TR/Krepper.Y und W32.Netsky

#16 Hallo Sabina,
herzlichen Dank für die superschnelle Benachrichtigung - habe o.g Ordner komplett geleert und kopiere nun das Log ein.
P.S
( Beim ersten Scan mit AntiVir wurde übrigens der Trojaner in
C/_Restore/Temp angezeigt - Beim 2.Mal im abgesicherten Modus nach vorheriger Deaktivierung der Systemwiederherst. dann in dieser cab. datei )
herzliche Grüße
anegada


Logfile of HijackThis v1.99.0
Scan saved at 20:57:48, on 26.12.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\Programme\1&1 Programme\cFos\CFOSDW.EXE
C:\PROGRAMME\1&1 PROGRAMME\CFOS\CFNDIS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\UNZIPPED\HIJACKTHIS199_BETA\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sureseeker.com/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://celebs.freepics-r-us.com/index.asp?LID=72069&c=1
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sureseeker.com/search.htm
F1 - win.ini: run=C:\PROGRA~1\1&1PRO~1\CFOS\cfosdw.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TVgenial] C:\PROGRAMME\TVGENIAL\TVGENIAL.EXE -d
O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com

#17 Hallo@anegada

Lade:
#LSPfix.exe
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sureseeker.com/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://celebs.freepics-r-us.com/index.asp?LID=72069&c=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sureseeker.com/search.htm
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

PC neustarten

Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software" -->
New.net/NEWDOT
MediaLoads
IncrediMail

oeffne -->LSPfix.exe --><"I know what I'm doing"
bringe die \newdotnet6_38.dll von der linken auf die rechte Seite und loesche sie.

Loesche manuell :
C:\Programme\DownloadWare\dw.exe

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke
auf Start, zeigen auf Programme, zeige auf Zubehör, zeige auf
Systemprogramme und klicke anschließend auf Datenträgerbereinigung.
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera

arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavup.exe (Update- in DOS) ausführen
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

zusammen mit dem neuen Log vom HijackThis

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
------------------------------------------------------------------------------------
Tip: (vorsorge)
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Oh je Sabina...
ob ich das alles in die Reihe bekomme ?...ich mach mich gleich an die Arbeit und melde mich dann, falls ich es überstehe .... brauche erst mal einen Kaffee :-)
Grüße
anegada

#19 Hallo Sanina
puuhh ... das war aber keine schöne Arbeit :-((
ich hoffe, es hat was gebracht.
nachfolgend die gewünschten "infect" dateien ( ich mag das Wort jetzt schon nicht mehr sehen, weil ich es sooft kopieren mußte ..lach**
Mon Dec 27 20:53:51 2004 => File C:\WINDOWS\newdotnet3_36.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:53:56 2004 => File C:\WINDOWS\NDNuninstall4_88.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:53:56 2004 => File C:\WINDOWS\NDNuninstall5_20-1.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:53:56 2004 => File C:\WINDOWS\NDNuninstall5_40.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:53:56 2004 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:53:57 2004 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:53:57 2004 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:53:57 2004 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:55:11 2004 => File C:\WINDOWS\SYSTEM\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:55:22 2004 => File C:\WINDOWS\SYSTEM\cd_htm.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:55:28 2004 => File C:\WINDOWS\SYSTEM\bdeinsta25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:55:28 2004 => File C:\WINDOWS\SYSTEM\bdeinsta25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:55:29 2004 => File C:\WINDOWS\SYSTEM\bdesecureinstall.exe infected by "not-a-virus:AdWare.Brilliandigital.a" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:55:29 2004 => File C:\WINDOWS\SYSTEM\BDESac24.dll infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:55:29 2004 => File C:\WINDOWS\SYSTEM\BDESac10.dll infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:59:00 2004 => File C:\WINDOWS\SYSTEM\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:59:11 2004 => File C:\WINDOWS\SYSTEM\cd_htm.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:59:17 2004 => File C:\WINDOWS\SYSTEM\bdeinsta25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:59:17 2004 => File C:\WINDOWS\SYSTEM\bdeverify.exe infected by "not-a-virus:AdWare.Brilliandigital.a" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:59:17 2004 => File C:\WINDOWS\SYSTEM\bdesecureinstall.exe infected by "not-a-virus:AdWare.Brilliandigital.a" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:59:18 2004 => File C:\WINDOWS\SYSTEM\BDESac24.dll infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.

Mon Dec 27 20:59:18 2004 => File C:\WINDOWS\SYSTEM\BDESac10.dll infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:04:26 2004 => File C:\WINDOWS\wt\wtupdates\wtbgm\files\1.5.0.134\wtbgmtt.exe infected by "not-a-virus:AdWare.WildTangent.a" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:04:28 2004 => File C:\WINDOWS\wt\wtbgm\wtbgmtt.exe infected by "not-a-virus:AdWare.WildTangent.a" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:04:29 2004 => File C:\WINDOWS\BDE\Cache\bdedetect1.dll infected by "not-a-virus:AdWare.BrilliantDigital.1007" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:04:29 2004 => File C:\WINDOWS\BDE\Cache\bdeclean.exe infected by "not-a-virus:AdWare.BrilliantDigital.30170" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:04:29 2004 => File C:\WINDOWS\BDE\b3dsetup.exe infected by "not-a-virus:AdWare.BrilliantDigital.1100" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:04:29 2004 => File C:\WINDOWS\BDE\bdeclean.exe infected by "not-a-virus:AdWare.BrilliantDigital.30170" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:04:30 2004 => File C:\WINDOWS\newdotnet3_36.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:04:41 2004 => File C:\WINDOWS\NDNuninstall4_88.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:04:41 2004 => File C:\WINDOWS\NDNuninstall4_94.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:04:41 2004 => File C:\WINDOWS\NDNuninstall5_20-1.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:04:43 2004 => File C:\WINDOWS\NDNuninstall5_40.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:04:43 2004 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:04:44 2004 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:04:44 2004 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:04:44 2004 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:12:59 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Dec 27 21:16:33 2004 => File C:\unzipped\hijackthis199_beta\backups\backup-20041227-192110-532.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 27 21:18:59 2004 => ***** Scanning complete. *****

Mon Dec 27 21:18:59 2004 => Total Files Scanned: 51285
Mon Dec 27 21:18:59 2004 => Total Virus(es) Found: 41
Mon Dec 27 21:18:59 2004 => Total Disinfected Files: 0
Mon Dec 27 21:18:59 2004 => Total Files Renamed: 0
Mon Dec 27 21:18:59 2004 => Total Deleted Files: 0
Mon Dec 27 21:18:59 2004 => Total Errors: 4
Mon Dec 27 21:18:59 2004 => Time Elapsed: 00:26:39
Mon Dec 27 21:18:59 2004 => Virus Database Date: 2004/12/27
Mon Dec 27 21:18:59 2004 => Virus Database Count: 113889

Mon Dec 27 21:18:59 2004 => Scan Completed.


Das neue Log von Hijackthis folgt gleich..

#20 hier ist das 2.Log - bin mal so richtig gespannt, ob ich es richtig gemacht habe und die ekligen grünen "Zappelwanzen" aus eScan nun weg sind :-))))
herzliche Grüße
anegada

Logfile of HijackThis v1.99.0
Scan saved at 23:43:36, on 27.12.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\Programme\1&1 Programme\cFos\CFOSDW.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\1&1 PROGRAMME\CFOS\CFNDIS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\UNZIPPED\HIJACKTHIS199_BETA\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
F1 - win.ini: run=C:\PROGRA~1\1&1PRO~1\CFOS\cfosdw.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com

#21 Hallo@anegada

oeffne -->LSPfix.exe --><"I know what I'm doing"
bringe die \newdotnet6_38.dll von der linken auf die rechte Seite und loesche sie.

oeffne die KillBox
http://www.bleepingcomputer.com/files/killbox.php
http://download.broadbandmedic.com/
geh auf
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\NDNuninstall4_88.exe
C:\WINDOWS\NDNuninstall5_20-1.exe
C:\WINDOWS\wt\wtupdates\wtbgm\files\1.5.0.134\wtbgmtt.exe
usw. usw..

beim letzten startest du neu.

dann scanne noch mal mit escan, bis alles sauber bleibt.

Surfe nicht mehr mit dem IE

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit

#22 Hallo Sabina,
da freue ich mich aber - werde dann auch mal den Firefox ausprobieren.
Also nochmals vielen Dank für Deine Hilfe - ich bin von diesem Forum ganz begeistert -
Nun wünsche ich Dir und allen hier einen Guten Rutsch ins Neue Jahr
mit hoffentlich nicht mehr so vielen Würmern und anderem Getier...
Solong
anegada[/img]

#23

Zitat

Sabina postete
Hallo@anegada

oeffne -->LSPfix.exe --><"I know what I'm doing"
bringe die \newdotnet6_38.dll von der linken auf die rechte Seite und loesche sie.

oeffne die KillBox
http://www.bleepingcomputer.com/files/killbox.php
http://download.broadbandmedic.com/
geh auf
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\NDNuninstall4_88.exe
C:\WINDOWS\NDNuninstall5_20-1.exe
C:\WINDOWS\wt\wtupdates\wtbgm\files\1.5.0.134\wtbgmtt.exe
usw. usw..

beim letzten startest du neu.

dann scanne noch mal mit escan, bis alles sauber bleibt.

Surfe nicht mehr mit dem IE

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html

__________
MfG Sabina

rund um die PC-Sicherheit

#24 hm ... entweder ich bin total überstresst, aber ich hätte schwören können, dass ich eben eine mail mit einem OK erhalten hätte...na ja ...

1)
\newdotnet6_38.dll --> gab es nicht ( hatte ich nicht extra geschrieben)

2)
Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software" -->
New.net/NEWDOT
MediaLoads
IncrediMail
--> gab es auch nicht

3)Loesche manuell :
C:\Programme\DownloadWare\dw.exe --> gab es auch nicht

das andere mache ich dann morgen
ciao
anegada

#25 Guten Morgen Sabina,
nun doch noch einige Fragen:

1) - \newdotnet6_38.dll - nicht vorhanden

2) - mit escan immer im aggesicherten modus scannen?

Grüße
anegada

#26 Hallo@anegada

C:\WINDOWS\newdotnet3_36.dll ---> mit Lsp.fix loeschen

und alles andere von weiter oben abkopieren und in die Killbox rein.

Es stimmt, ich hatte geschrieben : alles o.k., aber dann hab ich gelesen:Taken: No Action Taken.
also wurde es vom eScan nur erkannt und muss nun manuell geloescht werden.

nach dem Loeschen (manuell oder mit der Killbox)
mit eScan im abgesicherten Modus und dann noch mal im Normalmodus scannen...bis alles sauber ist.
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Hallo Sabina,

C:\WINDOWS\newdotnet3_36.dll ---> mit Lsp.fix loeschen ???

in Lsp.fix --> "Keep" sind nur 4 Files aufgeführt:

rnr20.dll
mswsosp.dll
msafd.dll
rsvpsp.dll

dann noch eine andere Frage:
soll ich die Systemwiederhestellung vor dem Löschen mit der Killbox deaktivieren?
Nicht, dass beim nächsten Start alles wieder drauf ist .. ?

#28 ja, die Systemwiederherstellung sollte deaktiviert werden.

suche mal, ob du eine C:\WINDOWS\newdotnet3_36.dll findest.
__________
MfG Sabina

rund um die PC-Sicherheit

#29 hallo sabina,
die info kommt leider zu spät - habe jetzt etwa 10 Stunden am pc verbracht und letztlich mühsam rund 63 dateien in die killbox übertragen...
nach neustart sind sie alle wieder da ... ich kann ehrlich gesagt nicht mehr ..
letzte frage:
kann escan bei kauf dies erledigen?

traurige grüß
anegada

#30 C:\WINDOWS\newdotnet3_36.dll
ist nicht zu finden, obwohl er beim scannen immer angezeigt wird

Tue Dec 28 12:44:54 2004 => File C:\WINDOWS\newdotnet3_36.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Tue Dec 28 12:44:54 2004 => File C:\WINDOWS\newdotnet3_36.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Tue Dec 28 12:44:59 2004 => File C:\WINDOWS\NDNuninstall4_88.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Tue Dec 28 12:45:00 2004 => File C:\WINDOWS\NDNuninstall4_94.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Tue Dec 28 12:45:00 2004 => File C:\WINDOWS\NDNuninstall5_20-1.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Tue Dec 28 12:45:00 2004 => File C:\WINDOWS\NDNuninstall5_40.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Tue Dec 28 12:45:00 2004 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Tue Dec 28 12:45:01 2004 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Tue Dec 28 12:45:01 2004 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
usw.....ect.....
.................