| |
| |||||||
Log-Analyse und Auswertung: REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.08.2009, 17:02
| #5 |
 |  REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe So.. Log von der Datei Userinit.exe (Da die Datei mit in der Zeile stand habe ich sie direkt mitgescannt) wurde als win32.Banker erkannt. Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.13 -
AhnLab-V3 5.0.0.2 2009.08.13 -
AntiVir 7.9.1.1 2009.08.13 -
Antiy-AVL 2.0.3.7 2009.08.13 -
Authentium 5.1.2.4 2009.08.13 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.13 -
BitDefender 7.2 2009.08.13 -
CAT-QuickHeal 10.00 2009.08.13 -
ClamAV 0.94.1 2009.08.13 -
Comodo 1965 2009.08.13 -
DrWeb 5.0.0.12182 2009.08.13 -
eSafe 7.0.17.0 2009.08.11 Win32.Banker
eTrust-Vet 31.6.6675 2009.08.13 -
F-Prot 4.4.4.56 2009.08.13 -
F-Secure 8.0.14470.0 2009.08.13 -
Fortinet 3.120.0.0 2009.08.13 -
GData 19 2009.08.13 -
Ikarus T3.1.1.64.0 2009.08.13 -
Jiangmin 11.0.800 2009.08.13 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.13 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.13 -
Microsoft 1.4903 2009.08.13 -
NOD32 4332 2009.08.13 -
Norman 6.01.09 2009.08.13 -
nProtect 2009.1.8.0 2009.08.13 -
Panda 10.0.0.14 2009.08.12 -
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.13 -
Rising 21.42.34.00 2009.08.13 -
Sophos 4.44.0 2009.08.13 -
Sunbelt 3.2.1858.2 2009.08.13 -
Symantec 1.4.4.12 2009.08.13 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.13 -
VBA32 3.12.10.9 2009.08.13 -
ViRobot 2009.8.13.1883 2009.08.13 -
VirusBuster 4.6.5.0 2009.08.13 -
weitere Informationen
File size: 26624 bytes
MD5...: 788f95312e26389d596c0fa55834e106
SHA1..: 82189a1477487e7f679c4fa5cb19b1b74d9b73ac
SHA256: f7090c739cfc4aa6280bfedc1551118f05a098b0ad71bb9541e21e6fdfed3040
ssdeep: 768:riBJi8jDLIDSAaQFxfftjaLacmkLGKO4Ru8Zk:rmJbDMDSA7FxffJaLaSLG7
408Zk
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x54ad
timedatestamp.....: 0x480251a8 (Sun Apr 13 18:32:08 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x520e 0x5400 5.95 289d6a5513176f26e7a7128ce7de1dc1
.data 0x7000 0x14c 0x200 1.86 0bb948f267e82975313a03d8c0e8a1cf
.rsrc 0x8000 0xcd0 0xe00 3.78 ca6ef217502d20513696667bd5be08c3
( 9 imports )
> USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, LoadStringW, MessageBoxW, ExitWindowsEx, CharNextW
> ADVAPI32.dll: RegOpenKeyExA, ReportEventW, RegisterEventSourceW, DeregisterEventSource, OpenProcessToken, RegCreateKeyExW, RegSetValueExW, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegQueryValueExA
> CRYPT32.dll: CryptProtectData
> WINSPOOL.DRV: SpoolerInit
> ntdll.dll: RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, RtlInitUnicodeString, NtOpenKey, NtClose, _wcsicmp, memmove, RtlConvertSidToUnicodeString, NtQueryInformationToken
> NETAPI32.dll: DsGetDcNameW, NetApiBufferFree
> WLDAP32.dll: -, -, -, -, -, -
> msvcrt.dll: __setusermatherr, _initterm, __getmainargs, _acmdln, _adjust_fdiv, _XcptFilter, _exit, _c_exit, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _cexit, exit
> KERNEL32.dll: CompareFileTime, LoadLibraryW, GetProcAddress, FreeLibrary, lstrcpyW, CreateProcessW, lstrlenW, GetVersionExW, LocalFree, LocalAlloc, GetEnvironmentVariableW, CloseHandle, lstrcatW, WaitForSingleObject, DelayLoadFailureHook, GetStartupInfoA, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, LocalReAlloc, GetSystemTime, lstrcmpW, GetCurrentThread, SetThreadPriority, ExpandEnvironmentStringsW, SearchPathW, GetLastError, CreateThread, GetFileAttributesExW, GetSystemDirectoryW, SetCurrentDirectoryW, FormatMessageW, lstrcmpiW, GetCurrentProcess, GetUserDefaultLangID, GetCurrentProcessId, SetEvent, OpenEventW, Sleep, SetEnvironmentVariableW
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Log von der Datei twext.dll Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.13 -
AhnLab-V3 5.0.0.2 2009.08.13 -
AntiVir 7.9.1.1 2009.08.13 -
Antiy-AVL 2.0.3.7 2009.08.13 -
Authentium 5.1.2.4 2009.08.13 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.13 -
BitDefender 7.2 2009.08.13 -
CAT-QuickHeal 10.00 2009.08.13 -
ClamAV 0.94.1 2009.08.13 -
Comodo 1965 2009.08.13 -
DrWeb 5.0.0.12182 2009.08.13 -
eSafe 7.0.17.0 2009.08.13 -
eTrust-Vet 31.6.6675 2009.08.13 -
F-Prot 4.4.4.56 2009.08.13 -
F-Secure 8.0.14470.0 2009.08.13 -
Fortinet 3.120.0.0 2009.08.13 -
GData 19 2009.08.13 -
Ikarus T3.1.1.64.0 2009.08.13 -
Jiangmin 11.0.800 2009.08.13 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.13 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.13 -
Microsoft 1.4903 2009.08.13 -
NOD32 4332 2009.08.13 -
Norman 6.01.09 2009.08.13 -
nProtect 2009.1.8.0 2009.08.13 -
Panda 10.0.0.14 2009.08.12 -
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.13 -
Rising 21.42.34.00 2009.08.13 -
Sophos 4.44.0 2009.08.13 -
Sunbelt 3.2.1858.2 2009.08.13 -
Symantec 1.4.4.12 2009.08.13 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.13 -
VBA32 3.12.10.9 2009.08.13 -
ViRobot 2009.8.13.1883 2009.08.13 -
VirusBuster 4.6.5.0 2009.08.13 -
weitere Informationen
File size: 57856 bytes
MD5...: 632a666d9cdf23641c47c0c6f0f70978
SHA1..: 4140347af73808f6c9e91cdc6f3146743dc673a9
SHA256: 9f356dfc6ca75c546ef9642f6bd087fec988ee1e62ea853626eca2a63d5cdabe
ssdeep: 768:svfS3EsAa/Qc+Au6DL0zB7UkLTeCxD1LlVAg6T1o8AdwUREH2EYON:svgEmY
c75EXZ1LlWg6T8BWH2Eb
PEiD..: -
TrID..: File type identification
DirectShow filter (65.5%)
Win64 Executable Generic (27.8%)
Win32 Executable Generic (2.7%)
Win32 Dynamic Link Library (generic) (2.4%)
Generic Win/DOS Executable (0.6%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x46a4
timedatestamp.....: 0x4802bfd0 (Mon Apr 14 02:22:08 2008)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xb712 0xb800 6.52 25ee32f4e2c11874e535285b7173d34a
.data 0xd000 0x394 0x400 1.86 70ea386203e5fbf2865f14fdce9cb567
.rsrc 0xe000 0xfc0 0x1000 5.52 6d4ccb03572fdd6848bb0a71835e65c1
.reloc 0xf000 0x1086 0x1200 4.02 504c1239dcf48c5fee5f564ee362560d
( 6 imports )
> ntdll.dll: RtlUnwind, NtQueryVirtualMemory, wcsrchr, _wcsicmp, wcscmp, iswalpha, _wcsnicmp, wcschr, wcslen, memmove, wcsstr, RtlTimeFieldsToTime, RtlNtStatusToDosError, NtCreateEvent, NtFsControlFile, NtWaitForSingleObject, NtClose, _vsnwprintf
> KERNEL32.dll: GlobalLock, GlobalUnlock, LocalAlloc, LocalFree, GetLastError, CreateFileW, lstrlenW, GetVolumePathNameW, lstrcmpiW, GetFileAttributesExW, CompareFileTime, CloseHandle, InterlockedIncrement, InterlockedDecrement, FreeLibrary, GetProcAddress, LoadLibraryW, DisableThreadLibraryCalls, lstrcpynW, LoadLibraryExA, InitializeCriticalSection, DeleteCriticalSection, CompareStringW, LeaveCriticalSection, GetTickCount, EnterCriticalSection, GetFileAttributesW, RemoveDirectoryW, WaitForSingleObject, CreateThread, LockResource, LoadResource, FindResourceW, FormatMessageW, GetComputerNameW, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetCurrentThreadId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleFileNameW, GetWindowsDirectoryW, GetModuleHandleW, DelayLoadFailureHook, GetCurrentProcessId
> USER32.dll: DeleteMenu, GetMenuItemCount, RegisterClipboardFormatW, SetMenuItemInfoW, GetMenuItemInfoW, MoveWindow, GetClientRect, GetWindowLongW, SetWindowLongW, WinHelpW, LoadIconW, SendDlgItemMessageW, LoadCursorW, SetCursor, GetFocus, SetFocus, EnableWindow, LoadStringW, SetWindowTextW, SendMessageW, GetDlgItem, GetWindowRect, MapWindowPoints
> SHELL32.dll: -, -, -, -, -, -, ShellExecuteExW, -, -, -, -, -, -, -, SHFileOperationW, SHGetFolderLocation, SHGetSpecialFolderLocation, SHBindToParent, -, SHParseDisplayName, -, SHBrowseForFolderW, -, -, SHChangeNotify, -, -, SHGetDesktopFolder
> SHLWAPI.dll: -, -, StrCpyNW, StrChrW, -, -, -, StrRetToBufW, StrCmpIW, AssocCreate, PathAppendW, StrDupW, PathIsUNCServerW, PathIsNetworkPathW, PathRemoveBackslashW, PathIsRootW, PathFindFileNameW, -, PathIsUNCW, SHStrDupW, -, -, -, -, StrRetToStrW, -
> ACTIVEDS.dll: -
( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
PDFiD.: -
RDS...: NSRL Reference Data Set
-
|
| Themen zu REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe |
| .dll, ad-aware, ad-watch, adobe, antivirus, bho, explorer, firefox, frage, google, google update, gupdate, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, malwarebytes' anti-malware, mozilla, nicht gefunden, plug-in, programme, scan, software, svchost.exe, symantec, system, trojaner, userinit.exe, viren, windows, windows xp |
Baum-Darstellung