Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Userinit.exe verdächtig laut Virustotal.com

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.05.2009, 18:43   #1
hem
 
Userinit.exe verdächtig laut Virustotal.com - Standard

Userinit.exe verdächtig laut Virustotal.com



hallo zusammen,

Ich hab gerade (nur so zur Sicherheit) mal die die exe-Dateien zu sämtlichen Prozessen die bei mir so laufen bei Virustotal.com hochgeladen.

Bei der Userinit.exe hat einer der 40 Virenscanner dort (nämlich esafe) einen Alarm gemeldet: Win32.Banker
Aber eben nur dieser. Alle anderen haben gesagt die Datei ist ok.

Hier mal der komplette Scanbericht:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.13 -
AhnLab-V3 5.0.0.2 2009.05.13 -
AntiVir 7.9.0.166 2009.05.13 -
Antiy-AVL 2.0.3.1 2009.05.13 -
Authentium 5.1.2.4 2009.05.13 -
Avast 4.8.1335.0 2009.05.13 -
AVG 8.5.0.327 2009.05.13 -
BitDefender 7.2 2009.05.13 -
CAT-QuickHeal 10.00 2009.05.13 -
ClamAV 0.94.1 2009.05.13 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.13 -
eSafe 7.0.17.0 2009.05.12 Win32.Banker
eTrust-Vet 31.6.6503 2009.05.13 -
F-Prot 4.4.4.56 2009.05.13 -
F-Secure 8.0.14470.0 2009.05.13 -
Fortinet 3.117.0.0 2009.05.13 -
GData 19 2009.05.13 -
Ikarus T3.1.1.49.0 2009.05.13 -
K7AntiVirus 7.10.734 2009.05.13 -
Kaspersky 7.0.0.125 2009.05.13 -
McAfee 5614 2009.05.13 -
McAfee+Artemis 5614 2009.05.13 -
McAfee-GW-Edition 6.7.6 2009.05.13 -
Microsoft 1.4602 2009.05.13 -
NOD32 4072 2009.05.13 -
Norman 6.01.05 2009.05.13 -
nProtect 2009.1.8.0 2009.05.13 -
Panda 10.0.0.14 2009.05.13 -
PCTools 4.4.2.0 2009.05.07 -
Prevx 3.0 2009.05.13 -
Rising 21.29.24.00 2009.05.13 -
Sophos 4.41.0 2009.05.13 -
Sunbelt 3.2.1858.2 2009.05.13 -
Symantec 1.4.4.12 2009.05.13 -
TheHacker 6.3.4.1.325 2009.05.12 -
TrendMicro 8.950.0.1092 2009.05.13 -
VBA32 3.12.10.5 2009.05.13 -
ViRobot 2009.5.13.1733 2009.05.13 -
VirusBuster 4.6.5.0 2009.05.13 -
weitere Informationen
File size: 26624 bytes
MD5...: 788f95312e26389d596c0fa55834e106
SHA1..: 82189a1477487e7f679c4fa5cb19b1b74d9b73ac
SHA256: f7090c739cfc4aa6280bfedc1551118f05a098b0ad71bb9541e21e6fdfed3040
SHA512: 0043faa78da22750a42889a049bffba850b4e315734ecf7faa20dba39b01c196
0cea42c14f16adcd163ae5e939adf245151b51252a3477238c79f6dc6437fe3d
ssdeep: 768:riBJi8jDLIDSAaQFxfftjaLacmkLGKO4Ru8Zk:rmJbDMDSA7FxffJaLaSLG7
408Zk
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x54ad
timedatestamp.....: 0x480251a8 (Sun Apr 13 18:32:08 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x520e 0x5400 5.95 289d6a5513176f26e7a7128ce7de1dc1
.data 0x7000 0x14c 0x200 1.86 0bb948f267e82975313a03d8c0e8a1cf
.rsrc 0x8000 0xcd0 0xe00 3.78 ca6ef217502d20513696667bd5be08c3

( 9 imports )
> USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, LoadStringW, MessageBoxW, ExitWindowsEx, CharNextW
> ADVAPI32.dll: RegOpenKeyExA, ReportEventW, RegisterEventSourceW, DeregisterEventSource, OpenProcessToken, RegCreateKeyExW, RegSetValueExW, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegQueryValueExA
> CRYPT32.dll: CryptProtectData
> WINSPOOL.DRV: SpoolerInit
> ntdll.dll: RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, RtlInitUnicodeString, NtOpenKey, NtClose, _wcsicmp, memmove, RtlConvertSidToUnicodeString, NtQueryInformationToken
> NETAPI32.dll: DsGetDcNameW, NetApiBufferFree
> WLDAP32.dll: -, -, -, -, -, -
> msvcrt.dll: __setusermatherr, _initterm, __getmainargs, _acmdln, _adjust_fdiv, _XcptFilter, _exit, _c_exit, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _cexit, exit
> KERNEL32.dll: CompareFileTime, LoadLibraryW, GetProcAddress, FreeLibrary, lstrcpyW, CreateProcessW, lstrlenW, GetVersionExW, LocalFree, LocalAlloc, GetEnvironmentVariableW, CloseHandle, lstrcatW, WaitForSingleObject, DelayLoadFailureHook, GetStartupInfoA, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, LocalReAlloc, GetSystemTime, lstrcmpW, GetCurrentThread, SetThreadPriority, ExpandEnvironmentStringsW, SearchPathW, GetLastError, CreateThread, GetFileAttributesExW, GetSystemDirectoryW, SetCurrentDirectoryW, FormatMessageW, lstrcmpiW, GetCurrentProcess, GetUserDefaultLangID, GetCurrentProcessId, SetEvent, OpenEventW, Sleep, SetEnvironmentVariableW

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=788f95312e26389d596c0fa55834e106' target='_blank'>http://www.threatexpert.com/report.aspx?md5=788f95312e26389d596c0fa55834e106</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=788f95312e26389d596c0fa55834e106' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=788f95312e26389d596c0fa55834e1


Kann das ein Fehlalarm sein? Was sollte ich tun?
Ich hoffe auf Eure Hilfe

Alt 13.05.2009, 18:53   #2
Larusso
/// Selecta Jahrusso
 
Userinit.exe verdächtig laut Virustotal.com - Standard

Userinit.exe verdächtig laut Virustotal.com



Macht der Rechner Probleme ?
Irgendetwas auffällig?
Nein--> dann Fehlalarm
__________________


Alt 13.05.2009, 18:58   #3
hem
 
Userinit.exe verdächtig laut Virustotal.com - Standard

Userinit.exe verdächtig laut Virustotal.com



erstmal vielen dank für die schnelle antwort.

nein an sich tut der nix seltsames.
die datei selber ist im april ´08 das letzte mal verändert worden (steht jedenfalls so in den eigenschaften). also müsste das ja, wenns tatsächlich ein virus wär, ein verdammt alter sein, den doch die anderen scanner inzwischen so langsam auch mal finden sollten oder?

ich dachte ja auch an nen fehlalarm, aber will halt lieber auf nummer sicher gehen, wenns um meinen PC geht bin ich immer leicht übervorsichtig.


edit: kennt jemand win32.banker? was macht der denn typischerweise? wenn ich das weiß könnte ich ja entsprechend die sache mal beobachten
__________________

Geändert von hem (13.05.2009 um 19:08 Uhr)

Alt 13.05.2009, 19:10   #4
maximilian11
 
Userinit.exe verdächtig laut Virustotal.com - Standard

Userinit.exe verdächtig laut Virustotal.com



Hi,

schick den Prozess mal hier bei Avira ein, da bekommste dann eine Mail, ob Maleware festgestellt wurde...

