Avira findet (angeblich) mehrere Trojaner - muss ich mir Sorgen machen?
 

Mein letzter Scan brachte 4 "Funde".

Der erste betraf eine pdfupd.exe. Hab den Namen des Trojaners schon wieder vergessen, hab dazu aber in Google gefunden, dass man die Datei (da in einem temp-Verzeichnis) löschen könne. Hab ich dann auch gemacht.

Die girc430.exe in meinem Download-Verzeichnis sollte mit einem Backdoorprogramm infiziert gewesen sein. Da ich das Programm nicht mehr installiert habe und die Datei nur noch in meinem Download-Verzeichnis lag, habe ich nach Google-Recherche auch die gelöscht.

Da ich allerdings bei den anderen Meldungen von einem vorschnellen Löschen absehe, hier mal die Meldungen:

Dazu habe ich gefunden, dass dieser Trojaner normalerweise die userinit.exe in userini.exe umbenennt und sich dann als feste userinit.exe ins Verzeichnis setzt. Doch ich finde bei mir keine userini.exe im system32-Verzeichnis!?

Muss ich mir da Sorgen machen? Bzw. kann ich die Meldungen ohne weiteres ignorieren oder muss ich irgendwie tätig werden (z.B. die Sache mit dem JAVA-Virus einfach löschen)?

Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

OK, habe alle Schritte durchgeführt. CCleaner hat einiges aufgeräumt, Malwarebytes hat nichts bzw. nichts mehr (hatte das gestern schon mal drüberlaufen lassen) gefunden. RSIT hat irgend nen Fehler mit Exception gebracht, denke aber, dass das einfach nur das Programmende war!? Logfiles sehen nämlich relativ vollständig aus :)

Ich habe sie hier hochgeladen:

File-Upload.net - log.zip

Bitte diese Datei bei Virustotal auswerten lassen den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

Das ist die legitime Systemdatei userinit.exe gewesen. Ich wollte eine Auswertung der stu2.exe - falls schon ausgewertet, bitte eine weitere Analyse starten.

Hmmm, dachte, wenn man stu2.exe auswählt, würde die auch hochgeladen und analysiert ... :confused:

Nächster Versuch:
Virustotal. MD5: 788f95312e26389d596c0fa55834e106 Win32.Banker

Ja, Du hast auch die stu2.exe ausgewählt. Aber die stu2.exe scheint eine Kopie der MS-Datei userinit.exe zu sein. Wenn eine Datei bei VT schonmal ausgewertet wurde, hast Du die Möglichkeit die letzten Ergebnisse anzuzeigen oder eine neue Auswertung zu starten. Wenn Du die letzten Ergebnisse zeigst, zeigt er Dir auch den Dateinamen, der damals zugeschickt wurde.

Bedeutet das dann, dass die stu2.exe die Sicherung der userinit.exe ist und unter diesem Namen jetzt ne verseuchte Version exisitiert?
Bzw. was soll ich also jetzt tun? Die userinit.exe löschen und die stu2.exe in unserinit.exe umbenennen?

Die stu2 ist nur ne Kopie. Lösch die stu2.exe einfach.
Mach danach bitte einen Kontrollscan mit Superantispyware und poste das Log.

OK. Habe stu2.exe gelöscht und den Scan gemacht. Wenn ich das richtig sehe, wurden "nur" 33 Cookies gefunden, die das Programm wohl in Quarantäne geschickt hat!?

Ja, das sind nur Cookies. Wenn keine Probleme mehr sind bitte Updates prüfen:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

OK, die paar ausstehenden Windows-Updates sind nachgeholt, ebenso poppte das Java-Symbol in der Taskleiste auf - es wären neue Updates verfügbar. Hab das dann auf diesem Weg upgedatet.

Acrobat: Hmmm, ist nicht ganz so einfach - denn ich benutze nicht nur den Reader. Ich hab die Acrobat 6.0 Professional installiert. Dazu gab's aber jetzt auch nen Patch, den ich mir gleich noch installiert hab.

In der Quarantäne von Avira befinden sich nun dieser Eintrag mit Bezug auf das Java-Cache-Verzeichnis, der mit Bezug auf die userinit.exe und mittlerweile noch 5 weitere Meldungen über Trojaner-/Backdoorprogramme, die auf Dateien im C.\System Volume Information\_restore[...] verweisen. Wie soll ich nun weitermachen?

