| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: W32/sality.yWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
10.12.2008, 18:09
| #1 |
| |  W32/sality.y Hallo mein System war mit dem W32/Sality.Y und anderen Schädlingen befallen, sodass ich eine Neuinstallation durchgeführt habe. Nun hab ich meine Daten schon vorher von der internen auch auf die externen Festplatte hin und hergeschoben, sodass die auch befallen ist. Ich hab mit Antivir heute die externe mal durchlaufen lassen und es wurde folgendes gefunden: E:\System Volume Information\_restore{722F3CD9-9BA3-4DDA-B23E-8B71A54EE475}\RP573\A0336320.exe [FUND] Enthält Erkennungsmuster des Windows-Virus W32/Sality.Y [WARNUNG] Die Datei wurde ignoriert. E:\System Volume Information\_restore{722F3CD9-9BA3-4DDA-B23E-8B71A54EE475}\RP574\A0336418.exe [FUND] Enthält Erkennungsmuster des Windows-Virus W32/Sality.Y [WARNUNG] Die Datei wurde ignoriert. E:\Games\spider.exe [FUND] Enthält Erkennungsmuster des Windows-Virus W32/Sality.Y [WARNUNG] Die Datei wurde ignoriert. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:51:24, on 10.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\ehome\ehtray.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wpabaln.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- End of file - 2902 bytes Die befallenen Daten befinden sich in der Quarantäne bei Antivir. Kann ich die einfach löschen oder müssen sie anders entsorgt werden? Es geht um die externe mit den ganzen persönlichen Daten, die ich gerne retten würde, falls es möglich ist. AMD Athlon 64, 2200 MHz 3400+ ASUS EAH3650 Series (1024 MB) Arbeitsspeicher 2048 MB |
|
10.12.2008, 18:41
| #2 |
  | W32/sality.y Es reicht, wenn du die mit Sality infizierten Dateien loescht.
__________________
__________________ |
|
10.12.2008, 19:08
| #3 |
| | W32/sality.y thx
__________________Gibts es noch Antivirprogramme, die ich rüber laufen lassen kann, ohne Antivir zu löschen, da mein damaliges System sehr versucht wahr, will ich lieber auf ne Nummer sicher gehen. Bis jetzt hab ich noch Ad-Aware und Malwarebytes benutz ohne Ergebnisse. |
|
10.12.2008, 19:11
| #4 |
| | W32/sality.y JA, freedrweb.com oder den Onlinescan von F-Secure: http://support.f-secure.de/ger/home/ols.shtml Oh ja, du musst noch SP3 sowie die folgenden wichtigen Windowsupdates installieren...
__________________ MfG Ralf |
|
10.12.2008, 20:03
| #5 |
| | W32/sality.y thx für die Unterstüzung!!! |
|
11.12.2008, 14:50
| #6 |
| | W32/sality.y Ich hab jetzt noch drweb rüber laufen lassen und er hat n paar sachen noch entdeckt, ist aber dann irgendwann hängengeblieben und die Daten waren dann in der Quarantäne. Nach dem ich ihn neugestartet hab, hat er sie nicht mehr gefunden und in der Quarantäne war auch nix. Hab dann nioch ma Antivir rüberlaufen lassen, nix gefunden. Nun bin ich etwas ratlos, sind die jetzt weg oder noch da oder hat drweb sie irgendwohin verschoben, sodass die anderen Programme sie nicht mehr finden? |
|
11.12.2008, 15:50
| #7 |
| | W32/sality.y Wenn weg, dann weg!  Also kein Grund zur Beunruhigung. Interessant waere zu erfahren, was Drweb gefunden hat. Was steht im Bericht?
__________________ MfG Ralf |
|
11.12.2008, 16:00
| #8 |
| | W32/sality.y Wie gesagt, es ist einfach abgesoffen, sodass ich kein Bericht speichern konnte  . Mal ne andere Frage, welche Passwörter sollte man ändern nur die wichtigsten, so wie emails, onlinebanking oder auch die von den foren u.ä.? |
|
11.12.2008, 16:25
| #9 |
| | W32/sality.y Gib untrer start/Ausfuehren folgendes ein und druecke enter: %userprofile%\doctorweb\cureit.log Dann sieht man was Drweb bis zum crash abgespeichert hat... BTW: F-secure scan gemacht?
__________________ MfG Ralf |
|
11.12.2008, 18:04
| #10 |
| | W32/sality.y Also F-secure hat noch folgendes gefunden und beseitigt: TrackingCookie.2o7 (spyware) * System TrackingCookie.Atdmt (spyware) * System TrackingCookie.Doubleclick (spyware) * System und folgende Datei konnten nicht geöffnet werden: Files not scanned: * C:\PAGEFILE.SYS * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT * C:\WINDOWS\SYSTEM32\CONFIG\SAM * C:\WINDOWS\SYSTEM32\CONFIG\SECURITY * C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE * C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM * C:\DOKUMENTE UND EINSTELLUNGEN\-\LOKALE EINSTELLUNGEN\TEMP\ETILQS_ITS0LM4RFERIY50RORC7 Und zu drweb. Ich hab das mit ausführen ausprobiert, aber da wird der letzte scan angegeben, denn ich danach durchgeführt hab, wo keine Schädlinge gefunden wurden. Geändert von makimu (11.12.2008 um 18:31 Uhr) |
|
11.12.2008, 18:52
| #11 |
| | W32/sality.y Das sieht gut aus, ich wuerde mir da keine weitere Gedanken machen...
__________________ MfG Ralf |
|
11.12.2008, 19:13
| #12 |
| | W32/sality.y k vielen Dank! |
|
| Themen zu W32/sality.y |
| antivir, antivirus, asus, avg, avira, dateien, explorer, festplatte, firefox, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, logfile, löschen, messenger, micro, mozilla, programme, schädlinge, system, system volume information, w32/sality.y, warnung, windows xp |
Linear-Darstellung
