In der Datei 'C:\Windows\System32\wininit.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.9

Chris4You · 02.10.2010, 19:49

Hi,

probieren wir es mal mit OTL...

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:

ATTFilter

:Files
c:\users\Muhammet\AppData\Roaming\Adobe\Update\hlpkrn.exe 

:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[EMPTYFLASH]
[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

chris

Lisa.m · 03.10.2010, 11:01

Hi,

hier das Ergebnis:

All processes killed
========== FILES ==========
File\Folder c:\users\Muhammet\AppData\Roaming\Adobe\Update\hlpkrn.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: .....
->Temp folder emptied: 22542187 bytes
->Temporary Internet Files folder emptied: 252944079 bytes
->Java cache emptied: 24488048 bytes
->FireFox cache emptied: 105522608 bytes
->Google Chrome cache emptied: 12597119 bytes
->Flash cache emptied: 128086 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4733992 bytes
RecycleBin emptied: 1840908 bytes

Total Files Cleaned = 405,00 mb

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Muhammet
->Flash cache emptied: 0 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb

OTL by OldTimer - Version 3.2.12.0 log created on 10032010_115716

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Chris4You · 04.10.2010, 07:10

Hi,

was treibt der Recher?

chris

Lisa.m · 04.10.2010, 11:10

Hi,

zurzeit habe ich keine Probleme, es bleibt nichts hängen und ich kann ins Internet mit IE und firefox.

Jedoch ist es mir nicht möglich, die Viren-Funde unter Avira zu löschen, denn bei jedem einzelnem Löschversuch hängt der Rechner eine Weile. So würde es Tage dauern, bis ich die gelöscht habe.

Chris4You · 04.10.2010, 12:42

Hi,

teile mir bitte mal die Funde von Avira mit (Pfad und Dateiname)...

chris

Lisa.m · 04.10.2010, 13:22

Es ist mehrmals die Datei:

In der Datei 'C:\Windows\System32\wininit.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.96256.32' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

und

In der Datei 'C:\Users\Muhammet\AppData\Roaming\Adobe\Update\hlpkrn.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Riner.ZL' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Chris4You · 04.10.2010, 13:38

Hi,

die wininit.exe wurde bereits von CF bereeinigt, die andere nicht gefunden...

Lade beide Dateien bei Virustotal.com hoch und poste jeweils das gesamte Ergebnis. Leite weiterhin die Dateien über Avira zur Untersuchung weiter (entweder direkt aus der Quarantäne) oder wie folgt:

Avira, Fehlalarm:
Sende die gemeldete Datei bitte an Avira mit dem Vermerkt "verdacht auf Fehlalarm":
Submit your sample

chris

Lisa.m · 04.10.2010, 15:57

Ergebnis: C:\Windows\System32\wininit.exe

User:
BugBopperGuy
Reputation:
382 credits
Comment date:
2010-09-13 19:11:18 (UTC)
BugBopper identifies this file as Trojan.Bat.Erro More info: hxxp://BugBopper.com/MalwareInfo/MD5/83/83d0a4ef71406fce0fcd1924f70c8600.asp
Tags: erro, destoyer, windows
6f064269a7b26cd0dc01886965f00a2f88f50ad4abb1c3b396f728d82693cc4d

Was this comment helpful? Yes (0) | No (0) | Report abuse Reported as abuseful

User:
RyanMM
Reputation:
3 credits
Comment date:
2010-09-21 19:07:48 (UTC)
#Redbook.sys located in the #system32 / #drivers directory. Detected by TDSSKiller as a #rootkit. From the #TDSSKiller log:

2010/09/21 14:30:43.0484 redbook (43f64dbb7296ce330d300b0ff1dc0cd1) C:\WINDOWS\system32\DRIVERS\redbook.sys
2010/09/21 14:30:43.0484 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\redbook.sys. Real md5: 43f64dbb7296ce330d300b0ff1dc0cd1, Fake md5: b31b4588e4086d8d84adbf9845c2402b
2010/09/21 14:30:50.0125 Backup copy found, using it..
2010/09/21 14:30:50.0125 C:\WINDOWS\system32\DRIVERS\redbook.sys - will be cured after reboot
2010/09/21 14:30:50.0125 Rootkit.Win32.TDSS.tdl3(redbook) - User select action: Cure
2010/09/21 14:30:58.0046 Deinitialize success

Removing this file and this file alone restored the system to proper functionality, so I'm calling this malware.

Verdächtige Dateien und sonstige Uploads

Vielen Dank für Ihre Submission. Im folgenden sehen Sie den derzeitigen Status der übermittelten Dateien:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
13208846 wininit.exe 94 KB KNOWN CLEAN

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
wininit.exe KNOWN CLEAN

Die Datei hlpkrn.exe habe ich im entsprechenden Ordner nicht gefunden.

Chris4You · 05.10.2010, 07:11

Hi,

das sieht nicht nach einem Ergebnis von Virustotal.com aus, hier ein Beispiel für die atapi.sys...

