W32/Sality.L

Hallo anja,
überprüfe deinen PC erst mal mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

Beachte bitte dabei die folgende Anleitung genau und arbeite sie unbedingt in der Reihenfolge und vollständig ab!

Deaktiviere zuerst die Systemwiederherstellung von Windows, nur bei XP und ME.
Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“

Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner Panda ActiveScan  vorgenommen werden.
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)

Poste bitte auf jeden Fall die ausführlichen Berichte der Scanner hier !
Boote jetzt den PC neu und aktiviere die Systemwiederherstellung wieder.

Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493

 

...lies mal hier bitte:
http://forum.avira.de/thread.php?postid=121968

Tachauch
Auch ich hatte das zweifelhafte Vergnügen mit diesem Virus. Hier mal mein Bericht.
-------------------------------------
Scanning Report
Thursday, May 03, 2007 19:05:20 - 20:28:59
Computer name: WINDOWSPC
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\


--------------------------------------------------------------------------------

Result: 64 malware found
Virus.Win32.Sality.k (virus)
C:\WINDOWS\SYSTEM32\WMIMGR32.DLL (Submitted)
Virus.Win32.Sality.l (virus)
C:\DRIVERS\G\NIVIDA_DETONATOR\NVUDISP.EXE (Disinfected & Submitted)
C:\DRIVERS\G\NIVIDA_DETONATOR\SETUP.EXE (Disinfected & Submitted)
C:\DRIVERS\G\MATROX\2\SETUP.EXE (Disinfected & Submitted)
C:\DRIVERS\G\MATROX\1\SETUP.EXE (Disinfected & Submitted)
C:\DRIVERS\G\ATI_CATALYST\ATICIMUN.EXE (Disinfected & Submitted)
C:\DRIVERS\G\ATI_CATALYST\CHECKVER.EXE (Disinfected & Submitted)
C:\DRIVERS\G\ATI_CATALYST\ISSETUP.EXE (Disinfected & Submitted)
C:\DRIVERS\G\ATI_CATALYST\SETUP.EXE (Disinfected & Submitted)
C:\DRIVERS\G\ATI_CATALYST\WDM\SETUP.EXE (Disinfected & Submitted)
C:\DRIVERS\G\ATI_CATALYST\DRIVER\SETUP.EXE (Disinfected & Submitted)
C:\DRIVERS\G\ATI_CATALYST\CPANEL\SETUP.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000395.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000396.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000403.EXE (Disinfected)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000404.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000405.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000407.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000410.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000411.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000425.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000426.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000427.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000428.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000430.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000431.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000432.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000434.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000435.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000436.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000437.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000438.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000439.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000440.EXE (Disinfected)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000441.EXE (Disinfected)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000442.EXE (Disinfected & Submitted)
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A77F6C39-79E0-47CA-BA8E-8C682C0E49CD}\RP10\A0000443.EXE (Disinfected & Submitted)
D:\PROGRAMME\MICROSOFT GAMES\AGE OF EMPIRES II\CLOKSPL.EXE (Disinfected & Submitted)
D:\PROGRAMME\MICROSOFT GAMES\AGE OF EMPIRES II\DPLAY61A.EXE (Disinfected & Submitted)
D:\PROGRAMME\MICROSOFT GAMES\AGE OF EMPIRES II\EMPIRES2.EXE (Disinfected & Submitted)
D:\PROGRAMME\MICROSOFT GAMES\AGE OF EMPIRES II\UNINSTAL.EXE (Disinfected & Submitted)
D:\PROGRAMME\MICROSOFT GAMES\AGE OF EMPIRES II\UNINSTALX.EXE (Disinfected & Submitted)
D:\PROGRAMME\MICROSOFT GAMES\AGE OF EMPIRES II\DATA\CLOSEDPW.EXE (Disinfected & Submitted)
D:\PROGRAMME\MICROSOFT GAMES\AGE OF EMPIRES II\AGE2_X1\AGE2_X1.EXE (Disinfected & Submitted)
D:\PROGRAMME\MICROSOFT GAMES\AGE OF EMPIRES II\AGE2_X1\CLOKSPL.EXE (Disinfected & Submitted)
D:\PROGRAMME\KICKER MANAGER 2004\KM2004 EDITOR.EXE (Disinfected & Submitted)
D:\PROGRAMME\KICKER MANAGER 2004\KM2004.EXE (Disinfected & Submitted)
D:\PROGRAMME\DIABLO II\BNUPDATE.EXE (Disinfected & Submitted)
D:\PROGRAMME\DIABLO II\D2VIDTST.EXE (Disinfected & Submitted)
D:\PROGRAMME\DIABLO II\DIABLO II.EXE (Disinfected & Submitted)
D:\PROGRAMME\COOLEDIT\COOLPRO.EXE (Disinfected & Submitted)
D:\PROGRAMME\COOLEDIT\COOLTIPS.EXE (Disinfected & Submitted)
D:\PROGRAMME\COOLEDIT\AMOVIE\AMOVIE.EXE (Disinfected & Submitted)
D:\DOWNLOADS\TREIBER\USB STICK\V2.35R004 - RITEK\SETUP.EXE (Disinfected & Submitted)
D:\DOWNLOADS\ANTIVIRENPROGRAMME\HIJACKTHIS\HJT\HIJACKTHIS.EXE (Disinfected & Submitted)
D:\DOWNLOADS\ANTIVIRENPROGRAMME\HIJACKTHIS\HIJACKTHIS\HIJACKTHIS.EXE (Disinfected & Submitted)
D:\DOWNLOADS\ANTIVIRENPROGRAMME\DLL UNINSTALLER\REMOVE.EXE (Disinfected & Submitted)
D:\DOWNLOADS\ANTIVIRENPROGRAMME\ANTIVIR\AVWINSFX.EXE (Disinfected & Submitted)
D:\DOWNLOADS\ANTIVIRENPROGRAMME\ADAWARE\AAWSEPERSONAL.EXE (Disinfected & Submitted)
D:\DOWNLOADS\ANTIVIRENPROGRAMME\ADAWARE\PLUGINS\ARIESREMOVERINST.EXE (Disinfected & Submitted)
D:\DOWNLOADS\ANTIVIRENPROGRAMME\ADAWARE\PLUGINS\LOOK2ME_REMOVER.EXE (Disinfected & Submitted)
D:\DOWNLOADS\ANTIVIRENPROGRAMME\ADAWARE\PLUGINS\VIRTUMONDE_REMOVER.EXE (Disinfected & Submitted)
D:\DOWNLOADS\ANTIVIRENPROGRAMME\ADAWARE\PLUGINS\WIN32_PIPELINE_REMOVER.EXE (Disinfected & Submitted)
Win32.Mydoom.A (spyware)
System (Disinfected)

