Trojaner gefunden! Wie wird alles entfernt?

weedy · 04.09.2006, 16:56

Ich sag' dazu nur so viel:

Die userinit / userinit.exe ( Userinit-Anmeldeanwendung ) ist ein "existenzieller" Windowsprozess, welcher beim booten des Rechners in Aktion tritt.
Unter Anderem ist sie für den Start der Windows-Shell und weiteren Bootvorgängen zuständig.

Quelle: http://www.frankn.com/html/userinit_exe.php

Warum soll an einem harmlosen Prozess was dran sein? Falls dieser infiziert ist, dann ist das sicherlich nicht der Herd. naja......

Karin1961 · 04.09.2006, 17:07

Complete scanning result of "userinit.exe", received in VirusTotal at 09.04.2006, 17:45:12 (CET).

Antivirus Version Update Result
AntiVir 7.1.1.11 09.04.2006 no virus found
Authentium 4.93.8 09.03.2006 no virus found
Avast 4.7.844.0 09.04.2006 no virus found
AVG 386 09.04.2006 no virus found
BitDefender 7.2 09.04.2006 no virus found
CAT-QuickHeal 8.00 09.04.2006 no virus found
ClamAV devel-20060426 09.04.2006 no virus found
DrWeb 4.33 09.04.2006 no virus found
eTrust-InoculateIT 23.72.115 09.04.2006 no virus found
eTrust-Vet 30.3.3061 09.04.2006 no virus found
Ewido 4.0 09.04.2006 no virus found
Fortinet 2.77.0.0 09.03.2006 no virus found
F-Prot 3.16f 09.03.2006 no virus found
F-Prot4 4.2.1.29 09.03.2006 no virus found
Ikarus 0.2.65.0 09.04.2006 no virus found
Kaspersky 4.0.2.24 09.04.2006 no virus found
McAfee 4843 09.01.2006 no virus found
Microsoft 1.1560 09.03.2006 no virus found
NOD32v2 1.1738 09.04.2006 no virus found
Norman 5.90.23 09.04.2006 no virus found
Panda 9.0.0.4 09.03.2006 no virus found
Sophos 4.09.0 09.04.2006 no virus found
Symantec 8.0 09.04.2006 no virus found
TheHacker 5.9.8.204 09.04.2006 no virus found
UNA 1.83 09.04.2006 no virus found
VBA32 3.11.1 09.03.2006 no virus found
VirusBuster 4.3.7:9 09.03.2006 no virus found

Aditional Information
File size: 25088 bytes
MD5: d1e53dc57143f2584b1dd53b036c0633
SHA1: 53f6e0e6130cf9f0177e6d48295ae9d84fb9f8fa

weedy · 04.09.2006, 17:37

Sag ich doch..hättest du dir auch sparen können.

Karin1961 · 04.09.2006, 17:42

der scan läuft immer noch. Hoffe ich finde den find.bat wirklich, da ich dasProgramm auf dem Desktop habe undnix mit C: Bases-X und so

ordell1234 · 04.09.2006, 18:06

Oje, ich glaube, du kannst den scan abbrechen.
Deaktiviere die Systemwiederherstellung, lade den ccleaner und führe die Säuberung aus.

Fixe (Haken bei HijackThis am Zeilenanfang setzen)

Zitat:

O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab

Starte neu. Lies die Anleitung von escan genau. Da steht

Zitat:

Nach dem Download, sollte das Archiv mittels WinRAR entpackt [2] werden. [2] Rechtsklick auf die 'mwav.exe' -> 'Dateien entpacken…' auswählen -> unter Zielverzeichnis 'C:\Bases_X' eingeben -> 'OK'

(Archiv = mwav.exe).

Wenn du das Archiv in Bases_X entpackt hast (Das Verzeichnis mußt du beim Entpacken selbst erstellen), update escan, lösche das escan-log und scanne im abgesicherten Modus erneut. Neustart, poste das log der find.bat sowie ein neues Hijackthis-log.

Karin1961 · 04.09.2006, 18:06

Also ich hätte erst dieDateivon Haui installieren müssen? geht aber nicht,da der Link nicht funktionniert

Karin1961 · 04.09.2006, 18:11

Biite nochmals um Hilfe, habe nur dien MWAV.LogDatei die ist riesig!!! Was habe ich falsch gemacht????????????

Muss ih nun das programm auch im Ordnen basis-x starten? oder kann ich den scan mit dem icon auf dem destop ausführen?

Yopie · 04.09.2006, 18:18

http://home.arcor.de/haui.45/Download/Find.zip

Runterladen, auspacken, find.bat ausführen. Der Link geht.

Gruß

Yopie

ordell1234 · 04.09.2006, 18:23

Vergiß die find.bat, das wird nix. Führe zunächst die anderen Schritte aus, Systemwiederherstellung deaktivieren usw.

Bevor du einen neuen! escan machst (entpackt in das Verzeichnis Bases_x), löschst du das alte mwav.log. Dann scannen und dann gib Bescheid, wenn du soweit bist.

Bitte nutze die Editierfunktion, sollte dir ein Nachtrag einfallen.