Code:

ATTFilter

File name:
atapi.sys
Submission date:
2010-10-05 06:07:05 (UTC)
Current status:
queued (#3) queued (#3) analysing finished
Result:
1/ 43 (2.3%)
	
VT Community

goodware
 Safety score: 88.9% 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.10.05.00	2010.10.04	-
AntiVir	7.10.12.118	2010.10.04	-
Antiy-AVL	2.0.3.7	2010.10.05	-
Authentium	5.2.0.5	2010.10.05	-
Avast	4.8.1351.0	2010.10.04	-
Avast5	5.0.594.0	2010.10.04	-
AVG	9.0.0.851	2010.10.04	-
BitDefender	7.2	2010.10.05	-
CAT-QuickHeal	11.00	2010.10.05	-
ClamAV	0.96.2.0-git	2010.10.05	-
Comodo	6285	2010.10.05	-
DrWeb	5.0.2.03300	2010.10.05	-
Emsisoft	5.0.0.50	2010.10.05	-
eSafe	7.0.17.0	2010.10.03	Win32.Rootkit
eTrust-Vet	36.1.7892	2010.10.04	-
F-Prot	4.6.2.117	2010.10.04	-
F-Secure	9.0.15370.0	2010.10.05	-
Fortinet	4.1.143.0	2010.10.04	-
GData	21	2010.10.05	-
Ikarus	T3.1.1.90.0	2010.10.05	-
Jiangmin	13.0.900	2010.10.03	-
K7AntiVirus	9.63.2672	2010.10.04	-
Kaspersky	7.0.0.125	2010.10.05	-
McAfee	5.400.0.1158	2010.10.05	-
McAfee-GW-Edition	2010.1C	2010.10.04	-
Microsoft	1.6201	2010.10.05	-
NOD32	5503	2010.10.04	-
Norman	6.06.07	2010.10.04	-
nProtect	2010-10-05.01	2010.10.05	-
Panda	10.0.2.7	2010.10.04	-
PCTools	7.0.3.5	2010.10.02	-
Prevx	3.0	2010.10.05	-
Rising	22.67.02.07	2010.09.30	-
Sophos	4.58.0	2010.10.05	-
Sunbelt	6985	2010.10.05	-
SUPERAntiSpyware	4.40.0.1006	2010.10.05	-
Symantec	20101.2.0.161	2010.10.05	-
TheHacker	6.7.0.1.048	2010.10.04	-
TrendMicro	9.120.0.1004	2010.10.05	-
TrendMicro-HouseCall	9.120.0.1004	2010.10.05	-
VBA32	3.12.14.1	2010.10.04	-
ViRobot	2010.10.4.4074	2010.10.05	-
VirusBuster	12.67.2.0	2010.10.04	-
Additional information
Show all
MD5   : 9f3a2f5aa6875c72bf062c712cfa2674
SHA1  : a719156e8ad67456556a02c34e762944234e7a44
SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9

chris

Lisa.m · 05.10.2010, 09:34

So müsste es richtig sein

wininit.exe
Submission date:
2010-10-05 06:17:31 (UTC)
Current status:
finished
Result:
1 /43 (2.3%)

VT Community

goodware
Safety score: 100.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.10.05.00 2010.10.04 -
AntiVir 7.10.12.118 2010.10.04 -
Antiy-AVL 2.0.3.7 2010.10.05 -
Authentium 5.2.0.5 2010.10.05 -
Avast 4.8.1351.0 2010.10.04 -
Avast5 5.0.594.0 2010.10.04 -
AVG 9.0.0.851 2010.10.04 -
BitDefender 7.2 2010.10.05 -
CAT-QuickHeal 11.00 2010.10.05 -
ClamAV 0.96.2.0-git 2010.10.05 -
Comodo 6285 2010.10.05 -
DrWeb 5.0.2.03300 2010.10.05 -
Emsisoft 5.0.0.50 2010.10.05 -
eSafe 7.0.17.0 2010.10.03 -
eTrust-Vet 36.1.7892 2010.10.04 -
F-Prot 4.6.2.117 2010.10.04 -
F-Secure 9.0.15370.0 2010.10.05 -
Fortinet 4.1.143.0 2010.10.04 -
GData 21 2010.10.05 -
Ikarus T3.1.1.90.0 2010.10.05 -
Jiangmin 13.0.900 2010.10.03 -
K7AntiVirus 9.63.2672 2010.10.04 -
Kaspersky 7.0.0.125 2010.10.05 -
McAfee 5.400.0.1158 2010.10.05 -
McAfee-GW-Edition 2010.1C 2010.10.04 Heuristic.BehavesLike.Win32.Suspicious.H
Microsoft 1.6201 2010.10.05 -
NOD32 5503 2010.10.04 -
Norman 6.06.07 2010.10.04 -
nProtect 2010-10-05.01 2010.10.05 -
Panda 10.0.2.7 2010.10.04 -
PCTools 7.0.3.5 2010.10.02 -
Prevx 3.0 2010.10.05 -
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.05 -
Sunbelt 6985 2010.10.05 -
SUPERAntiSpyware 4.40.0.1006 2010.10.05 -
Symantec 20101.2.0.161 2010.10.05 -
TheHacker 6.7.0.1.048 2010.10.04 -
TrendMicro 9.120.0.1004 2010.10.05 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.05 -
VBA32 3.12.14.1 2010.10.04 -
ViRobot 2010.10.4.4074 2010.10.05 -
VirusBuster 12.67.2.0 2010.10.04 -

Chris4You · 05.10.2010, 09:59

Hi,

die Datei ist wohl sauber, ein f/p...

chris

Lisa.m · 05.10.2010, 12:44

Hi,
Chris vielen lieben Dank für deine Mühe und Unterstützung.

Meine letzte Frage, soll ich Avira löschen und dann nochmals neu installieren, damit die Funde gelöscht werden?

In der Datei 'C:\Windows\System32\wininit.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.9

Plagegeister aller Art und deren Bekämpfung: In der Datei 'C:\Windows\System32\wininit.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.9