Hallo, ich habe mir gestern irgendeinen Virus oder sowas eingefangen. Ich hatte auf einmal eine Fehlermeldung...von wegen Security Warnung. Auf meinem Computer soll Sopyware sein und ich soll mir ein Anti Spyware auf www.(*keine Ahnung*).com.

Naja jedenfalls hab ich Norton Antivirus und AdAware ausgeführt. Diese haben nichts gefunden.

Naja, jedenfalls wollte ich heute meinen Browserverlauf löschen. Und das sagt er mir folgendes: http://uploaded.to/?id=om2fat <-- Bild von der Fehlermeldung

Also ich komme nirgendwo mehr rein. Nicht in die Eigenschaften, Systemsteuerung usw. (Falls jetzt gleich jemand fragt: Ja, ich hatte vorher Adminrechte)

Heute habe ich mir HiJachThis runtergeladen und das einmal durchlaufen lassen. Es wurde auch fast alles gefixt. Nur eine sulimo.dat nicht. Ich habe versucht diese selber zu löschen. Sie ist kurz weg und taucht dann aber wieder auf.

Also ich habe jetzt (zusammengefasst) 2 Probleme:

1 - die "sulimo.dat"
2 - ich habe keine Adminrechte

Kann mir jemand helfen????



Hier die Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:28:57, on 30.09.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

Hallo.

Zitat:

2 - ich habe keine Adminrechte

Funktioniert das Standard-Adminkonto ("Administrator") denn noch? Versuch dich notfalls im abgesicherten Modus mit diesem Konto anzumelden und erstell dir ein weiteres Adminkonto mit Passwort, mit dem du dich hoffentlich im normalen Modus wieder anmelden kannst. Evtl. kannst du deinem normalen Konto auch wieder Adminrechte zuteilen. (Zum normalen Arbeiten und Srufen am Rechner wäre aber ein eingeschränktes Konto sicherer.)

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)

Warum in aller Welt ist das SP2 bei dir nicht installiert?

Werte einmal die Datei

C:\WINDOWS\System32\sulimo.dat

bei Virustotal.com aus und poste sämtliche Ergebnisse.

Führ mal mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Blacklight
- Silentrunners

Und mach bitte ein Filelist:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Ob sich dann eine Bereinigung noch lohnt, wird sich dann wohl zeigen.

Ich habe auf meinem rechner 2 Konten eingerichtet. Einmal für mich, einmal für meine Freundin. Beide Konten haben Adminrechte. Ein separates Adminkonto habe ich nicht.

Ich habe jetzt den rechner im abgesicherten Modus gestartet und jetzt habe ich (nur im abgesicherten Modus) ein Adminkonto. Ich habe versucht meinen 2 Konten wieder Adminrechte zu geben. Ging aber nicht, da sie noch Adminrechte haben. Ich habe mir jetzt ein zusätzliches Konto mit Adminrechten erstellt. Jetzt kann ich erstmal wieder mit Adminrechten arbeiten.

Ich habe den Rechner jetzt mit Blacklight geprüft. Das Programm hat aber nichts gefunden.

Werde jetzt noch die anderen beiden versuchen...

Zitat:

Ein separates Adminkonto habe ich nicht.

Nur so als Hinweis: windows erstellt standardmäßig das Konto "Administrator" (nat. mit Adminrechten), nur ist es nicht richtig sichtbar, jedenfalls nicht über den Willkommensbildschirm. Du kannst dich aber über die herkömmliche einlogmaske als Administrator einloggen.

Hier die Filelist


filelist.txt ... at uploaded.to - Free File Hosting, Free Image Hosting, Free Music Hosting, Free Video Hosting, ...

Durch das filelist gesehen, da sind noch mehr verdächtige Dateien auser dieser sulimo.dat:

winavxx.exe
printer.exe
S32EVNT1.DLL
cdrtc.dll
cdral.dll
czip.ocx
sfx32.dll

Sind alle in c:\windows\system32 - werte die auch mal bei virustotal.com aus.

Hier das Ergebnis von Silentrunners

DOWNLOAD


virustotal.com geht nicht. Die Seite kann nicht angezeigt werden????