Trojaner-Board - Userinit.exe verdächtig laut Virustotal.com

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Userinit.exe verdächtig laut Virustotal.com (https://www.trojaner-board.de/73100-userinit-exe-verdaechtig-laut-virustotal-com.html)

Userinit.exe verdächtig laut Virustotal.com

hallo zusammen,

Ich hab gerade (nur so zur Sicherheit) mal die die exe-Dateien zu sämtlichen Prozessen die bei mir so laufen bei Virustotal.com hochgeladen.

Bei der Userinit.exe hat einer der 40 Virenscanner dort (nämlich esafe) einen Alarm gemeldet: Win32.Banker
Aber eben nur dieser. Alle anderen haben gesagt die Datei ist ok.

Hier mal der komplette Scanbericht:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.13 -
AhnLab-V3 5.0.0.2 2009.05.13 -
AntiVir 7.9.0.166 2009.05.13 -
Antiy-AVL 2.0.3.1 2009.05.13 -
Authentium 5.1.2.4 2009.05.13 -
Avast 4.8.1335.0 2009.05.13 -
AVG 8.5.0.327 2009.05.13 -
BitDefender 7.2 2009.05.13 -
CAT-QuickHeal 10.00 2009.05.13 -
ClamAV 0.94.1 2009.05.13 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.13 -
eSafe 7.0.17.0 2009.05.12 Win32.Banker
eTrust-Vet 31.6.6503 2009.05.13 -
F-Prot 4.4.4.56 2009.05.13 -
F-Secure 8.0.14470.0 2009.05.13 -
Fortinet 3.117.0.0 2009.05.13 -
GData 19 2009.05.13 -
Ikarus T3.1.1.49.0 2009.05.13 -
K7AntiVirus 7.10.734 2009.05.13 -
Kaspersky 7.0.0.125 2009.05.13 -
McAfee 5614 2009.05.13 -
McAfee+Artemis 5614 2009.05.13 -
McAfee-GW-Edition 6.7.6 2009.05.13 -
Microsoft 1.4602 2009.05.13 -
NOD32 4072 2009.05.13 -
Norman 6.01.05 2009.05.13 -
nProtect 2009.1.8.0 2009.05.13 -
Panda 10.0.0.14 2009.05.13 -
PCTools 4.4.2.0 2009.05.07 -
Prevx 3.0 2009.05.13 -
Rising 21.29.24.00 2009.05.13 -
Sophos 4.41.0 2009.05.13 -
Sunbelt 3.2.1858.2 2009.05.13 -
Symantec 1.4.4.12 2009.05.13 -
TheHacker 6.3.4.1.325 2009.05.12 -
TrendMicro 8.950.0.1092 2009.05.13 -
VBA32 3.12.10.5 2009.05.13 -
ViRobot 2009.5.13.1733 2009.05.13 -
VirusBuster 4.6.5.0 2009.05.13 -
weitere Informationen
File size: 26624 bytes
MD5...: 788f95312e26389d596c0fa55834e106
SHA1..: 82189a1477487e7f679c4fa5cb19b1b74d9b73ac
SHA256: f7090c739cfc4aa6280bfedc1551118f05a098b0ad71bb9541e21e6fdfed3040
SHA512: 0043faa78da22750a42889a049bffba850b4e315734ecf7faa20dba39b01c196
0cea42c14f16adcd163ae5e939adf245151b51252a3477238c79f6dc6437fe3d
ssdeep: 768:riBJi8jDLIDSAaQFxfftjaLacmkLGKO4Ru8Zk:rmJbDMDSA7FxffJaLaSLG7
408Zk
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x54ad
timedatestamp.....: 0x480251a8 (Sun Apr 13 18:32:08 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x520e 0x5400 5.95 289d6a5513176f26e7a7128ce7de1dc1
.data 0x7000 0x14c 0x200 1.86 0bb948f267e82975313a03d8c0e8a1cf
.rsrc 0x8000 0xcd0 0xe00 3.78 ca6ef217502d20513696667bd5be08c3

( 9 imports )
> USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, LoadStringW, MessageBoxW, ExitWindowsEx, CharNextW
> ADVAPI32.dll: RegOpenKeyExA, ReportEventW, RegisterEventSourceW, DeregisterEventSource, OpenProcessToken, RegCreateKeyExW, RegSetValueExW, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegQueryValueExA
> CRYPT32.dll: CryptProtectData
> WINSPOOL.DRV: SpoolerInit
> ntdll.dll: RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, RtlInitUnicodeString, NtOpenKey, NtClose, _wcsicmp, memmove, RtlConvertSidToUnicodeString, NtQueryInformationToken
> NETAPI32.dll: DsGetDcNameW, NetApiBufferFree
> WLDAP32.dll: -, -, -, -, -, -
> msvcrt.dll: __setusermatherr, _initterm, __getmainargs, _acmdln, _adjust_fdiv, _XcptFilter, _exit, _c_exit, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _cexit, exit
> KERNEL32.dll: CompareFileTime, LoadLibraryW, GetProcAddress, FreeLibrary, lstrcpyW, CreateProcessW, lstrlenW, GetVersionExW, LocalFree, LocalAlloc, GetEnvironmentVariableW, CloseHandle, lstrcatW, WaitForSingleObject, DelayLoadFailureHook, GetStartupInfoA, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, LocalReAlloc, GetSystemTime, lstrcmpW, GetCurrentThread, SetThreadPriority, ExpandEnvironmentStringsW, SearchPathW, GetLastError, CreateThread, GetFileAttributesExW, GetSystemDirectoryW, SetCurrentDirectoryW, FormatMessageW, lstrcmpiW, GetCurrentProcess, GetUserDefaultLangID, GetCurrentProcessId, SetEvent, OpenEventW, Sleep, SetEnvironmentVariableW