Privat oder gewerblich? Ist eher unüblich auf privaten Rechnern, es sei denn Du hast es verbotenerweise gecrackt :balla:
Nur zum Erstellen von PDF-Dateien kann man auch auf Freeware wie FreePDF oder PDF-Creator zurückgreifen. Und zum Betrachten der PDFs würde ich ja schon wie erwähnt Foxit oder SumatraPDF nehmen.

SWH deaktivieren!!

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Gewerblich und nix gecrackt. Verwende ne ehrlich gekaufte Version :heilig:

SWH hab ich deaktiviert. Die Einträge in der Quarantäne bleiben aber nach nochmaliger Überprüfung drin. Kann ich die dann einfach rauslöschen, wenn - wie ich das verstanden habe - die entsprechenden Dateien (bzw. zumindest die anderen, die die SWH betrafen) eigentlich gelöscht sein müssten!?

Und was mache ich mit den anderen Einträgen?

Das ist wirklich sehr löblich von Dir, hier im TB schwirren nämlich auch einige verseuchte Kisten mit Cracks & Keygens herum :D
Wer die einsetzt muss sich über Infektionen wirklich nicht mehr wundern und bekommt hier außer dem Hinweis auf Neuinstallation keine Tipps zur Bereinigung.

Wenn die SWH komplett deaktiviert wurde, sollte alles in System Volume Information weg sein.

Welche? :confused:

Wenn ich im Explorer auf den Ordner zugreifen will, bekomme ich die Meldung "Zugriff verweigert". Hab die SWH wieder aktiviert - trotzdem kein Zugriff. Prinzipiell sollte der Ordner aber ja wohl leer sein. Stellt sich die Frage: Müsste die Deaktivierung auch die Dateien in der Avira-Quarantäne löschen oder muss ich das manuell machen?

Jo. Iss normal, dass Du da standardmäßig nicht rein kommst. Als Admin kannst Du Dir aber die Rechte so setzen, dass Du da rein kommst. Hast Du XP home oder pro?

Sieht eher nach einem Fehlalarm aus. Im Zweifel die Datei einfach mal bei Virustotal.com hochladen und auswerten lassen.

Kommt die Meldung darüber noch?

Pro ...

Gemacht: Virustotal. MD5: 788f95312e26389d596c0fa55834e106 Win32.Banker

Hmmm ... was hat dieses Win32.Banker da jetzt zu suchen? :confused:

Wie meinen? :rolleyes: Ob die Java-Meldung noch da ist? Ja, ist sie. Wenn ich den Eintrag in der Avira-Quarantäne markiere und auf "erneut untersuchen" gehe, so bleibt der Eintrag bestehen ...

Bei XP Pro kannst Du über die Sicherheitseinstellungen in den Eigenschaften von System Volume Information die ACLs bearbeiten => Deinen Benutzernamen hinzufügen und entsprechende Rechte eintragen (Vollzugriff, aber Ändern sollte auch schon reichen)

Wegen der Userinit: Der Banker-Fund ist definitiv ein Fehlalarm, wichtiger sind die Infos unten:

Und Du kannst die Datei nicht löschen?
Da das ganze im cache gefunden wurde, kannst Du auch mal den Cache von Java komplett leeren. Entweder manuell oder mit dem CCleaner .

Und die Infos besagen? Dass alles in Ordnung ist?

Öhm, ich finde die Datei gar nicht. Der Ordner

scheint leer zu sein!?
Ich denke, das ist das gleiche wie mit den SWH-Dateien: Die sind schon gelöscht, nur ind er Quarantäne ist noch eine Kopie oder so. Eigentlich müsste ich die dort doch einfach löschen können, was meinst Du?

Lies es doch einfach. Dann weißt Du wer die Datei gemacht hat.

Dann isses so :)

Ja, leere die Quarantäne

Ich dachte mir schon, dass ich aus

ableiten soll, dass es das Original ist. Nur wusste ich nicht, inwiefern ein Trojaner das verändern würde bzw. ob das in ner verseuchten Datei nicht auch noch so drin steht!? Würde das automatisch passieren?

Diese Dateien sind signiert. Sobald da auch nur ein Bit anders drin ist, steht da bei sigcheck nicht mehr Microsoft als Herausgeber drin.

Außerdem hat "meine" userinit.exe die gleiche Prüfsumme, Deine und meine sind also völlig identisch.

OK.

Ich hab dann also mal die Quarantäne geleert, insofern dürfte jetzt eigentlich alles in Ordnung sein.

Danke Dir auf jeden Fall! :applaus: