Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: c:\windows\system32\userinit.exe mit Trojaner (Generic 18.BESH) infiziert, Bereinigung ohne Erfolg

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Alt 08.08.2010, 12:14   #1
nothingEvil
 
c:\windows\system32\userinit.exe mit Trojaner (Generic 18.BESH) infiziert, Bereinigung ohne Erfolg - Standard

c:\windows\system32\userinit.exe mit Trojaner (Generic 18.BESH) infiziert, Bereinigung ohne Erfolg



Hallo Trojaner-Board!

Um mein Problem zu beschreiben muss ich etwas weiter ausholen.
Angefangen hat es damit, dass ich mich um eine Online Überweisung zu tätigen in mein Bank-Konto einloggen wollte doch mir der Zugriff verweigert wurde. Ich bekam draufhin einen Anruf meiner Bank dass der PC von dem aus ich mich einloggen wollte mit einem Trojaner infiziert sei und deswegen mein Online Konto erst mal gesperrt wurde und ich nun komplett neue Zugangsdaten und TANs etc bekommen würde. So weit so gut, immerhin hat die Bank damit wohl schlimmeres verhindert.
Natürlich war ich daraufhin alarmiert und zugegebenermaßen auch etwas schockiert.. schließlich hatte ich schon immer Avira Antivir installiert, stets aktuell gehalten, regelmäßig gescannt und es wurde nie etwas gefunden. Es war mir auch sonst eigentlich nie ein seltsames Verhalten meines Systems aufgefallen.
Ich habe dann also Antivir deinstalliert und stattdessen erst einmal AVG free und die freie Version der ZoneAlarm Firewall installiert. Nach der Aktualisierung von AVG brachte der erste Scan gleich eine ganze Reihe an Ergebnissen die ich alle bereinigen ließ.
Jetzt muss man dazu sagen, dass ich mich mit dem Thema eigentlich überhaupt nicht richtig auskenne und mich deswegen erstmal darauf verlassen habe dass mein Programm das schon alles richtig erkennt und macht. Mir ist dann jetzt allerdings bei den letzten beiden Scans aufgefallen dass es immer noch eine Infektion gibt, die aber offensichtlich nicht bereinigt werden kann. AVG macht diese Infektion in der Datei c:\windows\system32\userinit.exe aus und nennt sie "Trojaner: Generic 18.BESH". Ich habe dann nochmal die Logdateien durchgesehen und da ist mir erst aufgefallen dass schon beim ersten Scan diese Datei als infiziert erkannt wurde, da allerdings noch mit "Trojaner: Crypt.XRH" benannt wurde. In dem Log steht jetzt auch drin, dass es eine Datei auf der Whitelist ist, die nicht gelöscht werden kann, weil wichtige Systemdatei. Fragt mich jetzt bitte nicht, warum ich das nicht direkt bemerkt habe und versucht hab was dagegen zu unternehmen. Nennt mich von mir aus Idioten, aber es ist mir tatsächlich erst jetzt nach ein paar Wochen aufgefallen. Allerdings habe ich beim durchschauen der Logs auch festgestellt, dass genannte Datei beim ersten Scan (das war am 15.07.) gefunden und als infiziert gemeldet wurde, aber nicht bereinigt werden konnte, jedoch dann im gesamten Zeitraum vom 17.07. bis 30.07. nicht mehr in den Logs auftaucht (wohl aber andere Infektionen die aber immer bereinigt wurden) und dann ab dem 31.07 wieder jedes mal erkannt und als nicht bereinigbar angezeigt wird. Es war ab da an aber auch immer der einzige Fund.

So viel zur "Vorgeschichte". Gestern habe ich dann im Internet gesucht ob es den gleichen Fall wie meinen schon bei anderen gibt und was man dagegen machen kann (so eine wichtige Systemdatei einfach so mit einem externen Program ganz löschen erscheint mir dann doch sehr heikel )
Was genaues zu meinem Problem habe ich aber nicht gefunden.
Aber ich bin auf dieses Forum hier gestossen und habe die Anleitungen gelesen was man machen soll wenn man ein Problem hat. Also CrapCleaner drauf, alles beseitigt usw. Dann Malwarebytes geladen, aktualisiert und Scan ausgeführt. Das Ergebnis sah wie folgt aus:

Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4404

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.08.2010 01:03:46
mbam-log-2010-08-08 (01-03-46).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 140061
Laufzeit: 12 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Cerberus (Backdoor.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysinfo (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Downloader) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Downloader) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\iebho0C.dll (Trojan.BHO.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ie1B.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ie3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\in1A.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\3282812517Wsy.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
Unabhängig davon dass dieses Programm offensichtlich wieder mehr gefunden hat als AVG (also malwarebytes > AVG > Antivir? ) stand da ja dass alles in Quarantäne und deleted sei. Auch die zwei Meldungen aus userinit.exe. Da ich aber mittlerweile dann doch tatsächlich etwas misstrauisch geworden bin hab ich nach dem Reboot noch einen Scan ausgeführt (und aufgrund des Ergebnisses dann noch einen und noch einen usw..) Das Ergebnis:

Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4404

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.08.2010 01:28:23
mbam-log-2010-08-08 (01-28-23).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 139871
Laufzeit: 14 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Downloader) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Downloader) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Und genau so sehen auch die beiden weiteren Logs aus die ich noch habe. Die Infizierung wird also auch hier offensichtlich nur erkannt aber obwohl es da steht nicht entfernt.. Wie gesagt auch AVG spuckt jedes mal nur dieses Ergebnis mit der einen infizierten Datei aus. Hier das letzte Ergebnis:

Zitat:
"Scan ""Geplanter Scan"" wurde beendet."
"Infektionen";"1";"0";"1"
"Für den Scanvorgang ausgewählte Ordner:";"Gesamten Computer scannen"
"Start des Scans:";"Samstag, 7. August 2010, 14:37:57"
"Scan beendet:";"Samstag, 7. August 2010, 16:15:16 (1 Stunde(n) 37 Minute(n) 18 Sekunde(n))"
"Gesamtanzahl gescannter Objekte:";"366328"
"Benutzer, der den Scan gestartet hat:";"SYSTEM"

"Infektionen"
"Datei";"Infektion";"Ergebnis"
"C:\WINDOWS\system32\userinit.exe";"Trojaner: Generic18.BESH";"Objekt befindet sich auf der Whitelist (wichtige Systemdatei, die nicht entfernt werden darf)"
Achja.. ich hab mal überlegt welche Anzeichen es geben könnte die auf eine Trojaner-Aktivität hindeuten und mir ist so erstmal nichts eingefallen bis heute morgen beim öffnen von Mozilla Firefox die Tabs alle nicht geladen werden konnten. Das selbe hatte ich vor ein paar Tagen wie mir dann wieder einfiel schon einmal. Es lag daran dass in den Verbindungseinstellungen "manuelle Proxy-Konfiguration" ausgewählt war, obwohl ich keinen Proxy nutze und auch immer dort den Haken bei "kein Proxy" gesetzt habe. Ich selbst habe den Haken nie umgesetzt und sonst hat auch keiner Zugang zu dem PC. Es erscheint mir also sehr merkwürdig dass sich die Verbindungeinstellungen ohne mein zutun, quasi "wie von selbst" auf einen anderen Wert umstellen.


So.. meine Fragen sind also nach all dem hoffentlich noch verständlichen Geschreibse: Kann ich überhaupt was machen um diese Infektion loszuwerden? Und wenn, was kann ich dann dagegen machen? Oder könnte es einfach ein Fehlalarm sein? Wenn nicht was könnte es bis jetzt schon angerichtet haben? Was müsste ich selbst wenn ich es entfernt kriege danach beachten? Wo kann ich mir sowas eigentlich eingefangen haben?
Und was mir eigentlich am wichtigsten ist: Habt ihr Tipps die auch ein fachferner Depp wie ich umsetzen kann die mein System gegen sowas in Zukunft schützen? So dass ich nicht mehr unbedingt darauf angewiesen bin dass ein Program erst im Nachhinein erkennt dass ich ne Infektion hab, wenn es eventuell schon zu spät ist.