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=788f95312e26389d596c0fa55834e106' target='_blank'>http://www.threatexpert.com/report.aspx?md5=788f95312e26389d596c0fa55834e106</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=788f95312e26389d596c0fa55834e106' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=788f95312e26389d596c0fa55834e1

Kann das ein Fehlalarm sein? Was sollte ich tun?
Ich hoffe auf Eure Hilfe

Macht der Rechner Probleme ?
Irgendetwas auffällig?
Nein--> dann Fehlalarm ;)

erstmal vielen dank für die schnelle antwort.

nein an sich tut der nix seltsames.
die datei selber ist im april ´08 das letzte mal verändert worden (steht jedenfalls so in den eigenschaften). also müsste das ja, wenns tatsächlich ein virus wär, ein verdammt alter sein, den doch die anderen scanner inzwischen so langsam auch mal finden sollten oder?

ich dachte ja auch an nen fehlalarm, aber will halt lieber auf nummer sicher gehen, wenns um meinen PC geht bin ich immer leicht übervorsichtig.

edit: kennt jemand win32.banker? was macht der denn typischerweise? wenn ich das weiß könnte ich ja entsprechend die sache mal beobachten

Hi,

schick den Prozess mal hier bei Avira ein, da bekommste dann eine Mail, ob Maleware festgestellt wurde...

ok werd ich machen...vielen dank

@ Maximilian

Zu Avira lässt man nur unbekannte Dateien hochladen die nicht erkannt werden und nicht irgendeine legitime Exe

@ hem

W32.Banker
leider nur in english ;)

@Larusso: Englisch ist kein Problem :)
hab mir das mal alles da durchgelesen. Auf meinem System sind weder die 2 Dateien sie laut der Beschreibung im Systemordner sein müssten, noch habe ich die dort genannten Einträge in der Registry.

Sieht wohl wirklich nach einem blinden Alarm aus!?

Und noch eine Info für dich

Was ist die userinit.exe ;)

Wenn du dir denoch unsicher bist ob was auf deinem System ist kannst du bitte diese Anleitung abarbeiten
Es wird sich dann jemand um dich kümmern

Was die Userinit macht weiß ich ;)
HiJackThis-Logfile hab ich mir schon angeguckt. Da ist nix auffälliges dran, alles Sachen die ich eindeutig zuordnen kann.
HÄTTE ich nen Virus oder Trojaner auf dem PC müsste er irgendeine eigentlich harmlose Datei ersetzt haben. Genau darum prüfe ich ja von zeit zu zeit alle Prozesse die laufen bei Virustotal.com.
Heut war dann eben dieser eigenartige Alarm dabei.

Aber mal angenommen (rein hypothetisch) die Userinit.exe wär tatsächlich von nem Virus oder Trojaner ersetzt worden. Dann müsste man doch irgendwas merken wenn man sich am PC anmeldet oder?

eigentlich sollte dein AVP anschlagen da dies ein wesentlicher Prozess ist
Ja iwas sollte dir dabei schon auffallen

das einzige "auffällige" ist folgendes:

ich hab 2 nutzeraccounts. einen admin und einen ohne adminrechte für die normale arbeit/surfen/zocken usw.
manchmal passiert es, dass der pc sich festfährt wenn ich den nutzer wechseln will und den anderen nutzeraccount nicht abmelde sondern im hintergrund weiterlaufen lasse. das passiert aber eigentlich nur wenn bei dem zuerst angemeldeten account noch irgendein Programm läuft.

Aber ansonsten: systemstart immer einwandfrei, auch sonst eigentlich nix zu meckern

Also ich habe gerade ein sehr auffälliges Problem, und bin letzlich auch bis zur userinit.exe angelangt, aber weiss noch nicht sicher was los ist.

Meine Situation: Vor zwei tagen noch am Rechner gearbeitet, alles ganz normal. Jetzt kann ich mich nicht mehr anmelden: Sobald ich mich anmelde, werde ich automatisch wieder abgemeldet und zur Anmeldung rausgeschmissen. Win XP, SP3.

Ich kann mich jedoch im abgesicherten Modus als Admin anmelden.
Nun bin ich eben so eingeloggt, surfe und analysiere im abgesicherten modus, und unter anderem habe auch ich die userinit.exe verdachtsmäßig bei virustotal hochgeladen, selbe Situation: eSafe meckert den Banker an, Datei ist jedoch zuletzt im April 2008 geändert worden, zumindest laut windows. Ich nehme an, wenn ein bösartiges Programm eine Datei infiziert, wird das nicht unbedingt als "Letzte Änderung" registriert :)

Naja. Nur mal so meine 2 Groschen zum Thema, während hier ClamWin scannt und ich warte... Sollte es letzlich wirklich etwas mit dem Win32.Banker zu tun gehabt haben, melde ich mich hier nochmal.