NOTFALL! W32/Sality.M

Punk · 05.02.2010, 20:46

Leute leute gottseidank,
bin ich auf so ein board hier gestoßen.
ich brauche ganz schnell eure hilfe ich bin von dem virus
w32/sality.m befallen der infiziert alle meine *.exe dateien
und dan kommen tausend meldungenn von avira ich mach immer löschen
aber die gleichen kommen immer wieder und ich kann schon mittlerweile
fast alle meine programme nicht mehr ausführen weil die exe dateien alle befallen und gelöscht wurden sogar im windows ordner

hier is HijackThis logfile;

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:37:35, on 05.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
C:\QSTART.SYS\config\DVMExportService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\System32\snmp.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Verbindungsassistent\wtgservice.exe
C:\Programme\Lenovo\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Lenovo\Energy Management\utility.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiFreeze\AntiFreeze.exe
C:\Programme\Lenovo\Bluetooth Software\BTTray.exe
C:\PROGRA~1\Lenovo\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Verbindungsassistent\Verbindungsassistent.exe
C:\DOKUME~1\BUGGIM~1\LOKALE~1\Temp\winpapv.exe
C:\DOKUME~1\BUGGIM~1\LOKALE~1\Temp\winjaseh.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Dokumente und Einstellungen\xXPlayer-StylerXx\Desktop\VLC\vlc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lenovo.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lenovo.live.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Cursors\lsass.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: MAX DE Atube Toolbar - {667f86f1-c684-4aba-97a5-be7d02ea5156} - C:\Programme\P2P_MAX_DE_Atube\tbP2P1.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSof1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSof1.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: MAX DE Atube Toolbar - {667f86f1-c684-4aba-97a5-be7d02ea5156} - C:\Programme\P2P_MAX_DE_Atube\tbP2P1.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [EnergyUtility] C:\Program Files\Lenovo\Energy Management\utility.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [framework] framework.exe
O4 - HKLM\..\Run: [iCall Internet Phone] "C:\Programme\iCall\iCall.exe" /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [DLD.EXE] C:\Programme\Download Direct\DLD.exe
O4 - HKCU\..\Run: [AntiFreeze] C:\Programme\AntiFreeze\AntiFreeze.exe /splash
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Programme/Zuma/Images/stg_drm.ocx
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {9FAFB576-6933-4CCC-AB3D-B988EC43D04E} (Rising Online Antivirus scanner control) - http://download.rising.com.cn/rs2009/online/ravolctl.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Programme/Zuma/Images/armhelper.ocx
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CE246AD-07BC-438E-BB55-F9B3DEC4E2BA}: NameServer = 212.23.97.2 212.23.97.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: PicNotify - C:\WINDOWS\SYSTEM32\PicNotify.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Lenovo\Bluetooth Software\bin\btwdins.exe
O23 - Service: DeviceVM Meta Data Export Service (DvmMDES) - DeviceVM - C:\QSTART.SYS\config\DVMExportService.exe
O23 - Service: Google Update Service (gupdate1ca078eb6acaa40) (gupdate1ca078eb6acaa40) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: System Update (SUService) - Unknown owner - c:\programme\lenovo\system update\suservice.exe (file missing)
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - c:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
O23 - Service: WTGService - Unknown owner - C:\Programme\Verbindungsassistent\wtgservice.exe

--
End of file - 10663 bytes

bitte ich brauch euer hilfe hab auch schon mal SUPERAntiSpyware und en paar mal avira drüberlaufen lassen bring alles nix bitte helft mir

thx schon mal im voraus hoffe bekomme das problem geregelt mit eurer hilfe!!

MfG Punk
PS:. ihr seid meine letzte rettung

_____ · 06.02.2010, 18:05

Tach Punk!

Soll ich Dir was sagen? Sicher die wichtigsten Dinge von Deiner Kiste (Musik, Texte, Privatkram eben und dann machste den Rechner komplett platt. Du wirst den nie wieder sauber bekommen, denn Du weißt nie, wo Dein System überall kompromittiert wurde. Sicher die wichtigsten Dinge (stelle aber sicher, dass die nicht befallen sind und brenne diese auf DVD's. Danach machste Windows neu drauf und formatierst bei der Gelegenheit gleich alle Festplatten.

Wenn Du Deine Bookmarks vorher sichern willst (vorausgesetzt Du surfst mit Firefox, was ich Dir nur raten kann), dann kann ich Dir XMarks empfehlen (für Passwörter nicht zu empfehlen, da man grundsätzlich keine Passwörter extern speichert).

Bevor Du Deinen Rechner platt machst, solltest Du Dir noch GData Total Care oder Internet Security saugen und dies auf CD oder so speichern. Wenn Du dann Windows neu drauf hast (WICHTIG: Rechner vor Neuinstallation von Windows 100%ig vom Internet trennen (Kabel ziehen!)), dann installierst Du als erstes GDATA als Testversion und dann kannst Du das erst einmal 30 Tage testen. Andere hier halten sicher nicht viel von Desktop-Antiviren-/Firewall-Software, aber für Dich ist sowas sinnvoll. Von AntiVir kannst Du getrost die Finger lassen. Jedes Scriptkiddy macht seine RAT's als erstes gegen AntiVir UD (undetectable / unauffindbar). Von Freeware-Desktop-Firewall-Software wie ZoneAlarm kann auch nur abraten. GData hat eh schon eine Firewall drin und die macht Ihren Job gut (Profis werden hier wieder Schmunzeln, denn die haben das lieber alles selber im Auge).

WICHTIG: NIEMALS MIT DEM INTERNET EXPLORER SURFEN! Wer das macht, hat schon verloren! Alternative Firefox oder Opera.

Das soll es erst einmal gewesen sein von mir.

Wichtig ist noch, dass wenn Du GDATA installierst, dass Du die Windows Firewall deaktivierst.

Lese meinen Text aufmerksam und wenn Du was nicht verstehst, frag' nach.

Solidarische Grüße!

LINKS:
- G DATA Testversionen
- XMarks zum sichern von Firefox-Bookmarks
- Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Chris4You · 06.02.2010, 21:06

Hi,

folge den Anweisungen von "_____"...
Sality ist ein Fileinfector (mit einigen Programmierfehlern ;o), auf kurz oder lang läuft Dein Windows sowieso nicht mehr..

Damit die Sicherung etwa einfacher wird, Dr. Web-Cureit (verschafft etwas mehr "Luft")..
http://www.trojaner-board.de/59299-a...eb-cureit.html

Danach muss allerdings Neuaufgesetzt werden, auch CureIT erwischt niemals alles...

chris & Out

cosinus · 06.02.2010, 23:18

Schneller und sicherer wäre die Sicherung der Daten über ein Live-System wie PartedMagic oder Knoppix...

06.02.2010, 23:18	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	NOTFALL! W32/Sality.M Schneller und sicherer wäre die Sicherung der Daten über ein Live-System wie PartedMagic oder Knoppix... __________________ Logfiles bitte immer in CODE-Tags posten

NOTFALL! W32/Sality.M

Antiviren-, Firewall- und andere Schutzprogramme: NOTFALL! W32/Sality.M