Danke schon mal für die Hilfe! Die Ergebnisse von RSIT kann ich gerne auch noch posten, wenn Bedarf.

Geändert von nothingEvil (08.08.2010 um 12:24 Uhr)

 

Themen zu c:\windows\system32\userinit.exe mit Trojaner (Generic 18.BESH) infiziert, Bereinigung ohne Erfolg
antivir, avg, avg free, avira, backdoor.trace, browser, computer, einstellungen, explorer, fehlalarm, firefox, firewall, frage, generic, gesperrt, helper, internet, mozilla, problem, programm, seltsames verhalten, software, system, temp, trojaner, trojaner-board, von selbst, warum, windows, zugriff verweigert




Ähnliche Themen: c:\windows\system32\userinit.exe mit Trojaner (Generic 18.BESH) infiziert, Bereinigung ohne Erfolg


  1. Positive Finds - MP3-Converter - Windows 7 - Ergriffene Maßnahmen ohne Erfolg
    Plagegeister aller Art und deren Bekämpfung - 06.02.2015 (11)
  2. GVU Trojaner Windows XP - abgesicherter Modus nicht möglich - windowsunlocker ohne Erfolg
    Log-Analyse und Auswertung - 01.11.2013 (26)
  3. GVU Trojaner Windows XP - abgesicherter Modus nicht moeglich - windowsunlocker ohne Erfolg
    Log-Analyse und Auswertung - 14.10.2013 (5)
  4. GVU Trojaner mit Einschalten der Webcam; Kaspersky WindowsUnlocker ohne Erfolg
    Plagegeister aller Art und deren Bekämpfung - 19.01.2013 (14)
  5. GVU Trojaner 2.07 eingefangen - Bitte um Hilfe Kaspersky Rescue ohne Erfolg
    Log-Analyse und Auswertung - 06.08.2012 (12)
  6. GVU-Trojaner, Anleitung zur Entfernung ohne Erfolg, OTL?
    Plagegeister aller Art und deren Bekämpfung - 15.07.2012 (7)
  7. Trojaner: PSW.Generic.RDX in c:\windows\system32\services.exe
    Log-Analyse und Auswertung - 09.01.2012 (29)
  8. BKA-Trojaner und Rescue-CD ohne Erfolg
    Plagegeister aller Art und deren Bekämpfung - 10.08.2011 (1)
  9. Nach Bereinigung von HEUR:Trojan.Win32.Generic Probleme in Windows Ausführung
    Log-Analyse und Auswertung - 02.05.2011 (6)
  10. F2 - REG:system.ini: UserInit=C:\Windows\system32\ezShellStart.exe gefährlich oder nicht?
    Log-Analyse und Auswertung - 09.04.2011 (3)
  11. AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe
    Plagegeister aller Art und deren Bekämpfung - 23.09.2010 (17)
  12. AV findet mehrere Viren/Trojaner, entfernung ohne Erfolg
    Plagegeister aller Art und deren Bekämpfung - 20.07.2010 (16)
  13. C:/WINDOWS/system32/userinit.exe von Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 11.04.2010 (2)
  14. REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe
    Log-Analyse und Auswertung - 15.08.2009 (19)
  15. Trojaner Bekämpfung ohne Erfolg
    Log-Analyse und Auswertung - 06.09.2008 (13)
  16. C:/Windows/System32/winsvr.exe in Autostart-Gruppe mit Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 09.12.2007 (2)
  17. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\n
    Log-Analyse und Auswertung - 05.10.2007 (10)

Zum Thema c:\windows\system32\userinit.exe mit Trojaner (Generic 18.BESH) infiziert, Bereinigung ohne Erfolg - Hallo Trojaner-Board! Um mein Problem zu beschreiben muss ich etwas weiter ausholen. Angefangen hat es damit, dass ich mich um eine Online Überweisung zu tätigen in mein Bank-Konto einloggen wollte - c:\windows\system32\userinit.exe mit Trojaner (Generic 18.BESH) infiziert, Bereinigung ohne Erfolg...
Archiv
Du betrachtest: c:\windows\system32\userinit.exe mit Trojaner (Generic 18.BESH) infiziert, Bereinigung ohne Erfolg auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.