Hi, Habe mir nen Laptop geholt und schon bevor ich sp2 draufmachen konnte und Norton AV aktualisieren konnte, kammen diese Troj. habe schon einige runtergemacht, das lesen in diesem Forum hier hat mir dabei sehr geholfen aber jetzt brauch ich speziellen rat da ich mit dem Teil jetzt nicht mehr ins netz komme und eScan immernoch was anzeigt ich denke das meiste ist Adware aber denke ist auch bissel was schlimmes dabei. Wäre net wenn jemand helfen könnte.


eScan Log:

File C:\Programme\SideFind\sfbho.dll infected by "not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\nem220.dll infected by "Trojan-Downloader.Win32.Dyfuca.gen" Virus. Action Taken: No Action Taken.
File C:\PROGRA~2\ADSTAT~1\ADSTAT~2.EXE infected by "not-a-virus:AdWare.WinAD.s" Virus. Action Taken: No Action Taken.
File C:\PROGRA~2\ADSTAT~1\ADSTAT~1.DLL infected by "not-a-virus:AdWare.WinAD.s" Virus. Action Taken: No Action Taken.
File C:\temp\salm.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File c:\temp\salmhook.dll infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\iap.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\PROGRA~2\ADSTAT~1\ADSTAT~1.EXE infected by "not-a-virus:AdWare.WinAD.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\nem220.dll infected by "Trojan-Downloader.Win32.Dyfuca.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\SideFind\sfbho.dll infected by "not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: No Action Taken.
File C:\PROGRA~2\ADSTAT~1\ADSTAT~2.EXE infected by "not-a-virus:AdWare.WinAD.s" Virus. Action Taken: No Action Taken.
File c:\temp\salm.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\noh.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\iap.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mm63.ocx infected by "Trojan-Downloader.Win32.VB.ez" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\a64sddd.exe infected by "not-a-virus:AdWare.MediaMotor.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\unstall.exe infected by "not-a-virus:AdWare.MediaMotor.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\63mm.exe infected by "not-a-virus:AdWare.MediaMotor.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\gamma.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\loudc.exe infected by "not-a-virus:AdWare.WinAD.i" Virus. Action Taken: No Action Taken.


Danke für Eure Hilfe

Heiko

Hi, es wäre intelligenter mit Hijack nen log zu posten, denn kann man leichter chekcen....


mach mal nen mit Hijack (http://filepony.de/download-hijackthis/)

tu das mal, dann helf ich dir gerne...

aja, der hijack muss in nen eigenen ordner gespeichert werden, am besten in Windows... es ist eigentlich wurscht, aber es soll besser sein

Hallo Heiko1977,

wenn Du hier schon sehr viel gelesen hast, weisst Du auch was dann empfohlen wird:

C:\WINDOWS\system32\iap.exe infected by "Backdoor.Win32.Rbot.gen"

dartus

Hier mal das LogFile:

Logfile of HijackThis v1.99.1
Scan saved at 16:56:57, on 10.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Aspire Arcade\PCMService.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Program Files\AdStatus Service\AdStatServ.exe
C:\WINDOWS\jxbcrnrj.exe
C:\temp\salm.exe
C:\WINDOWS\system32\iap.exe
C:\Program Files\AdStatus Service\AdStatKeep.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steganos Security Suite 7\SSS7.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\SLEE81.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\jack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smartsurfer.web.de/client/redirect
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [OaAI] C:\WINDOWS\jxbcrnrj.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [noh] C:\WINDOWS\noh.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] iap.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\RunServices: [Microsoft Internet Explorer] iap.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SSS7] "C:\Programme\Steganos Security Suite 7\SSS7.exe" -boot
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F5595F3-517E-4251-AC7D-6A2FE5F99674}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Danke Heiko

Zitat:

Zitat von dartus

Hallo Heiko1977,

wenn Du hier schon sehr viel gelesen hast, weisst Du auch was dann empfohlen wird:

C:\WINDOWS\system32\iap.exe infected by "Backdoor.Win32.Rbot.gen"

dartus

Um es deutlicher zu sagen: Mach Dein System platt, und setz es neu auf.

Anleitungen beachten:
http://www.trojaner-info.de/report_i...nleitung.shtml
http://www.trojaner-board.com/showpo...27&postcount=2

Gruß
Yopie

Hallo Heiko1977,

C:\WINDOWS\system32\iap.exe infected by "Backdoor.Win32.Rbot.gen"

Ermöglicht Dritten den Zugriff auf den Computer
Lädt Code aus dem Internet herunter
Speichert Tastenfolgen
Installiert sich in der Registrierung
Nutzt bekannte Schwachstellen aus

Bei einem derartigen Befall wird Dir hier Format C: empfohlen, um das zu vermeiden:

http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030

erstklassige Anleitung:
http://www.trojaner-board.de/showthread.php?t=12154

sry
dartus

Zitat:

Zitat von dartus

Hallo Heiko1977,

wenn Du hier schon sehr viel gelesen hast, weisst Du auch was dann empfohlen wird:

C:\WINDOWS\system32\iap.exe infected by "Backdoor.Win32.Rbot.gen"

dartus

Klar habe ich das gelesen habe dies auch schon 2x gemacht ist ja das Problem ich beschreibe es nochmal.

Versuch1

Recovery disc rein
- das teil war ja neu also keine Datenverluste oder so

danach Norton drauf Update gemacht

danach Winupdate

und schon hat der AV angeschlagen

Versuch 2

erst Winupdate dann Norton Update selbes Problem

irgendwas ist da schon von Werk auf drauf was hier ein Türchen öffnet :-)

Weiß auch nicht so recht

Gruß Heiko

Machst Du Updates Online oder Offline?

http://www.trojaner-board.com/showpost.php?p=125327

Gruß
Yopie

Hallo, Danke für Eure Hilfe dachte es gibt ne andere Möglichkeit aber ist kein Prob wie gesagt das teil war ja neu also kein großer Aufwand werde das System nach der besagten Anleitung neu aufsetzen.

Gruß Heiko