| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Windows-Virus W32/Sality.YWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
10.09.2009, 12:55
| #1 |
 |  Windows-Virus W32/Sality.Y Hallo, Also ich habe irgendwie 'nen Windows-Virus W32/Sality.Y und Avira AntiVir piepst beim SystemCheck ganz eklig und findet den Virus. Die Log-Datei vom Hijack hänge ich hinten dran... Die von AntiVir als infiziert erkannten Dateien sind jetzt alle in Quarantäne verschoben worden... Kann mir jetzt irgendwas passieren, wenn ich meine Daten versuche zu sichern? Also, wenn ich die auf 'ne Festplatte ziehe? Kann die Festplatte dann auch noch befallen werden? Und noch was: Wenn ich Daten über 'nen Stick oder 'ne externe Festplatte auf 'nen Mac ziehe, kann dann was passieren? LG und schon mal danke für eure Hilfe! ******************************************************** ***************************************************** Hijack sagt: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:33:32, on 10.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\LogMeIn\x86\RaMaint.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\LogMeIn\x86\LogMeIn.exe C:\Programme\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe C:\Programme\Arima\LED Display Utility\w810MmHk.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe C:\Programme\LogMeIn\x86\LogMeInSystray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Lexmark\ErrorApp\LMab1err.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\LogMeIn\x86\LMIGuardian.exe C:\Programme\LogMeIn\x86\LMIGuardian.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\NVIDIA Corporation\ForceWare\nStant Media\NvPvrMon.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\LMabcoms.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe c:\programme\avira\antivir desktop\avcenter.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\Skype\Toolbars\Shared\SkypeNames.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NvRemoteManager] C:\Programme\NVIDIA Corporation\ForceWare\NVRemote\NvRemote.exe O4 - HKLM\..\Run: [w810MmHk] "C:\Programme\Arima\LED Display Utility\w810MmHk.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [InstantOn] C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programme\LogMeIn\x86\LogMeInSystray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LMab1err] C:\Programme\Lexmark\ErrorApp\LMab1err.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: lmab_device - - C:\WINDOWS\system32\LMabcoms.exe O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Programme\LogMeIn\x86\RaMaint.exe O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Programme\LogMeIn\x86\LogMeIn.exe O23 - Service: NVIDIA PVR Schedule Monitor (nvpvrmon) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\ForceWare\nStant Media\NvPvrMon.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 8562 bytes |
|
10.09.2009, 16:18
| #2 |
  | Windows-Virus W32/Sality.Y Hallo und
__________________ Wenn ich deine Fragen betrachte, dann möchtest du neuaufsetzen, vorher jedoch noch deine Daten sichern. Habe ich das richtig verstanden? Gefahrlos kannst du mit einer Linux-Live-CD arbeiten, da dort die Schädlinge unwirksam sind. Dennoch besteht die Gefahr, dass die kopierten Daten schon infiziert sind und gleich anschließend das neue System wieder verseuchen werden. Deshalb dürfen auf keinen Fall ausführbare Dateien gesichert werden, sondern nur Musik, Videos, Dokumente, usw. In jedem Fall würde ich dir vorher ein Scan mit http://www.trojaner-board.de/59299-a...eb-cureit.html empfehlen. Poste bitte das Log, dann lässt sich abschätzen, wie schwer die Infektion wirklich ist. ciao, andreas
__________________ |
|
10.09.2009, 16:30
| #3 |
| | Windows-Virus W32/Sality.Y Also danke schonmal für die Antwort, ich lade grade dieses DrWeb Programm runter... allerdings steht da, dass man dann im abgesicherten Modus starten soll und es laufen lassen soll, das mit dem abgesicherten Modus klappt aber nicht, das war huete morgen schon mein erster Versuch überhaupt... Also dann einfach normal starten und laufen lassen?
__________________Und das mit dem neu formatieren, ja das stimmt, ich hatte eh vor, den computer platt zu machen, allerdings erst in so 2 wochen, wenn ich nach und nach alle daten gesichert habe, jetzt ist mir dieser blöde virus irgendwie dazwischen gekommen... was ist denn mit evtl auf 'ner externen festplatte vorhandenen daten? also ich hab halt eine mit genügend speicherplatz, aber die ist eben nicht leer und da sind auch .exe dateien drauf... können die sich dann auch infizieren beim kopieren? wie gehe ich denn da am besten vor? ich will eh nur daten, fotos und musik retten, alles andere ist wiederbeschaffbar... kann ich das also mit lunux live gefahrlos rüberziehen? sobald ich das mit dem drweb gemacht habe, poste ich den kram... muss jetzt allerdings erstmal noch zu nem termin. LG |
|
10.09.2009, 16:35
| #4 | ||||
| | Windows-Virus W32/Sality.YZitat:
Zitat:
Zitat:
Zitat:
 ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer.  Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
10.09.2009, 23:40
| #5 |
| | Windows-Virus W32/Sality.Y sodele, ich habe dieses drweb dingens da mal runtergeladen und installiert und laufen gelassen, wo finde ich denn nun das log dazu? ich bin evtl einfach grade zu blind... alelrdings steht auch ganz unten in dem Fenster: Fertig - keine Viren gefunden! Was heißt das denn jetzt? also, wenn keine viren mehr zu finden sind, schön, aber da glaube ich noch nciht so ganz dran... und nochmal zu der festplattenfrage: ich fragte, ob das beim rüberziehen was infiziert werden kann, weil die festplatte bislang an 'nem ganz anderen computer gehangen hat, die ist mit diesem hier noch gar nciht in berührung gekommen, also auch nciht mit dem virus infiziert, aber ich möchte eben auch, dass das so bleibt. also kopiere ich erstmal lieber nichts, bevor ich weiß, dass da nichts passieren kann, aber das kannich eben nicht beurteilen, darum hab ich ja die frage gestellt... |
|
11.09.2009, 15:47
| #6 | |
| | Windows-Virus W32/Sality.YZitat:
Hole die Datei aus der Quarantäne von Avira und lade sie bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html Poste das/die Logs von Avira mit den Funden! ciao, andreas
__________________ --> Windows-Virus W32/Sality.Y |
|
| Themen zu Windows-Virus W32/Sality.Y |
| adobe, antivir, antivir guard, avira, bho, desktop, excel, explorer, externe festplatte, festplatte, firefox, google, hijack, hijackthis, hkus\s-1-5-18, home, install.exe, internet, internet explorer, log-datei, monitor, mozilla, pieps, plug-in, rundll, senden, shortcut, software, stick, systemcheck, toolbars, w32/sality.y, windows xp |
Hybrid-Darstellung
