MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?

Hal · 28.10.2008, 11:16

Hallo,

habe heute mal eine routinemäßigen Scan mit MBAM gemacht (ohne dass besondere Symptome für einen Virenbefall vorlagen) und zu meiner Verwunderung wurden zwei Infektionen gemeldet:

Infizierte Dateien:
C:\Dokumente und Einstellungen\*username*\results.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\userinit.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Nun war ich doch etwas überrascht, da sich kein Virus bemerkbar macht. Mein System (WinXP SP3, IE7, benutze für I-net und Email Opera 9.61) halte ich immer auf dem neuesten Stand, weder bekomme ich seltsame Emails (nicht mal Spam) noch würde ich unbekannte Anhänge öffnen, auf komischen Seiten bewege ich mich schon mal überhaupt nicht.

Hab daraufhin mal die userinit.exe bei Virustotal auswerten lassen (Virustotal. MD5: d1e53dc57143f2584b1dd53b036c0633), ohne Ergebnis.

Google meinte, dass Heuristics.Reserved.Word.Exploit-Meldungen von MBAM manchmal auch False Positives sind, ich würde aber trotzdem gerne auf Nummer sicher gehen.

Hier die Logs von HijackThis und MBAM:

HiJackThis:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:52:42, on 28.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PTBSync\PTBSync.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\*username*\Desktop\Security\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://www.kaspersky.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 3410 bytes

MBAM:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1331
Windows 5.1.2600 Service Pack 3

28.10.2008 10:36:22
mbam-log-2008-10-28 (10-36-18).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48563
Laufzeit: 5 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\*username*\results.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\userinit.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Geben die Logs Anlass zur Sorge?

Gruss,
Hal.

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?

Log-Analyse und Auswertung: MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?

MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?

Ähnliche Themen: MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?