Mein letzter Scan brachte 4 "Funde".

Der erste betraf eine pdfupd.exe. Hab den Namen des Trojaners schon wieder vergessen, hab dazu aber in Google gefunden, dass man die Datei (da in einem temp-Verzeichnis) löschen könne. Hab ich dann auch gemacht.

Die girc430.exe in meinem Download-Verzeichnis sollte mit einem Backdoorprogramm infiziert gewesen sein. Da ich das Programm nicht mehr installiert habe und die Datei nur noch in meinem Download-Verzeichnis lag, habe ich nach Google-Recherche auch die gelöscht.

Da ich allerdings bei den anderen Meldungen von einem vorschnellen Löschen absehe, hier mal die Meldungen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\userinit.exe
"Ist das Trojanische Pferd TR/Dldr.Obitel.9"
         

Dazu habe ich gefunden, dass dieser Trojaner normalerweise die userinit.exe in userini.exe umbenennt und sich dann als feste userinit.exe ins Verzeichnis setzt. Doch ich finde bei mir keine userini.exe im system32-Verzeichnis!?

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Hans Mustermann\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22\5c244c96-31c152f1
"Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agen.NA.1"
         

Muss ich mir da Sorgen machen? Bzw. kann ich die Meldungen ohne weiteres ignorieren oder muss ich irgendwie tätig werden (z.B. die Sache mit dem JAVA-Virus einfach löschen)?

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

OK, habe alle Schritte durchgeführt. CCleaner hat einiges aufgeräumt, Malwarebytes hat nichts bzw. nichts mehr (hatte das gestern schon mal drüberlaufen lassen) gefunden. RSIT hat irgend nen Fehler mit Exception gebracht, denke aber, dass das einfach nur das Programmende war!? Logfiles sehen nämlich relativ vollständig aus

Ich habe sie hier hochgeladen:

File-Upload.net - log.zip

Zitat:

C:\WINDOWS\system32\stu2.exe

Bitte diese Datei bei Virustotal auswerten lassen den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

Zitat:

Zitat von cosinus

den Ergebnislink posten

https://www.virustotal.com/de/analis...040-1268026472

Das ist die legitime Systemdatei userinit.exe gewesen. Ich wollte eine Auswertung der stu2.exe - falls schon ausgewertet, bitte eine weitere Analyse starten.

Hmmm, dachte, wenn man stu2.exe auswählt, würde die auch hochgeladen und analysiert ...

Nächster Versuch:
Virustotal. MD5: 788f95312e26389d596c0fa55834e106 Win32.Banker

Ja, Du hast auch die stu2.exe ausgewählt. Aber die stu2.exe scheint eine Kopie der MS-Datei userinit.exe zu sein. Wenn eine Datei bei VT schonmal ausgewertet wurde, hast Du die Möglichkeit die letzten Ergebnisse anzuzeigen oder eine neue Auswertung zu starten. Wenn Du die letzten Ergebnisse zeigst, zeigt er Dir auch den Dateinamen, der damals zugeschickt wurde.

Bedeutet das dann, dass die stu2.exe die Sicherung der userinit.exe ist und unter diesem Namen jetzt ne verseuchte Version exisitiert?
Bzw. was soll ich also jetzt tun? Die userinit.exe löschen und die stu2.exe in unserinit.exe umbenennen?

Die stu2 ist nur ne Kopie. Lösch die stu2.exe einfach.
Mach danach bitte einen Kontrollscan mit SUPERAntiSpyware und poste das Log.

OK. Habe stu2.exe gelöscht und den Scan gemacht. Wenn ich das richtig sehe, wurden "nur" 33 Cookies gefunden, die das Programm wohl in Quarantäne geschickt hat!?

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/11/2010 at 11:48 AM

Application Version : 4.34.1000

Core Rules Database Version : 4661
Trace Rules Database Version: 2473

Scan type       : Complete Scan
Total Scan Time : 02:47:25

Memory items scanned      : 522
Memory threats detected   : 0
Registry items scanned    : 5136
Registry threats detected : 0
File items scanned        : 210364
File threats detected     : 33

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@clickaider[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@bs.serving-sys[2].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@ad.adition[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@serving-sys[3].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@specificclick[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@tracking.quisma[2].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@unitymedia[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@eas.apm.emediate[2].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@doubleclick[2].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@zanox[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@traffictrack[2].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@im.banner.t-online[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@xiti[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@smartadserver[2].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@ad.yieldmanager[3].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@revsci[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@adviva[2].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@tradedoubler[2].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@webmasterplan[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@atdmt[2].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@zanox-affiliate[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@wissende.122.2o7[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@content.yieldmanager[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@go.dynamic-tracking[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@ad.adc-serv[2].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@euros4click[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@adtech[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@www.etracker[1].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@content.yieldmanager[5].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@ad.zanox[3].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@apmebf[2].txt
	C:\Dokumente und Einstellungen\Hans Mustermann\Cookies\hans_mustermann@rotator.adjuggler[1].txt
         

Ja, das sind nur Cookies. Wenn keine Probleme mehr sind bitte Updates prüfen:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

OK, die paar ausstehenden Windows-Updates sind nachgeholt, ebenso poppte das Java-Symbol in der Taskleiste auf - es wären neue Updates verfügbar. Hab das dann auf diesem Weg upgedatet.

Acrobat: Hmmm, ist nicht ganz so einfach - denn ich benutze nicht nur den Reader. Ich hab die Acrobat 6.0 Professional installiert. Dazu gab's aber jetzt auch nen Patch, den ich mir gleich noch installiert hab.

In der Quarantäne von Avira befinden sich nun dieser Eintrag mit Bezug auf das Java-Cache-Verzeichnis, der mit Bezug auf die userinit.exe und mittlerweile noch 5 weitere Meldungen über Trojaner-/Backdoorprogramme, die auf Dateien im C.\System Volume Information\_restore[...] verweisen. Wie soll ich nun weitermachen?

Zitat:

Ich hab die Acrobat 6.0 Professional installiert.

Privat oder gewerblich? Ist eher unüblich auf privaten Rechnern, es sei denn Du hast es verbotenerweise gecrackt
Nur zum Erstellen von PDF-Dateien kann man auch auf Freeware wie FreePDF oder PDF-Creator zurückgreifen. Und zum Betrachten der PDFs würde ich ja schon wie erwähnt Foxit oder SumatraPDF nehmen.

Zitat:

die auf Dateien im C.\System Volume Information\_restore[...] verweisen. Wie soll ich nun weitermachen?

SWH deaktivieren!!

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Zitat:

Zitat von cosinus

Privat oder gewerblich? Ist eher unüblich auf privaten Rechnern, es sei denn Du hast es verbotenerweise gecrackt

Gewerblich und nix gecrackt. Verwende ne ehrlich gekaufte Version

SWH hab ich deaktiviert. Die Einträge in der Quarantäne bleiben aber nach nochmaliger Überprüfung drin. Kann ich die dann einfach rauslöschen, wenn - wie ich das verstanden habe - die entsprechenden Dateien (bzw. zumindest die anderen, die die SWH betrafen) eigentlich gelöscht sein müssten!?

Und was mache ich mit den anderen Einträgen?