannt. Ist eine reine Text-Datei und enthält nur ein paar Einträge, die mit "log=AegisP Protocol [...]" beginnen. Ich hatte dieser Datei keine grosse Beachtung geschenkt, die userinit.exe hat mich wesentlich nervöser gemacht.

Bin ich damit entlassen?

Gruss,
- Hal.

Alt 28.10.2008, 20:40   #9
myrtille
/// TB-Ausbilder
 
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Standard

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?



Hi,

die Datei scheint mit deiner Handysoftware zusammenzuhängen. Sollte jedenfalls gutartig sein.

Die userinit.exe ist auch nicht bösartig, jedoch an der Stelle unerwünscht.

Soweit gibts dann keine Anzeichen für Malware.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 28.10.2008, 20:44   #10
Hal
 
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Standard

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?



Dann sag ich mal allerbesten Dank.

Gruss,
Hal.

Alt 03.09.2009, 12:36   #11
BataAlexander
> MalwareDB
 
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Standard

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?



Hallo Ihr beiden,

würde HAL für mich die Datei

Zitat:
E:\Secret.exe
auch noch bei Virustotal scannen lassen?
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 03.09.2009, 13:16   #12
nochdigger
 
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Standard

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?



Moin

Zitat:
Hal
28.10.2008 20:44
Alex, meinst du da kommt noch was...
evtl. hast du kein Pech und die Datei ist noch vorhanden.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 03.09.2009, 13:22   #13
BataAlexander
> MalwareDB
 
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Standard

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?




Blindes posten nennt man das wohl.
Sorry...
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 03.09.2009, 13:26   #14
nochdigger
 
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Standard

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?



Hallo

Zitat:
Blindes posten nennt man das wohl.
Ach watt, er ist doch grade Online evtl. ist die Datei wirklich noch vorhanden, ein Versuch ist es wert.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 03.09.2009, 18:39   #15
Hal
 
MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Standard

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?



Zitat:
Zitat von BataAlexander Beitrag anzeigen
würde HAL für mich die Datei



auch noch bei Virustotal scannen lassen?
Hallo,

die Datei gibt es wohl nicht mehr. Der Rechner hat gar kein festes Laufwerk E:, die muss wenn dann auf einem USB Stick gewesen sein, und die sind bereits alle formatiert und desinfiziert.

Komisch nur, wie die in den Autostart gelangt ist. Google weiß ja nicht gerade freundliches zu berichten...

Wenn ich sie nochmal wiederfinde, tue ich dir aber noch den Gefallen. Aber verrate mir doch mal, wie du an DIESEN Thread gekommen bist? Der muss doch schon lange in den Untiefen des Boards verschwunden sein. Als ich eine PN erhielt mit dem schlichten Hinweis, es gäbe noch was in meinem Thread, hatte ich spontan nicht den blassesten Schimmer, wo es denn noch was zu geben gäbe (welch ein Deutsch).

- Hal.

Geändert von Hal (03.09.2009 um 18:40 Uhr) Grund: freundlicher gestaltet mit 'Hallo' am Anfang

Antwort

Themen zu MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?
adobe, auswerten, bho, desktop, einstellungen, email, excel, explorer, heuristics.reserved.word.exploit, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, malware.trace, malwarebytes' anti-malware, microsoft, object, opera, programme, registrierungsschlüssel, scan, security, seiten, software, spam, system, userinit.exe, virus, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?


  1. Windows 8.1: MBAM meldet Fund "Heuristics.Reserved.Word.Exploit"
    Log-Analyse und Auswertung - 02.07.2015 (11)
  2. Spyware.Password und Heuristic.Reserved.Word.Exploit durch MBAM gefunden
    Log-Analyse und Auswertung - 31.01.2014 (9)
  3. Dualboot XP/Vista; MBAM-Fund, Dateien verschwinden & tauchen wieder auf, 1 MBAM-log weg
    Log-Analyse und Auswertung - 24.10.2013 (9)
  4. Malwarebytes hat Trojan.Bitminer und Heuristics.Shuriken gefunden!
    Log-Analyse und Auswertung - 30.09.2013 (17)
  5. Probleme mit Heuristics.Shuriken und ADWARE/InstallCore.Gen
    Plagegeister aller Art und deren Bekämpfung - 19.12.2012 (12)
  6. Heuristics.Shuriken mit Malewarebytes entdeckt
    Log-Analyse und Auswertung - 08.10.2012 (20)
  7. Heuristics.Reserved.Word.Exploit in rundll32.exe und Explorer.exe
    Log-Analyse und Auswertung - 12.07.2012 (1)
  8. Malwarebytes findet Heuristics.Shuriken
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (10)
  9. RE: Exploit.Java.CVE-2010-0840.ed bei MbaM Scan
    Plagegeister aller Art und deren Bekämpfung - 03.11.2011 (1)
  10. Heuristics.Reserved.Word.Exploit in rundll32.exe
    Log-Analyse und Auswertung - 01.09.2011 (20)
  11. Trojaner in userinit.exe?
    Plagegeister aller Art und deren Bekämpfung - 27.06.2011 (21)
  12. Heuristics.Shuriken & PUM.Hijack.StartMenu
    Plagegeister aller Art und deren Bekämpfung - 05.04.2011 (2)
  13. userinit.exe befallen
    Plagegeister aller Art und deren Bekämpfung - 30.09.2010 (1)
  14. REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe
    Log-Analyse und Auswertung - 15.08.2009 (19)
  15. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\n
    Log-Analyse und Auswertung - 05.10.2007 (10)
  16. Trojan/Dldr.Oscaboth + Backdoor.PcClient.18 (paranoid heuristics) !!!
    Log-Analyse und Auswertung - 07.11.2005 (8)
  17. exploit-byteVerify,JS/Exploit-DialogArg.b,Exploit-mhtRedir.gen. logfile auswerten
    Log-Analyse und Auswertung - 29.10.2004 (4)

Zum Thema MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? - Hallo, habe heute mal eine routinemäßigen Scan mit MBAM gemacht (ohne dass besondere Symptome für einen Virenbefall vorlagen) und zu meiner Verwunderung wurden zwei Infektionen gemeldet: Infizierte Dateien: C:\Dokumente und - MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?...
Archiv
Du betrachtest: MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.