Hallo,
ich habe zufällig herausgefunden (nach kopieren einer Datei auf USB Stick der auf einem geschützten PC geprüft wurde), dass sich auf unserem Diagnose-PC (mit win xp sp3- keine aktuellen Updates, da nicht im Internet unterwegs - wird nur per Kabel an Landmaschinen betrieben) ein Virus befindet.


Norton Internet Security hat beim Scannen
W32.Sality!dr
W32.Sality.AE
auf dem Stick gefunden.

Ich habe per USB-Stick Malwarebytes auf dem infizierten PC installiert u. gestartet:

Beim Quickscan werden 6 Elemente gefunden.

Wenn man das Häkchen beim Entfernen setzt .. steht zwar in der Statuszeile wird gelöscht - es öffnet sich aber keine log datei sondern der PC will sofort einen Neustart - bricht man hier ab erhält man folgendes log:

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 224893
Laufzeit: 4 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Keine Aktion durchgeführt.
HKLM\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\umarl.exe (Malware.Packer.Gen) -> Keine Aktion durchgeführt

Lässt man den Neustart zu, und sieht sich dann die Log Datei an, steht als Aktion erfolgreich gelöscht (die Datei ist im Explorer aber immer noch da?)


Soll ich die ganzen Programme (defogger, otl) per USB Stick auf den anderen PC kopieren oder kann mir mit diesen Angaben schon jemand helfen?


Vielen Dank erstmal
Petra

Hi, es handelt sich hierbei um sogenannte File infectors.
diese Hängen sich an alle ausführbaren Dateien.
Diese kann man nicht 100 %ig sicher bereinigen, entweder man erwischt nicht alle, oder, selbst wenn das klappt, kann es passieren, das Programme nicht mehr lauffähig sind.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Hallo,

danke erstmal für die Rückmeldung.

Auf dem PC befindet sich nur das Diagnosetool für Landmaschinen welches wir mitsamt des PCs erworben haben - dh Datensicherung hilft in diesem Fall auch nichts, da das Programm zum Abfragen von Fehlercodes (um korrekte Reparaturen durchführen zu können) verwendet wird - es ist also eigentlich "nur" ein Anwendungsprogramm. Eine spezielle Datensicherung ist daher für mich eher schwierig..

Bleibt nur die Besorgung eines neuen Geräts (die Software wird wegen diverser Spezialkabel nur mit Hardware verkauft) .

Wenn man die Schädlinge nicht entfernt - hängt sich das System in Zukunft selber auf oder ist eine Nutzung weiterhin möglich?

lg Petra

hi
du kopierst mit dem gerät per usb stick auf andere, laut eigener Aussage, willst du, dass sich die Plage dann im Firmennetz ausbreitet.

verstehe nicht, warum du ein neues Gerät brauchen solltest, das alte einfach formatieren und die Software wieder drauf.

Hallo,
das war seit 14 Monaten eine einmalige Aktion (eine Beispieldatei wurde per Mail an uns gesendet) und deshalb hab ich es ja gemerkt.

Der PC wird im Normalfall höchstens 1x monatlich genutzt und hat keine Internetverbindung u. auch keine AV Software.

Da ich die Originalsoftware nicht habe, kann ich den PC nicht neu aufsetzen.

Aber danke für deine Ratschläge.

Hi
wenn du die Lizenz noch hast, oder einen sonstigen Beleg, kann man sich an die Firma wenden die das verkauft hatt.

Die Lizenz / Rechnung haben wir schon, aber ob das was hilft? Werd ich mal probieren.

Was hältst davon? Soll man solche Tools probieren?
Irgendwelche anderen Vorschläge um das System eventuell doch zu reinigen?

Download Win32/Sality Remover 1.2.0.616 Free - A useful tool for deleting the Win32/Sality virus from your computer - Softpedia

Hi
nein, denn wie gesagt, selbst wenn sie Code von Dateien entfernen weist du nicht, ob die Programme dann noch alle vernünftig lauffähig sind, bzw ob alle files erwischt wurden.
anfragen bei der Firma kostet ja zumindest nichts.