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 14494
System: 3036
Not scanned: 4
Actions:
Disinfected: 63
Renamed: 0
Deleted: 0
None: 1
Submitted: 60
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
D:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure AVP: 7.0.171, 2007-05-03
F-Secure Blacklight: 1.0.53, 0000-00-00
F-Secure Draco: 1.0.35, 0260-23-12
F-Secure Libra: 2.4.2, 2007-05-03
F-Secure Orion: 1.2.37, 2007-05-03
F-Secure Pegasus: 1.19.0, 2007-04-02
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
Use Advanced heuristics

--------------------------------------------------------------------------------

Copyright © 1998-2006 Product support |Send virus sample to F-Secure
 

@ die beiden mit dem Problem.

Postet mal bitte beide jeweils ein Hijackthis Log

@Haegar

Du hast nach F-Secure 64 Malware Inizierungen auf deinem PC.

 

hier, das könnte euch weiterhelfen.
http://www.sophos.de/security/analyses/w32salityi.html

schaut unter "Wiederherstellen"

@ Azures

Jau, 64 Infizierungen. Ich konnte es selbst noch nicht glauben.
Bis zum Hijack bin ich noch nciht gekommen. Arbeite grad die Liste ab. 

So, hier dann mal das Logfile von Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 21:31:02, on 03.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ArcorOnline\Arcor.exe
D:\Downloads\Antivirenprogramme\HijackThis\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D845C76-5405-4F7D-8976-82420F8C0E2C}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{7D845C76-5405-4F7D-8976-82420F8C0E2C}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

HaegarOS,
dein Log sieht gut aus.
Nur wo ist dein Virenscanner?
Bitte unbedingt installieren!

Danach scanne den PC mit dem Panda Online Scanner:
http://www.pandasoftware.com/activescan/de/activescan_principal.htm

und Bitdefender:
http://www.bitdefender.de/scan_de/scan8/ie.html

Auch diese laufen nur unter dem IE von MS.
Poste beide Scanreports hier!

jo, keine Spur von 64 Malware Infizierungen, keine Ahnung was F-Secure da gemacht hat .

Naja egal, mach mal das was HELP die geraten hat dann sehen wir weiter.

@anja
falls du noch da bist, poste auch ein Hijackthis Logfile. 

jo, keine Spur von 64 Malware Infizierungen, keine Ahnung was F-Secure da gemacht hat .

stimmt total übersehen thx.

bleibt aber trotzdem eine^^

Virus.Win32.Sality.k (virus)
C:\WINDOWS\SYSTEM32\WMIMGR32.DLL (Submitted)

Tachauch
War schwer beschäftigt nd kann deswegen jetzt erst antworten. Bin auhc grad eben erst vonne Arbeit gekommen.
Zuerst einmal vielen lieben Dank für die Hilfe.
Dank der Liste von Help die ich artig abgearbeitet habe bin ich diesen Quälgeist anscheinend gut los geworden.
Vieleicht gibbet noch das eine oder andere zu verbessern aber es ist kein Vergleich zu dem vorherigen Zustand.

Help, mein Virenscanner taucht da noch nicht auf weil der Virus gar nicht erst zugelassen hat das ich einen installiere ohne das mein System zusammenbricht. Das war ja auch eines meiner schlimmsten Probleme.
Habe inzwischen aber AntiVir, AdAware und eine Testversion von Spy Sweeper installiert.

Da ich jetzt gleich wohl erstmal in ein gepflegtes Koma fallen werde poste ich die Scanreports wenn ich dazu gekommen bin.

Ich kann mich wirklich nur bedanken für die Hilfe die ja eigentlich der Anja galt aber mir ebenso recht war.
Tagelang hatte ich vorher schon versucht das Ding los zu werden. Auch den freien Fall des Computers aus dem geöffneten Fenster hatte ich schon in Erwägung gezogen.
Wenn ich den erwische der diesen Virus erfunden hat dann schlag ich ihm die Eier ab. Mit einem rostigen Hammer auf dem Amboss.

Tachauch
So. ich habe dann mal den F-Secure Scan nochmal gemacht.
Hier das Ergebniss:
Scanning Report
Sunday, May 06, 2007 16:57:22 - 17:17:15
Computer name: WINDOWSPC
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\


--------------------------------------------------------------------------------

Result: 0 malware found

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 14862
System: 3182
Not scanned: 4
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 0
Submitted: 0
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
D:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure Libra: 2.4.2, 2007-05-04
F-Secure AVP: 7.0.171, 2007-05-05
F-Secure Orion: 1.2.37, 2007-05-04
F-Secure Blacklight: 1.0.53, 0000-00-00
F-Secure Draco: 1.0.35, 0260-23-12
F-Secure Pegasus: 1.19.0, 2007-04-02
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
Use Advanced heuristics

--------------------------------------------------------------------------------
 

Also der Pandascan hat nix gefunden.
Der Bitdefender war da schon anderer Ansicht.

BitDefender Online Scanner
 
 
 
Bericht erstellt am: Sun, May 06, 2007 - 18:05:40
 
 
 
 
 
Zu prüfender Pfad: A:\;C:\:\;E:\;F:\;G:\;H:\;I:\;
 
 
 
 
 
 
 
Statistik
 
Zeit
 00:19:09
 
Dateien
 153933
 
Ordner
 1368
 
Boot-Sektoren
 4
 
Archive
 1098
 
Komprimierte Dateien
 20347
 
 
 
 
Ergebnisse
 
Erkannte Viren
 1
 
Infizierte Dateien
 1
 
verdächtige Dateien
 0
 
Warnungen
 0
 
Desinfiziert
 0
 
Gelöscht
 1
 
 
 
 
Engine-Info
 
Virensignaturen
 504388
 
Engine info
 AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)
 
Prüf-Plugins
 14
 
Archiv-Plugins
 38
 
Extraktions-Plugins
 6
 
E-Mail-Plugins
 6
 
System-Plugins
 1
 
 
 
 
Prüfeinstellungen
 
Primäre Aktion
 Desinfizieren
 
Sekundäre Aktion
 Löschen
 
Heuristik
 Ja
 
Warnungen aktivieren
 Ja
 
Zu prüfende Erweiterungen
 *;
 
Auszuschließende Erweiterungen
 
 
E-Mails prüfen
 Ja
 
Archive prüfen
 Ja
 
Komprimierte Dateien prüfen
 Ja
 
Dateien prüfen
 Ja
 
Boot-Sektoren prüfen
 Ja
 
 
 
 
  Geprüfte Dateien
  Status
 
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46b0e687.qua
 Infiziert: Win32.Sality.E
 
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46b0e687.qua
 Desinfektion fehlgeschlagen
 
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46b0e687.qua
 Gelöscht
 
 
 

Und das ist dann der Hijack Report:
Logfile of HijackThis v1.99.1
Scan saved at 18:13:22, on 06.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ArcorOnline\Arcor.exe
D:\Downloads\Antivirenprogramme\HijackThis\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D845C76-5405-4F7D-8976-82420F8C0E2C}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{7D845C76-5405-4F7D-8976-82420F8C0E2C}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 

Der sieht sauber aus.

mfg Bernd

Also der Pandascan hat nix gefunden.
Der Bitdefender war da schon anderer Ansicht.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\46b0e687.qua
 Infiziert: Win32.Sality.E

Na wat ein Glück auch. Ich dachte schon ich würde das Ding nie wieder los werden.
Nur ist mir noch immer nicht so richtig klar wo ich den her bekommen hab.
Ich hab da so ne CD in Verdacht. Mal schauen ob sich da nicht was drauf findet das da nicht hin gehört.