Spybot - "NDNuninstall7_22exe konnte nicht entfernt werden?

Thema ist geschlossen!
Thema ist geschlossen!
10.11.2006, 06:49
Member

Beiträge: 21
#1 Hallo Users.

Hab bei meinen Scan`s mit Spybot 1.4 ständig das Problem, daß er jedesmal die gleiche Adaware findet und eine davon nie löschen kann

- Tradedoubler ( Verfolgender Internetcookie) - wird "jedesmal" gefunden und gelöscht !?

- WarezP2P ( Ausführende Datei) C:\Windows\NDNuninstall7_22exe) diese kann er nie löschen, Fehlermeldung "Datei befindet sich möglicherweise im Arbeitsspeicher, beim Neustart Spybot starten...)
Daraufhin habe ich den abgesicherten Modus gestartet und Spybot konnte diese 2 Einträge löschen!

Leider sind im Windows Verzeichnis immer noch mehrere NDNuninstall_exe Dateien vorhanden ( 10x!), sind die gefährlich? Wer kann mir helfen?
Seitenanfang Seitenende
10.11.2006, 12:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 User77

scanne und poste den report
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2006, 07:09
Member

Themenstarter

Beiträge: 21
#3 Sorry für die verspätete Antwort.

Das Prog CounterSpy funktioniert nicht, die Trial Version bricht den Scan ab, so daß ich hier erstmal hijackthis installiert habe und mein Log so aussieht

Logfile of HijackThis v1.99.1
Scan saved at 06:07:48, on 17.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
F:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\umonit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
F:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
F:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
G:\Downloads\Hilfsprogramme\hijackthis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - F:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - F:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\System32\umonit.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = F:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O15 - Trusted Zone: http://www.lindinger.at
O15 - Trusted Zone: www.mx-5.de
O15 - Trusted Zone: www.mx-5.net
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.download-url.de/StarInstall.ocx
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - F:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - F:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - F:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)


Unter C:\Programme befindet sich leider auch noch der Ordner "NewDotNet".

Unter Systemsteuerung/ Software befindet sich ein Eintrag "New.net Domains 7.22" !! Ist das gefährlich?

Bin nicht der super PC Freak deswegen bitte um schnellstmögliche Hilfe...
Seitenanfang Seitenende
17.11.2006, 09:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 User77

1.
LSPfix
http://www.spychecker.com/program/lspfix.html
- hake an: "I know what Im doing" -- Remove
- und loesche die newdotnet7_22.dll (eventuell musst du die dll von links nach rechts bringen) + Remove

2.
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
3.
scanne mit AVG Anti-Spyware und poste hier den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2006, 15:43
Member

Themenstarter

Beiträge: 21
#5 Ok, habe es gemacht wie beschreiben, mein Scanreport mit AVG Anti-Spyware ( hat ewig lang gedauert, dabei nur der Quickscan über 20 Min.!) sieht jetzt so aus

+ Scan-Ergebnis:



HKLM\SOFTWARE\DelFin -> Adware.Delfin : Ignoriert.
HKLM\SOFTWARE\DelFin\PromulGate -> Adware.Delfin : Ignoriert.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DelFin Media Viewer -> Adware.Delfin : Ignoriert.
HKU\S-1-5-21-681764103-3307144382-2800509490-1005\Software\DelFin -> Adware.Delfin : Ignoriert.
HKU\S-1-5-21-681764103-3307144382-2800509490-1005\Software\DelFin\PromulGate -> Adware.Delfin : Ignoriert.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MediaLoads Enhanced -> Adware.Downloadware : Ignoriert.
C:\WINDOWS\NDNuninstall4_50.exe -> Adware.NewDotNet : Ignoriert.
C:\WINDOWS\NDNuninstall4_80.exe -> Adware.NewDotNet : Ignoriert.
C:\WINDOWS\NDNuninstall4_88.exe -> Adware.NewDotNet : Ignoriert.
C:\WINDOWS\NDNuninstall4_94.exe -> Adware.NewDotNet : Ignoriert.
C:\WINDOWS\NDNuninstall5_20.exe -> Adware.NewDotNet : Ignoriert.
C:\WINDOWS\NDNuninstall5_40.exe -> Adware.NewDotNet : Ignoriert.
C:\WINDOWS\NDNuninstall5_48.exe -> Adware.NewDotNet : Ignoriert.
C:\WINDOWS\NDNuninstall5_64.exe -> Adware.NewDotNet : Ignoriert.
C:\WINDOWS\NDNuninstall6_10.exe -> Adware.NewDotNet : Ignoriert.
C:\WINDOWS\NDNuninstall6_22.exe -> Adware.NewDotNet : Ignoriert.
C:\WINDOWS\NDNuninstall6_38.exe -> Adware.NewDotNet : Ignoriert.
C:\WINDOWS\NDNuninstall6_90.exe -> Adware.NewDotNet : Ignoriert.
C:\WINDOWS\NDNuninstall6_98.exe -> Adware.NewDotNet : Ignoriert.
C:\WINDOWS\NDNuninstall7_14.exe -> Adware.NewDotNet : Ignoriert.
HKLM\SOFTWARE\Classes\Tldctl2.URLLink -> Adware.NewDotNet : Ignoriert.
HKLM\SOFTWARE\Classes\Tldctl2.URLLink.1 -> Adware.NewDotNet : Ignoriert.
HKLM\SOFTWARE\Classes\Tldctl2.URLLink\CLSID -> Adware.NewDotNet : Ignoriert.
HKLM\SOFTWARE\Classes\Tldctl2.URLLink\CurVer -> Adware.NewDotNet : Ignoriert.
HKLM\SOFTWARE\New.net -> Adware.NewDotNet : Ignoriert.
HKU\.DEFAULT\Software\new.net -> Adware.NewDotNet : Ignoriert.
HKU\S-1-5-18\Software\new.net -> Adware.NewDotNet : Ignoriert.
HKU\S-1-5-21-681764103-3307144382-2800509490-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -> Adware.NewDotNet : Ignoriert.
HKU\S-1-5-21-681764103-3307144382-2800509490-1005\Software\new.net -> Adware.NewDotNet : Ignoriert.


::Berichtende

Unter C:\ Programme existiert der Ordner " NewDotNet" nach wie vor.

Unter C:\Windows existieren die Dateien

NDNuninstall4_50.exe
" " 4_80.exe
" " 4_88.exe
" " 4_94.exe
" " 5_20.exe
" " 5_40.exe
" " 5_48.exe
" " 5_64.exe
" " 6_10.exe
" " 6_22.exe
" " 6_38.exe
" " 6_90.exe
" " 6_98.exe
" " 7_14.exe

Oh man das ist eine lange Geschichte, möchte deswegen ewig am Rechner sitzen, wie geht es jetzt weiter?
Seitenanfang Seitenende
17.11.2006, 15:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 User77

ich weiss nicht, warum du scannst und dann alles auf "ignored" laesst, obwohl auf der seite genau erklaert ist, dass der scanner auch loescht ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2006, 16:24
Member

Themenstarter

Beiträge: 21
#7 Sorry, daß hatte ich übersehen also nochmal das ganze :-(

Der Report sieht so aus

+ Erstellt um: 16:20:36 17.11.2006

+ Scan-Ergebnis:

HKLM\SOFTWARE\DelFin -> Adware.Delfin : Gesäubert.
HKLM\SOFTWARE\DelFin\PromulGate -> Adware.Delfin : Gesäubert.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DelFin Media Viewer -> Adware.Delfin : Gesäubert.
HKU\S-1-5-21-681764103-3307144382-2800509490-1005\Software\DelFin -> Adware.Delfin : Gesäubert.
HKU\S-1-5-21-681764103-3307144382-2800509490-1005\Software\DelFin\PromulGate -> Adware.Delfin : Gesäubert.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MediaLoads Enhanced -> Adware.Downloadware : Gesäubert.
C:\WINDOWS\NDNuninstall4_50.exe -> Adware.NewDotNet : Gesäubert.
C:\WINDOWS\NDNuninstall4_80.exe -> Adware.NewDotNet : Gesäubert.
C:\WINDOWS\NDNuninstall4_88.exe -> Adware.NewDotNet : Gesäubert.
C:\WINDOWS\NDNuninstall4_94.exe -> Adware.NewDotNet : Gesäubert.
C:\WINDOWS\NDNuninstall5_20.exe -> Adware.NewDotNet : Gesäubert.
C:\WINDOWS\NDNuninstall5_40.exe -> Adware.NewDotNet : Gesäubert.
C:\WINDOWS\NDNuninstall5_48.exe -> Adware.NewDotNet : Gesäubert.
C:\WINDOWS\NDNuninstall5_64.exe -> Adware.NewDotNet : Gesäubert.
C:\WINDOWS\NDNuninstall6_10.exe -> Adware.NewDotNet : Gesäubert.
C:\WINDOWS\NDNuninstall6_22.exe -> Adware.NewDotNet : Gesäubert.
C:\WINDOWS\NDNuninstall6_38.exe -> Adware.NewDotNet : Gesäubert.
C:\WINDOWS\NDNuninstall6_90.exe -> Adware.NewDotNet : Gesäubert.
C:\WINDOWS\NDNuninstall6_98.exe -> Adware.NewDotNet : Gesäubert.
C:\WINDOWS\NDNuninstall7_14.exe -> Adware.NewDotNet : Gesäubert.
HKLM\SOFTWARE\Classes\Tldctl2.URLLink -> Adware.NewDotNet : Gesäubert.
HKLM\SOFTWARE\Classes\Tldctl2.URLLink.1 -> Adware.NewDotNet : Gesäubert.
HKLM\SOFTWARE\Classes\Tldctl2.URLLink\CLSID -> Adware.NewDotNet : Gesäubert.
HKLM\SOFTWARE\Classes\Tldctl2.URLLink\CurVer -> Adware.NewDotNet : Gesäubert.
HKLM\SOFTWARE\New.net -> Adware.NewDotNet : Gesäubert.
HKU\.DEFAULT\Software\new.net -> Adware.NewDotNet : Gesäubert.
HKU\S-1-5-18\Software\new.net -> Adware.NewDotNet : Gesäubert.
HKU\S-1-5-21-681764103-3307144382-2800509490-1005\Software\Microsoft\Windows\
CurrentVersion\Ext\Stats\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -> Adware.NewDotNet : Gesäubert.
HKU\S-1-5-21-681764103-3307144382-2800509490-1005\Software\new.net -> Adware.NewDotNet : Gesäubert.
C:\Dokumente und Einstellungen\Loveprinz\Cookies\loveprinz@statcounter[1].txt -> TrackingCookie.Statcounter : Gesäubert.



Die Dateien aus C:\ Windows sind jetzt verschwunden! :-)

Leider besteht der Ordner unter C:\Programme immer noch, soll ich den löschen?
Seitenanfang Seitenende
17.11.2006, 16:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 User77

ueberpruefe mit LSPfix, ob die newdotnet7_22.dll nicht mehr im Winsock ist - sonst kommst du nach loeschen des Programmes NewDotNet nicht mehr ins Internet

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Folders to delete:
C:\Programme\NewDotNet
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2006, 16:41
Member

Themenstarter

Beiträge: 21
#9 Mist, hab irgendwas falsch gemacht die Fehlermeldung im Avenger lautet

"select file does not appear to be a valid script" ?
Seitenanfang Seitenende
17.11.2006, 16:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ist das nicht auf der seite vom avenger genau erklaert, wie, wo du das script reinkopieren musst ???
und das Wort: "Zitat" darfst du natuerlich nicht mit reinkopieren ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2006, 17:08
Member

Themenstarter

Beiträge: 21
#11 Ja ich hab gleich die ganze Zeile "Folders to delete" vergessen zu kopieren ;)

Es hat geklappt! Der Rechner hat 2mal einen Reboot gemacht, dachte schon der hängt sich auf..

Wenn ich jetzt noch ein Programm wie AVG Anti-Spyware ohne Trial Version hätte dann wäre es perfekt ;)

Vielen Dank für Ihre Hilfe!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: