Newdot Problem beim Start

#0
04.07.2004, 13:21
...neu hier

Beiträge: 6
#1 Hallo all ,

Ich hab leider wider mal Viren gefangen die durch kein AntiVir programm entfernt werden könen. Bei jedem Neustart des Rechners kommt diser fehler :

C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL

hab auch mit Anti-SpyBot usw. versucht zu entvernen hab auch eine LOG

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\Warius\Eigene Dateien\Programme\Hackji\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{758A9B4B-9EFF-48AD-8547-7D8D2EEAFA4B}: NameServer = 217.237.149.161 194.25.2.129

ich hoffe man erkent hier was

ich danke euch im voraus ,dises Forum hat mir schon paar mal geholfen hoffe klapt nochmal ;)
Seitenanfang Seitenende
04.07.2004, 15:52
Member

Beiträge: 441
#2 Fixe folgende Einträge:
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Danach unter Systemsteuerung-> Software diese Programme deinstallieren:
QuickSearch Search Bar und
New.net oder Newdotnet

- Temporäre Internet Files löschen
- Neustart
- dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
- neues Log-File posten (aber diesmal das gesamte Log-File, damit man sehen kann, wie dein System gepatcht ist)
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
04.07.2004, 17:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 New.net laesst sich nicht so einfach deinstallieren.

Dazu musst du in die Registry
Start\Ausfuehren\regedit

loesche jeweils auf der rechten Seite der Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun\New.net Startup"="rundll32

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\New.net
* HKEY_LOCAL_MACHINE\SOFTWARE\New.net
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2
\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004
* HKEY_CLASSES_ROOT\CLSID\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E
* HKEY_CLASSES_ROOT\Tldctl2.URLLink
* HKEY_CLASSES_ROOT\Tldctl2.URLLink.1
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink.1
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}

schliesse die Registry

# Click Start > Control Panel.
# Danach unter Systemsteuerung-> Software diese Programme deinstallieren:
Newdotnet
....................................................................................................

mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
scanne \alle Dateien\ und poste, was das Tool noch als infiziert gefunden hat.

#Lade Spysweeper
http://www.spysweeper.com/


#Loesche mit ClearProg ..lade die neuste Versiondie TemporaryInternetFiles und Cookies
http://www.clearprog.de/

#Lade Spywareguard
http://www.javacoolsoftware.com/sgdownload.html

Tip
Der Antivirus
AVPersonal\AVWUPSRV.EXE
hat einen Guard.
Der muesste im StartUp, als unter 04 erscheinen.
Stelle es bitte so ein.

Falls das nicht funktioniert, deinstalliere den Virenscanner, lade neu
http://www.free-av.de/


Dann poste das Log noch mal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.07.2004 um 17:12 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.07.2004, 21:20
...neu hier

Themenstarter

Beiträge: 6
#4 Hallo Sabina DAnke für die Antwort.

Allso dise DAtein waren bei mir gar nicht drauf hab sie gesucht aber waren nicht im rechten Fenster Drine. ):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRun\New.net Startup"="rundll32

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\New.net
* HKEY_LOCAL_MACHINE\SOFTWARE\New.net
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2
\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004
* HKEY_CLASSES_ROOT\CLSID\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E
* HKEY_CLASSES_ROOT\Tldctl2.URLLink
* HKEY_CLASSES_ROOT\Tldctl2.URLLink.1
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink.1
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}

dann habe ich alle Anti Viren Progs durchlaufen lasen und das ist neue Log

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
E:\ToA\Launcher\Launcher.exe
C:\WINDOWS\System32\cmd.exe
E:\ToA\Launcher\login.dll
E:\ToA\game.dll
C:\Dokumente und Einstellungen\Warius\Eigene Dateien\AntiVir Programme\Hackji\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Warius\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{758A9B4B-9EFF-48AD-8547-7D8D2EEAFA4B}: NameServer = 217.237.149.161 194.25.2.129
Seitenanfang Seitenende
04.07.2004, 21:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Websoul


Mache die WindowsUpdates !!!!!!!!!!!!

Das Log ist o.k.

Lade aber noch den Antivirus,
http://www.free-av.com/

denn die mwav.exe ist nur 30 Tage free
Zudem hat der Antivirus einen Guard, der mit einem aufgespannten Schirm unten links im StartUp erscheinen muss.

Antivirus-Einstellungen :
Automatischen Scan stoppen,
Internetupdate von Antivir starten,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorit

Jeden Tag fast musst du updaten.

#Falls du keinen Firewall hast und keinen Router, lade noch Sygate
http://smb.sygate.com/products/spf_standard.htm

Tipp:
Firewall und Antivirus schuetzen...aber du darfst nicht jeden Download akzeptieren, der sich so anbietet...sonst ist gleich wieder alles verseucht.

Und surfe nur mit dem Firefox...ist sicherer
http://www.firebird-browser.de/
stelle eine Startseite ein.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.07.2004 um 18:29 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.07.2004, 00:33
Member

Beiträge: 441
#6 @ Sabina
Laut meinen Informationen läßt sich die Foistware Newdotnet ganz einfach deinstallieren, allerdings kann man dies auch manuell bewerkstelligen, wie du es vorgeschlagen hast. Dies kann aber bei falscher Anwendung zum Verlust der Internet Verbindung führen. Desweiteren können diese Tools die Foistware sauber entfernen: Spybot Search & Destroy und Ad-Aware 6
Infos:
http://www.spy-bot.net/NewDotNet.asp
http://www.cexx.org/newnet.htm

@ Websoul

Zitat

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Du handelst grobfahrlässig mit deinem ungepatchten System, besuche http://v4.windowsupdate.microsoft.com/de/default.asp und update.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
05.07.2004, 11:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Cidre

Ja, es ist ein WinsockVirus,
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2
\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004

allerdings hatte ihn bei Winsoul der Spybot schon (teilweise) entfernt.
Deshalb habe ich zur manuellen Reinigung geraten.

Es ist natuerlich immer besser, ein Entfernungs-Tool zur Hilfe zu nehmen, allerdings kann auch in diesem Fall , laut Erfahrungsberichten die Internetverbindung gekappt werden.
..........................................................................................................
LSPFix 1.0
repairs Winsock 2 settings
http://www.spychecker.com/program/lspfix.html
Leider, Leider ist der Link zur Zeit tot...

MfG
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.07.2004 um 11:30 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.07.2004, 15:39
Member

Beiträge: 441
#8 Hi Sabina,
nicht das du mich falsch verstehst, es sollte keine Kritik an dich sein.;)

Momentan funktioniert dein Link wieder, allerdings kannst du ihn auch hier http://www.cexx.org/lspfix.htm runterladen.

CU
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
05.07.2004, 18:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Cidre
Der Link-die Links...sind tot !!
Oder kannst du das Tool laden ?????????????'
Gruss
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.07.2004, 20:15
Member

Beiträge: 441
#10 Ich konnte das Lspfix gerade eben von dieser Seite http://www.cexx.org/lspfix.htm problemlos laden.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
05.07.2004, 20:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 the operation timing out....
ich denke, ich brauche Hilfe, werde mal mein Log posten ;)
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.07.2004, 23:54
Member

Beiträge: 441
#12 @ Sabina

You need help you get it ;) ;)
Nee, Spaß beiseite ist schon merkwürdig bei dir.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende