Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: sulimo

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 30.09.2007, 18:29   #1
lost_mind
 
sulimo - Standard

sulimo



Hallo, ich habe mir gestern irgendeinen Virus oder sowas eingefangen. Ich hatte auf einmal eine Fehlermeldung...von wegen Security Warnung. Auf meinem Computer soll Sopyware sein und ich soll mir ein Anti Spyware auf www.(*keine Ahnung*).com.

Naja jedenfalls hab ich Norton Antivirus und AdAware ausgeführt. Diese haben nichts gefunden.

Naja, jedenfalls wollte ich heute meinen Browserverlauf löschen. Und das sagt er mir folgendes: http://uploaded.to/?id=om2fat <-- Bild von der Fehlermeldung

Also ich komme nirgendwo mehr rein. Nicht in die Eigenschaften, Systemsteuerung usw. (Falls jetzt gleich jemand fragt: Ja, ich hatte vorher Adminrechte)

Heute habe ich mir HiJachThis runtergeladen und das einmal durchlaufen lassen. Es wurde auch fast alles gefixt. Nur eine sulimo.dat nicht. Ich habe versucht diese selber zu löschen. Sie ist kurz weg und taucht dann aber wieder auf.

Also ich habe jetzt (zusammengefasst) 2 Probleme:

1 - die "sulimo.dat"
2 - ich habe keine Adminrechte

Kann mir jemand helfen????



Hier die Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:28:57, on 30.09.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

Alt 30.09.2007, 19:15   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sulimo - Standard

sulimo



Hallo.

Zitat:
2 - ich habe keine Adminrechte
Funktioniert das Standard-Adminkonto ("Administrator") denn noch? Versuch dich notfalls im abgesicherten Modus mit diesem Konto anzumelden und erstell dir ein weiteres Adminkonto mit Passwort, mit dem du dich hoffentlich im normalen Modus wieder anmelden kannst. Evtl. kannst du deinem normalen Konto auch wieder Adminrechte zuteilen. (Zum normalen Arbeiten und Srufen am Rechner wäre aber ein eingeschränktes Konto sicherer.)

Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
Warum in aller Welt ist das SP2 bei dir nicht installiert?

Werte einmal die Datei

C:\WINDOWS\System32\sulimo.dat

bei Virustotal.com aus und poste sämtliche Ergebnisse.

Führ mal mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Blacklight
- Silentrunners
Und mach bitte ein Filelist:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Ob sich dann eine Bereinigung noch lohnt, wird sich dann wohl zeigen.
__________________

__________________

Alt 30.09.2007, 20:33   #3
lost_mind
 
sulimo - Standard

sulimo



Ich habe auf meinem rechner 2 Konten eingerichtet. Einmal für mich, einmal für meine Freundin. Beide Konten haben Adminrechte. Ein separates Adminkonto habe ich nicht.

Ich habe jetzt den rechner im abgesicherten Modus gestartet und jetzt habe ich (nur im abgesicherten Modus) ein Adminkonto. Ich habe versucht meinen 2 Konten wieder Adminrechte zu geben. Ging aber nicht, da sie noch Adminrechte haben. Ich habe mir jetzt ein zusätzliches Konto mit Adminrechten erstellt. Jetzt kann ich erstmal wieder mit Adminrechten arbeiten.

Ich habe den Rechner jetzt mit Blacklight geprüft. Das Programm hat aber nichts gefunden.

Werde jetzt noch die anderen beiden versuchen...
__________________

Alt 30.09.2007, 20:39   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sulimo - Standard

sulimo



Zitat:
Ein separates Adminkonto habe ich nicht.
Nur so als Hinweis: windows erstellt standardmäßig das Konto "Administrator" (nat. mit Adminrechten), nur ist es nicht richtig sichtbar, jedenfalls nicht über den Willkommensbildschirm. Du kannst dich aber über die herkömmliche einlogmaske als Administrator einloggen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.09.2007, 20:45   #5
lost_mind
 
sulimo - Standard

sulimo



Hier die Filelist


filelist.txt ... at uploaded.to - Free File Hosting, Free Image Hosting, Free Music Hosting, Free Video Hosting, ...


Alt 30.09.2007, 20:55   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sulimo - Standard

sulimo



Durch das filelist gesehen, da sind noch mehr verdächtige Dateien auser dieser sulimo.dat:

winavxx.exe
printer.exe
S32EVNT1.DLL
cdrtc.dll
cdral.dll
czip.ocx
sfx32.dll


Sind alle in c:\windows\system32 - werte die auch mal bei virustotal.com aus.
__________________
--> sulimo

Alt 02.10.2007, 21:31   #7
lost_mind
 
sulimo - Standard

sulimo



Hier das Ergebnis von Silentrunners

DOWNLOAD


virustotal.com geht nicht. Die Seite kann nicht angezeigt werden????

