Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Avira findet (angeblich) mehrere Trojaner - muss ich mir Sorgen machen? (https://www.trojaner-board.de/83634-avira-findet-angeblich-mehrere-trojaner-mir-sorgen.html)

cosinus 11.03.2010 13:55
Zitat:
Zitat von s97446 (Beitrag 508464)
Gewerblich und nix gecrackt. Verwende ne ehrlich gekaufte Version :heilig:
Das ist wirklich sehr löblich von Dir, hier im TB schwirren nämlich auch einige verseuchte Kisten mit Cracks & Keygens herum :D
Wer die einsetzt muss sich über Infektionen wirklich nicht mehr wundern und bekommt hier außer dem Hinweis auf Neuinstallation keine Tipps zur Bereinigung.

Zitat:
die entsprechenden Dateien (bzw. zumindest die anderen, die die SWH betrafen) eigentlich gelöscht sein müssten!?
Wenn die SWH komplett deaktiviert wurde, sollte alles in System Volume Information weg sein.

Zitat:
Und was mache ich mit den anderen Einträgen?
Welche? :confused:

s97446 11.03.2010 14:19
Zitat:
Zitat von cosinus (Beitrag 508466)
Wenn die SWH komplett deaktiviert wurde, sollte alles in System Volume Information weg sein.
Wenn ich im Explorer auf den Ordner zugreifen will, bekomme ich die Meldung "Zugriff verweigert". Hab die SWH wieder aktiviert - trotzdem kein Zugriff. Prinzipiell sollte der Ordner aber ja wohl leer sein. Stellt sich die Frage: Müsste die Deaktivierung auch die Dateien in der Avira-Quarantäne löschen oder muss ich das manuell machen?

Zitat:
Zitat von cosinus (Beitrag 508466)
Welche? :confused:
Zitat:
Zitat von s97446 (Beitrag 508257)
Da ich allerdings bei den anderen Meldungen von einem vorschnellen Löschen absehe, hier mal die Meldungen:

Code:
C:\WINDOWS\system32\userinit.exe
"Ist das Trojanische Pferd TR/Dldr.Obitel.9"
Dazu habe ich gefunden, dass dieser Trojaner normalerweise die userinit.exe in userini.exe umbenennt und sich dann als feste userinit.exe ins Verzeichnis setzt. Doch ich finde bei mir keine userini.exe im system32-Verzeichnis!?

Code:
C:\Dokumente und Einstellungen\Hans Mustermann\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22\5c244c96-31c152f1
"Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agen.NA.1"

cosinus 11.03.2010 14:23
Zitat:
Wenn ich im Explorer auf den Ordner zugreifen will, bekomme ich die Meldung "Zugriff verweigert"
Jo. Iss normal, dass Du da standardmäßig nicht rein kommst. Als Admin kannst Du Dir aber die Rechte so setzen, dass Du da rein kommst. Hast Du XP home oder pro?

Zitat:
C:\WINDOWS\system32\userinit.exe
"Ist das Trojanische Pferd TR/Dldr.Obitel.9"
Sieht eher nach einem Fehlalarm aus. Im Zweifel die Datei einfach mal bei Virustotal.com hochladen und auswerten lassen.

Zitat:
C:\Dokumente und Einstellungen\Hans Mustermann\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22\5c244c96-31c152f1
"Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agen.NA.1"
Kommt die Meldung darüber noch?

s97446 11.03.2010 14:41
Zitat:
Zitat von cosinus (Beitrag 508472)
Hast Du XP home oder pro?
Pro ...