Alt 13.05.2009, 19:12   #5
hem
 
Userinit.exe verdächtig laut Virustotal.com - Standard

Userinit.exe verdächtig laut Virustotal.com



ok werd ich machen...vielen dank


Alt 13.05.2009, 19:14   #6
Larusso
/// Selecta Jahrusso
 
Userinit.exe verdächtig laut Virustotal.com - Standard

Userinit.exe verdächtig laut Virustotal.com



@ Maximilian

Zu Avira lässt man nur unbekannte Dateien hochladen die nicht erkannt werden und nicht irgendeine legitime Exe

@ hem

W32.Banker
leider nur in english

Alt 13.05.2009, 19:30   #7
hem
 
Userinit.exe verdächtig laut Virustotal.com - Standard

Userinit.exe verdächtig laut Virustotal.com



@Larusso: Englisch ist kein Problem
hab mir das mal alles da durchgelesen. Auf meinem System sind weder die 2 Dateien sie laut der Beschreibung im Systemordner sein müssten, noch habe ich die dort genannten Einträge in der Registry.

Sieht wohl wirklich nach einem blinden Alarm aus!?

Alt 13.05.2009, 19:38   #8
Larusso
/// Selecta Jahrusso
 
Userinit.exe verdächtig laut Virustotal.com - Standard

Userinit.exe verdächtig laut Virustotal.com



Und noch eine Info für dich

Was ist die userinit.exe

Wenn du dir denoch unsicher bist ob was auf deinem System ist kannst du bitte diese Anleitung abarbeiten
Es wird sich dann jemand um dich kümmern

Alt 13.05.2009, 19:52   #9
hem
 
Userinit.exe verdächtig laut Virustotal.com - Standard

Userinit.exe verdächtig laut Virustotal.com



Was die Userinit macht weiß ich
HiJackThis-Logfile hab ich mir schon angeguckt. Da ist nix auffälliges dran, alles Sachen die ich eindeutig zuordnen kann.
HÄTTE ich nen Virus oder Trojaner auf dem PC müsste er irgendeine eigentlich harmlose Datei ersetzt haben. Genau darum prüfe ich ja von zeit zu zeit alle Prozesse die laufen bei Virustotal.com.
Heut war dann eben dieser eigenartige Alarm dabei.

Aber mal angenommen (rein hypothetisch) die Userinit.exe wär tatsächlich von nem Virus oder Trojaner ersetzt worden. Dann müsste man doch irgendwas merken wenn man sich am PC anmeldet oder?

Alt 13.05.2009, 19:57   #10
Larusso
/// Selecta Jahrusso
 
Userinit.exe verdächtig laut Virustotal.com - Standard

Userinit.exe verdächtig laut Virustotal.com



eigentlich sollte dein AVP anschlagen da dies ein wesentlicher Prozess ist
Ja iwas sollte dir dabei schon auffallen

Alt 13.05.2009, 20:16   #11
hem
 
Userinit.exe verdächtig laut Virustotal.com - Standard

Userinit.exe verdächtig laut Virustotal.com



das einzige "auffällige" ist folgendes:

ich hab 2 nutzeraccounts. einen admin und einen ohne adminrechte für die normale arbeit/surfen/zocken usw.
manchmal passiert es, dass der pc sich festfährt wenn ich den nutzer wechseln will und den anderen nutzeraccount nicht abmelde sondern im hintergrund weiterlaufen lasse. das passiert aber eigentlich nur wenn bei dem zuerst angemeldeten account noch irgendein Programm läuft.

Aber ansonsten: systemstart immer einwandfrei, auch sonst eigentlich nix zu meckern

Alt 06.07.2009, 09:34   #12
loopmode
 
Userinit.exe verdächtig laut Virustotal.com - Standard

Userinit.exe verdächtig laut Virustotal.com



Also ich habe gerade ein sehr auffälliges Problem, und bin letzlich auch bis zur userinit.exe angelangt, aber weiss noch nicht sicher was los ist.

Meine Situation: Vor zwei tagen noch am Rechner gearbeitet, alles ganz normal. Jetzt kann ich mich nicht mehr anmelden: Sobald ich mich anmelde, werde ich automatisch wieder abgemeldet und zur Anmeldung rausgeschmissen. Win XP, SP3.

Ich kann mich jedoch im abgesicherten Modus als Admin anmelden.
Nun bin ich eben so eingeloggt, surfe und analysiere im abgesicherten modus, und unter anderem habe auch ich die userinit.exe verdachtsmäßig bei virustotal hochgeladen, selbe Situation: eSafe meckert den Banker an, Datei ist jedoch zuletzt im April 2008 geändert worden, zumindest laut windows. Ich nehme an, wenn ein bösartiges Programm eine Datei infiziert, wird das nicht unbedingt als "Letzte Änderung" registriert

Naja. Nur mal so meine 2 Groschen zum Thema, während hier ClamWin scannt und ich warte... Sollte es letzlich wirklich etwas mit dem Win32.Banker zu tun gehabt haben, melde ich mich hier nochmal.

Antwort

Themen zu Userinit.exe verdächtig laut Virustotal.com
.dll, alarm, bericht, bla, blank, crypt, error, exe-dateien, fehlalarm, filter, generic, hallo zusammen, ide, link, ntdll.dll, prozesse, scan, scanner, sicherheit, userinit.exe, virenscanner, virus, virustotal.com, visual c++, win




Ähnliche Themen: Userinit.exe verdächtig laut Virustotal.com


  1. Trojan/Delphi.ad laut Virustotal.com gefunden
    Log-Analyse und Auswertung - 10.05.2013 (15)
  2. Lüfter sehr laut, Laut Highjackthis-Analyse Schadsoftware auf Laptop
    Log-Analyse und Auswertung - 05.12.2011 (10)
  3. Computer benimmt sich verdächtig
    Log-Analyse und Auswertung - 18.09.2010 (5)
  4. Verdächtig oder nicht
    Log-Analyse und Auswertung - 12.06.2010 (0)
  5. REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe
    Log-Analyse und Auswertung - 15.08.2009 (19)
  6. Ist hier ein prozess verdächtig...?
    Plagegeister aller Art und deren Bekämpfung - 14.08.2009 (10)
  7. DR.WEB Cure-IT, verdächtig SCRIPT:Virus
    Plagegeister aller Art und deren Bekämpfung - 11.05.2009 (7)
  8. Verdächtig - Bitte um Hilfe
    Log-Analyse und Auswertung - 29.01.2009 (23)
  9. iexplore verdächtig, die zweite.
    Plagegeister aller Art und deren Bekämpfung - 21.08.2008 (1)
  10. iexplore verdächtig
    Mülltonne - 04.08.2008 (1)
  11. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\n
    Log-Analyse und Auswertung - 05.10.2007 (10)
  12. PC läuft verdächtig Langsam(p2pAlcan)
    Plagegeister aller Art und deren Bekämpfung - 26.05.2007 (1)
  13. laut Virustotal mehrere Viren nur Antivir findet nichts ?!
    Log-Analyse und Auswertung - 13.05.2007 (2)
  14. Ist das verdächtig?
    Mülltonne - 25.05.2006 (1)
  15. Anitvir Report, Verdächtig oder?
    Antiviren-, Firewall- und andere Schutzprogramme - 09.04.2006 (5)
  16. Treiberupdate/Datei verdächtig
    Plagegeister aller Art und deren Bekämpfung - 06.04.2005 (7)
  17. zogwcod.scr -> Verdächtig?
    Plagegeister aller Art und deren Bekämpfung - 06.09.2003 (8)

Zum Thema Userinit.exe verdächtig laut Virustotal.com - hallo zusammen, Ich hab gerade (nur so zur Sicherheit) mal die die exe-Dateien zu sämtlichen Prozessen die bei mir so laufen bei Virustotal.com hochgeladen. Bei der Userinit.exe hat einer der - Userinit.exe verdächtig laut Virustotal.com...
Archiv
Du betrachtest: Userinit.exe verdächtig laut Virustotal.com auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.