Karin1961 · 04.09.2006, 19:47

Zitat:

Zitat von Yopie

http://home.arcor.de/haui.45/Download/Find.zip

Runterladen, auspacken, find.bat ausführen. Der Link geht.

Gruß

Yopie

Danke, der ging und habe es auc

h verstanden, scan läuft nun. Nach säuberung!

Karin1961 · 04.09.2006, 20:53

So, der Scan ist durch und bevor ich jetzt wieder etwas falsch mache,warte ich lieber auf Anweisung wo ist Rehtsklick auf Find.zip?

ordell1234 · 04.09.2006, 21:08

Madam, you drive me crazy. In welchem Ordner befindet sich das log? Wenn nicht in c:\bases_x, dann erstelle diesen Ordner und kopiere das das aktuelle mwav.log da hinein. Entpacke find.zip und führe find.bat aus. Dann suche escan_neu.txt mit Windows. Wird vermutlich dann unter c:\ liegen. Poste das log. Das log ist hoffentlich englisch?! Andernfalls mußt du manuell suchen, aber dazu später mehr.

Gruß

PS: Rechtsklick auf find.zip ist nicht notwendig. Einfach mit links klicken.

Karin1961 · 04.09.2006, 21:09

Habe die Alternative gewählt, die habe ich verstanden.

So hier nun das Ergebnis:
Mon Sep 04 20:10:01 2006 => System found infected with ucmore toolbar Spyware/Adware ({53cbee82-d747-11d3-9ed0-005004189684})! Action taken: No Action Taken.
Mon Sep 04 20:10:01 2006 => System found infected with ucmore toolbar Spyware/Adware ({ed8db0fd-d8f4-4b2c-bb5b-9ef040fe104d})! Action taken: No Action Taken.
:01 2006 => System found infected with ucmore toolbar Spyware/Adware ({53cbee82-d747-11d3-9ed0-005004189684})! Action taken: No Action Taken.
Mon Sep 04 20:10:04 2006 => System found infected with tencent qq Spyware/Adware (acodec.dll)! Action taken: No Action Taken.

Karin1961 · 04.09.2006, 21:16

Habs gefunden

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Sep 04 20:10:01 2006 => System found infected with ucmore toolbar Spyware/Adware ({53cbee82-d747-11d3-9ed0-005004189684})! Action taken: No Action Taken.
Mon Sep 04 20:10:01 2006 => System found infected with ucmore toolbar Spyware/Adware ({ed8db0fd-d8f4-4b2c-bb5b-9ef040fe104d})! Action taken: No Action Taken.
Mon Sep 04 20:10:01 2006 => System found infected with ucmore toolbar Spyware/Adware ({53cbee82-d747-11d3-9ed0-005004189684})! Action taken: No Action Taken.
Mon Sep 04 20:10:04 2006 => System found infected with tencent qq Spyware/Adware (acodec.dll)! Action taken: No Action Taken.
Mon Sep 04 20:10:02 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Sep 04 20:10:02 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Sep 04 20:10:02 2006 => Object "ucmore Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Sep 04 20:10:02 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Sep 04 20:10:02 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Sep 04 20:10:02 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Mon Sep 04 20:10:02 2006 => Object "precisiontime Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Sep 04 20:10:04 2006 => Offending file found: C:\WINDOWS\system32\acodec.dll
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Sep 04 20:10:02 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\date manager !!!
Mon Sep 04 20:10:02 2006 => Offending Key found: HKLM\Software\kazaa !!!
Mon Sep 04 20:10:02 2006 => Offending Key found: HKLM\Software\ucmore !!!
Mon Sep 04 20:10:02 2006 => Offending Key found: HKCU\Software\kazaa !!!
Mon Sep 04 20:10:02 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\date manager !!!
Mon Sep 04 20:10:02 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\kazaa media desktop !!!
Mon Sep 04 20:10:02 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\precisiontime !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Sep 04 21:50:50 2006 => Total Errors: 514
Mon Sep 04 21:50:50 2006 => Time Elapsed: 01:40:50
Mon Sep 04 21:50:50 2006 => Total Objects Scanned: 89102
Mon Sep 04 20:09:25 2006 => Virus Database Date: 9/4/2006
Mon Sep 04 21:50:50 2006 => Virus Database Date: 9/4/2006
Mon Sep 04 22:02:23 2006 => Virus Database Date: 9/4/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ordell1234 · 04.09.2006, 21:35

Ok, lade dir Spybot SD, update das Programm, immunisiere (wird verständlich, wenn du das Programm geöffnet hast). Scanne mit Spybot SD, behebe die gezeigten Fehler, führe CCleaner aus, starte neu, neuer escan (!mwav.log vorher löschen!, abgesichterter Modus ist m.E. für den scan nicht notw.), poste das neue log escan_neu.txt, poste ein neues Hijackthis-log. Du bist bald durch!

Gruß

edit: link vergessen

04.09.2006, 18:18	#23
Yopie Moderator, a.D.	Trojaner gefunden! Wie wird alles entfernt? http://home.arcor.de/haui.45/Download/Find.zip Runterladen, auspacken, find.bat ausführen. Der Link geht. Gruß Yopie

Trojaner gefunden! Wie wird alles entfernt?

Log-Analyse und Auswertung: Trojaner gefunden! Wie wird alles entfernt?