Zitat:

Zitat von s97446

Gewerblich und nix gecrackt. Verwende ne ehrlich gekaufte Version

Das ist wirklich sehr löblich von Dir, hier im TB schwirren nämlich auch einige verseuchte Kisten mit Cracks & Keygens herum
Wer die einsetzt muss sich über Infektionen wirklich nicht mehr wundern und bekommt hier außer dem Hinweis auf Neuinstallation keine Tipps zur Bereinigung.

Zitat:

die entsprechenden Dateien (bzw. zumindest die anderen, die die SWH betrafen) eigentlich gelöscht sein müssten!?

Wenn die SWH komplett deaktiviert wurde, sollte alles in System Volume Information weg sein.

Zitat:

Und was mache ich mit den anderen Einträgen?

Welche?

Zitat:

Zitat von cosinus

Wenn die SWH komplett deaktiviert wurde, sollte alles in System Volume Information weg sein.

Wenn ich im Explorer auf den Ordner zugreifen will, bekomme ich die Meldung "Zugriff verweigert". Hab die SWH wieder aktiviert - trotzdem kein Zugriff. Prinzipiell sollte der Ordner aber ja wohl leer sein. Stellt sich die Frage: Müsste die Deaktivierung auch die Dateien in der Avira-Quarantäne löschen oder muss ich das manuell machen?

Zitat:

Zitat von cosinus

Welche?

Zitat:

Zitat von s97446

Da ich allerdings bei den anderen Meldungen von einem vorschnellen Löschen absehe, hier mal die Meldungen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\userinit.exe
"Ist das Trojanische Pferd TR/Dldr.Obitel.9"
         

Dazu habe ich gefunden, dass dieser Trojaner normalerweise die userinit.exe in userini.exe umbenennt und sich dann als feste userinit.exe ins Verzeichnis setzt. Doch ich finde bei mir keine userini.exe im system32-Verzeichnis!?

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Hans Mustermann\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22\5c244c96-31c152f1
"Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agen.NA.1"
         

Zitat:

Wenn ich im Explorer auf den Ordner zugreifen will, bekomme ich die Meldung "Zugriff verweigert"

Jo. Iss normal, dass Du da standardmäßig nicht rein kommst. Als Admin kannst Du Dir aber die Rechte so setzen, dass Du da rein kommst. Hast Du XP home oder pro?

Zitat:

C:\WINDOWS\system32\userinit.exe
"Ist das Trojanische Pferd TR/Dldr.Obitel.9"

Sieht eher nach einem Fehlalarm aus. Im Zweifel die Datei einfach mal bei Virustotal.com hochladen und auswerten lassen.

Zitat:

C:\Dokumente und Einstellungen\Hans Mustermann\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22\5c244c96-31c152f1
"Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agen.NA.1"

Kommt die Meldung darüber noch?

Zitat:

Zitat von cosinus

Hast Du XP home oder pro?

Pro ...

Zitat:

Zitat von cosinus

Sieht eher nach einem Fehlalarm aus. Im Zweifel die Datei einfach mal bei Virustotal.com hochladen und auswerten lassen.

Gemacht: Virustotal. MD5: 788f95312e26389d596c0fa55834e106 Win32.Banker

Hmmm ... was hat dieses Win32.Banker da jetzt zu suchen?

Zitat:

Kommt die Meldung darüber noch?

Wie meinen? Ob die Java-Meldung noch da ist? Ja, ist sie. Wenn ich den Eintrag in der Avira-Quarantäne markiere und auf "erneut untersuchen" gehe, so bleibt der Eintrag bestehen ...

Bei XP Pro kannst Du über die Sicherheitseinstellungen in den Eigenschaften von System Volume Information die ACLs bearbeiten => Deinen Benutzernamen hinzufügen und entsprechende Rechte eintragen (Vollzugriff, aber Ändern sollte auch schon reichen)

Wegen der Userinit: Der Banker-Fund ist definitiv ein Fehlalarm, wichtiger sind die Infos unten:

Code: Alles auswählenAufklappen

ATTFilter

sigcheck: publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. Alle Rechte vorbehalten.
product......: Betriebssystem Microsoft_ Windows_
description..: Userinit-Anmeldeanwendung
original name: USERINIT.EXE
internal name: userinit
file version.: 5.1.2600.5512 (xpsp.080413-2113)
         

Zitat:

Ob die Java-Meldung noch da ist? Ja, ist sie.

Und Du kannst die Datei nicht löschen?
Da das ganze im cache gefunden wurde, kannst Du auch mal den Cache von Java komplett leeren. Entweder manuell oder mit dem CCleaner .

Zitat:

Zitat von cosinus

Wegen der Userinit: Der Banker-Fund ist definitiv ein Fehlalarm, wichtiger sind die Infos unten:

Code: Alles auswählenAufklappen

ATTFilter

sigcheck: publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. Alle Rechte vorbehalten.
product......: Betriebssystem Microsoft_ Windows_
description..: Userinit-Anmeldeanwendung
original name: USERINIT.EXE
internal name: userinit
file version.: 5.1.2600.5512 (xpsp.080413-2113)
         

Und die Infos besagen? Dass alles in Ordnung ist?

Zitat:

Und Du kannst die Datei nicht löschen?
Da das ganze im cache gefunden wurde, kannst Du auch mal den Cache von Java komplett leeren. Entweder manuell oder mit dem CCleaner .

Öhm, ich finde die Datei gar nicht. Der Ordner

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Hans Mustermann\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22\
         

scheint leer zu sein!?
Ich denke, das ist das gleiche wie mit den SWH-Dateien: Die sind schon gelöscht, nur ind er Quarantäne ist noch eine Kopie oder so. Eigentlich müsste ich die dort doch einfach löschen können, was meinst Du?

Zitat:

Zitat von s97446

Und die Infos besagen? Dass alles in Ordnung ist?

Lies es doch einfach. Dann weißt Du wer die Datei gemacht hat.

Zitat:

Öhm, ich finde die Datei gar nicht. Der Ordner scheint leer zu sein!?

Dann isses so

Zitat:

Eigentlich müsste ich die dort doch einfach löschen können, was meinst Du?

Ja, leere die Quarantäne

Zitat:

Zitat von cosinus

Lies es doch einfach. Dann weißt Du wer die Datei gemacht hat.

Ich dachte mir schon, dass ich aus

Code: Alles auswählenAufklappen

ATTFilter

sigcheck: publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. Alle Rechte vorbehalten.
product......: Betriebssystem Microsoft_ Windows_
         

ableiten soll, dass es das Original ist. Nur wusste ich nicht, inwiefern ein Trojaner das verändern würde bzw. ob das in ner verseuchten Datei nicht auch noch so drin steht!? Würde das automatisch passieren?

Diese Dateien sind signiert. Sobald da auch nur ein Bit anders drin ist, steht da bei sigcheck nicht mehr Microsoft als Herausgeber drin.

Außerdem hat "meine" userinit.exe die gleiche Prüfsumme, Deine und meine sind also völlig identisch.

OK.

Ich hab dann also mal die Quarantäne geleert, insofern dürfte jetzt eigentlich alles in Ordnung sein.

Danke Dir auf jeden Fall!