|
Avira findet (angeblich) mehrere Trojaner - muss ich mir Sorgen machen? Mein letzter Scan brachte 4 "Funde". Der erste betraf eine pdfupd.exe. Hab den Namen des Trojaners schon wieder vergessen, hab dazu aber in Google gefunden, dass man die Datei (da in einem temp-Verzeichnis) löschen könne. Hab ich dann auch gemacht. Die girc430.exe in meinem Download-Verzeichnis sollte mit einem Backdoorprogramm infiziert gewesen sein. Da ich das Programm nicht mehr installiert habe und die Datei nur noch in meinem Download-Verzeichnis lag, habe ich nach Google-Recherche auch die gelöscht. Da ich allerdings bei den anderen Meldungen von einem vorschnellen Löschen absehe, hier mal die Meldungen: Code: C:\WINDOWS\system32\userinit.exeCode: C:\Dokumente und Einstellungen\Hans Mustermann\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22\5c244c96-31c152f1 |
Hallo und :hallo: Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
OK, habe alle Schritte durchgeführt. CCleaner hat einiges aufgeräumt, Malwarebytes hat nichts bzw. nichts mehr (hatte das gestern schon mal drüberlaufen lassen) gefunden. RSIT hat irgend nen Fehler mit Exception gebracht, denke aber, dass das einfach nur das Programmende war!? Logfiles sehen nämlich relativ vollständig aus :) Ich habe sie hier hochgeladen: File-Upload.net - log.zip |
Zitat:
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten. |
Zitat:
|
Das ist die legitime Systemdatei userinit.exe gewesen. Ich wollte eine Auswertung der stu2.exe - falls schon ausgewertet, bitte eine weitere Analyse starten. |
Hmmm, dachte, wenn man stu2.exe auswählt, würde die auch hochgeladen und analysiert ... :confused: Nächster Versuch: Virustotal. MD5: 788f95312e26389d596c0fa55834e106 Win32.Banker |
Ja, Du hast auch die stu2.exe ausgewählt. Aber die stu2.exe scheint eine Kopie der MS-Datei userinit.exe zu sein. Wenn eine Datei bei VT schonmal ausgewertet wurde, hast Du die Möglichkeit die letzten Ergebnisse anzuzeigen oder eine neue Auswertung zu starten. Wenn Du die letzten Ergebnisse zeigst, zeigt er Dir auch den Dateinamen, der damals zugeschickt wurde. |
Bedeutet das dann, dass die stu2.exe die Sicherung der userinit.exe ist und unter diesem Namen jetzt ne verseuchte Version exisitiert? Bzw. was soll ich also jetzt tun? Die userinit.exe löschen und die stu2.exe in unserinit.exe umbenennen? |
Die stu2 ist nur ne Kopie. Lösch die stu2.exe einfach. Mach danach bitte einen Kontrollscan mit Superantispyware und poste das Log. |
OK. Habe stu2.exe gelöscht und den Scan gemacht. Wenn ich das richtig sehe, wurden "nur" 33 Cookies gefunden, die das Programm wohl in Quarantäne geschickt hat!? Code: SUPERAntiSpyware Scan Log |
Ja, das sind nur Cookies. Wenn keine Probleme mehr sind bitte Updates prüfen: Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
OK, die paar ausstehenden Windows-Updates sind nachgeholt, ebenso poppte das Java-Symbol in der Taskleiste auf - es wären neue Updates verfügbar. Hab das dann auf diesem Weg upgedatet. Acrobat: Hmmm, ist nicht ganz so einfach - denn ich benutze nicht nur den Reader. Ich hab die Acrobat 6.0 Professional installiert. Dazu gab's aber jetzt auch nen Patch, den ich mir gleich noch installiert hab. In der Quarantäne von Avira befinden sich nun dieser Eintrag mit Bezug auf das Java-Cache-Verzeichnis, der mit Bezug auf die userinit.exe und mittlerweile noch 5 weitere Meldungen über Trojaner-/Backdoorprogramme, die auf Dateien im C.\System Volume Information\_restore[...] verweisen. Wie soll ich nun weitermachen? |
Zitat:
Nur zum Erstellen von PDF-Dateien kann man auch auf Freeware wie FreePDF oder PDF-Creator zurückgreifen. Und zum Betrachten der PDFs würde ich ja schon wie erwähnt Foxit oder SumatraPDF nehmen. Zitat:
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. |
Zitat:
SWH hab ich deaktiviert. Die Einträge in der Quarantäne bleiben aber nach nochmaliger Überprüfung drin. Kann ich die dann einfach rauslöschen, wenn - wie ich das verstanden habe - die entsprechenden Dateien (bzw. zumindest die anderen, die die SWH betrafen) eigentlich gelöscht sein müssten!? Und was mache ich mit den anderen Einträgen? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board