Geändert von lost_mind (02.10.2007 um 21:31 Uhr) Grund: Schreibfehler

Alt 02.10.2007, 21:33   #8
myrtille
/// TB-Ausbilder
 
sulimo - Standard

sulimo



versuchs mal mit VirusTotal - Free Online Virus and Malware Scan

lg myrtille

Alt 02.10.2007, 23:51   #9
lost_mind
 
sulimo - Standard

sulimo



Hier die Ausgabe von escan bzw find.bat

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 9/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\System32\katvabe.exe infiziert von "Backdoor.Win32.Nepoe.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F5C6063D-8566-47B9-B9C3-1A5DF237E030}\RP7\A0000235.exe infiziert von "Backdoor.Win32.Nepoe.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F5C6063D-8566-47B9-B9C3-1A5DF237E030}\RP8\A0000261.exe//PE-Pack infiziert von "Trojan-Proxy.Win32.Agent.mf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\drivers\etc\hosts infiziert von "Trojan.Win32.Qhost.mg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\katvabe.exe infiziert von "Backdoor.Win32.Nepoe.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\System Volume Information\_restore{F5C6063D-8566-47B9-B9C3-1A5DF237E030}\RP33\A0001871.exe//WiseSFX Dropper//WISE0019.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{F5C6063D-8566-47B9-B9C3-1A5DF237E030}\RP33\A0001872.exe//WiseSFX Dropper//WISE0019.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.doubleclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ads.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ar.atwola.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ch
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 awaps.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banner.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banners.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ca.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 click.atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 clicks.atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 customer.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 dispatch.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads4.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 engine.awaps.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 f-secure.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.avp.ch
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.f-secure.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.kasperskylab.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.sophos.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 go.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ids.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantecliveupdate.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mast.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 media.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 msdn.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 my-etrust.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 networkassociates.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 norton.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 office.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 pandasoftware.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 phx.corporate-ir.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 rads.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 secure.nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 securityresponse.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 service1.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 sophos.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 spd.atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 support.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 trendmicro.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 update.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates4.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates5.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 us.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 vil.nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virusscan.jotti.org
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virustotal.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 windowsupdate.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ch
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.awaps.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.ca.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.f-secure.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.grisoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.my-etrust.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.networkassociates.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.pandasoftware.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.sophos.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.trendmicro.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.virustotal.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www3.ca.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 85257
Gefundene Viren: 8
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 19
Dauer des Scans bisher: 01:47:21
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 0:40:36,32
Batchende: 0:41:07,84






Bin ich jetzt bescheuert??? Bei funktioniert die Seite nicht. Wenn ich auf den Link klicke nicht und wenn ich www.virustotal.com eingeben auch nicht???!!!

Alt 03.10.2007, 01:08   #10
myrtille
/// TB-Ausbilder
 
sulimo - Standard

sulimo



Das liegt an deinen Freunden:
Zitat:
winavxx.exe
printer.exe
Lade dir bitte folgendes Tool:
SmitfraudFix
-Starte dein System im abgesicherten Modus führe die Option 2 aus
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Danach solltest du auch virustotal errreichen können.
lg myrtille

Alt 03.10.2007, 12:34   #11
lost_mind
 
sulimo - Standard

sulimo



Hier die Logfile...

SmitFraudFix v2.235

Scan done at 12:49:47,40, 03.10.2007
Run from C:\Dokumente und Einstellungen\Admin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\printer.exe Deleted
C:\WINDOWS\system32\WinAvXX.exe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{14704E0B-E87F-4A5B-AB0F-FFEC91EEA757}: DhcpNameServer=85.233.48.10 194.105.102.3 88.215.88.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{14704E0B-E87F-4A5B-AB0F-FFEC91EEA757}: DhcpNameServer=85.233.48.10 194.105.102.3 88.215.88.2
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.233.48.10 194.105.102.3 88.215.88.2
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.233.48.10 194.105.102.3 88.215.88.2


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning not selected.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\sulimo.dat Please, Reboot and Run SmitfraudFix option 2 once again.


»»»»»»»»»»»»»»»»»»»»»»»» End

Alt 03.10.2007, 12:37   #12
myrtille
/// TB-Ausbilder
 
sulimo - Standard

sulimo



Zitat:
C:\WINDOWS\system32\sulimo.dat Please, Reboot and Run SmitfraudFix option 2 once again.
Bitte Smitfraudfix nochmal durchlaufen lassen.

lg myrtille

Alt 03.10.2007, 15:03   #13
lost_mind
 
sulimo - Standard

sulimo



Virustotal geht aber imer noch nicht


SmitFraudFix v2.235

Scan done at 15:51:05,10, 03.10.2007
Run from C:\Dokumente und Einstellungen\Admin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Alt 03.10.2007, 15:06   #14
Trojanerade
 
sulimo - Standard

sulimo



So ne Frage am Rande... Hast du das Sp2 jetzt instaliert?

Alt 03.10.2007, 15:08   #15
lost_mind
 
sulimo - Standard

sulimo



noch nicht?!?!

SOll ich es mal machen :-)

Antwort

Themen zu sulimo
ad-aware, adobe, antivirus, appinit_dlls, application, auf einmal, boot, computer, dateien, excel, explorer, firewall, hijack, hijackthis, internet, internet explorer, keine ahnung, logfile, messenger, microsoft, olympus, outlook express, programme, security, software, spyware, symantec, system32, virus, windows, windows xp




Zum Thema sulimo - Hallo, ich habe mir gestern irgendeinen Virus oder sowas eingefangen. Ich hatte auf einmal eine Fehlermeldung...von wegen Security Warnung. Auf meinem Computer soll Sopyware sein und ich soll mir ein - sulimo...
Archiv
Du betrachtest: sulimo auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.