Zitat:
Zitat von cosinus (Beitrag 508472)
Sieht eher nach einem Fehlalarm aus. Im Zweifel die Datei einfach mal bei Virustotal.com hochladen und auswerten lassen.
Gemacht: Virustotal. MD5: 788f95312e26389d596c0fa55834e106 Win32.Banker

Hmmm ... was hat dieses Win32.Banker da jetzt zu suchen? :confused:

Zitat:
Kommt die Meldung darüber noch?
Wie meinen? :rolleyes: Ob die Java-Meldung noch da ist? Ja, ist sie. Wenn ich den Eintrag in der Avira-Quarantäne markiere und auf "erneut untersuchen" gehe, so bleibt der Eintrag bestehen ...

cosinus 11.03.2010 14:52
Bei XP Pro kannst Du über die Sicherheitseinstellungen in den Eigenschaften von System Volume Information die ACLs bearbeiten => Deinen Benutzernamen hinzufügen und entsprechende Rechte eintragen (Vollzugriff, aber Ändern sollte auch schon reichen)

Wegen der Userinit: Der Banker-Fund ist definitiv ein Fehlalarm, wichtiger sind die Infos unten:

Code:
sigcheck: publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. Alle Rechte vorbehalten.
product......: Betriebssystem Microsoft_ Windows_
description..: Userinit-Anmeldeanwendung
original name: USERINIT.EXE
internal name: userinit
file version.: 5.1.2600.5512 (xpsp.080413-2113)
Zitat:
Ob die Java-Meldung noch da ist? Ja, ist sie.
Und Du kannst die Datei nicht löschen?
Da das ganze im cache gefunden wurde, kannst Du auch mal den Cache von Java komplett leeren. Entweder manuell oder mit dem CCleaner .

s97446 11.03.2010 15:20
Zitat:
Zitat von cosinus (Beitrag 508474)
Wegen der Userinit: Der Banker-Fund ist definitiv ein Fehlalarm, wichtiger sind die Infos unten:

Code:
sigcheck: publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. Alle Rechte vorbehalten.
product......: Betriebssystem Microsoft_ Windows_
description..: Userinit-Anmeldeanwendung
original name: USERINIT.EXE
internal name: userinit
file version.: 5.1.2600.5512 (xpsp.080413-2113)
Und die Infos besagen? Dass alles in Ordnung ist?

Zitat:
Und Du kannst die Datei nicht löschen?
Da das ganze im cache gefunden wurde, kannst Du auch mal den Cache von Java komplett leeren. Entweder manuell oder mit dem CCleaner .
Öhm, ich finde die Datei gar nicht. Der Ordner

Code:
C:\Dokumente und Einstellungen\Hans Mustermann\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22\
scheint leer zu sein!?
Ich denke, das ist das gleiche wie mit den SWH-Dateien: Die sind schon gelöscht, nur ind er Quarantäne ist noch eine Kopie oder so. Eigentlich müsste ich die dort doch einfach löschen können, was meinst Du?

cosinus 11.03.2010 15:22
Zitat:
Zitat von s97446 (Beitrag 508477)
Und die Infos besagen? Dass alles in Ordnung ist?
Lies es doch einfach. Dann weißt Du wer die Datei gemacht hat.

Zitat:
Öhm, ich finde die Datei gar nicht. Der Ordner scheint leer zu sein!?
Dann isses so :)

Zitat:
Eigentlich müsste ich die dort doch einfach löschen können, was meinst Du?
Ja, leere die Quarantäne

s97446 11.03.2010 15:36
Zitat:
Zitat von cosinus (Beitrag 508479)
Lies es doch einfach. Dann weißt Du wer die Datei gemacht hat.
Ich dachte mir schon, dass ich aus

Code:
sigcheck: publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. Alle Rechte vorbehalten.
product......: Betriebssystem Microsoft_ Windows_
ableiten soll, dass es das Original ist. Nur wusste ich nicht, inwiefern ein Trojaner das verändern würde bzw. ob das in ner verseuchten Datei nicht auch noch so drin steht!? Würde das automatisch passieren?

cosinus 11.03.2010 15:46
Diese Dateien sind signiert. Sobald da auch nur ein Bit anders drin ist, steht da bei sigcheck nicht mehr Microsoft als Herausgeber drin.

Außerdem hat "meine" userinit.exe die gleiche Prüfsumme, Deine und meine sind also völlig identisch.

s97446 11.03.2010 16:43
OK.

Ich hab dann also mal die Quarantäne geleert, insofern dürfte jetzt eigentlich alles in Ordnung sein.

Danke Dir auf jeden Fall! :applaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:57 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131