NewDotNet/NewDotNet.dll /A.7.Virus - keine Internetverbindung mehr ?

#1 newdotnet6_38.dll

Es gibt zur Zeit eine "Schwemme" von diesem WinsockVirus:
New.net ist eine sogenannte Foistware.

Wer mit der Anleitung nicht zurecht kommt...kann einen Thread
im Spyware & Browser Hijacker Support Forum
eroeffnen und das Log vom HijackThis+ Problembeschreibung posten.
http://virus-protect.org/hjtkurz.html

Zitat

http://yourhighness.eddys-domain.de/newdotnet.html
Eric L. Howes von Spywarewarrior.com, beschreibt Foistware wie folgt:
Kommerzielle Software, die "huckepack" mit einer Freeware ( Host - in der Biologie spricht man auch von einem Wirt ), installiert wird. Beispiele hierzu sind KaZaA und Grokster. Foistware ist eine Alternative zu Adware, blendet also haeufig Werbung ein und sammelt Marketing und demographische Daten fuer direkte Anwendung durch Marketing firmen. In solchen Faellen, sind diese Programme dann auch Spyware.

Diese Huckepackanwendungen werden als Foistware bezeichnet weil Sie nicht vom Anwender erwuenscht sind.
Obwohl die Benutzer technisch ( und legal ) der Installation dieser Foistwarekomponenten durch bestaetigen der EULA ( End User Licence Agreement ) waehrend der Installation zugestimmt haben, ist es vielen Benutzern nicht bewusst welche Foistware Anwendungen Sie mit diesen Kostenlosen Programmen mitinstallieren.

Zitat

Ist New.net erst einmal installiert, so laeuft dieses im Hintergrund, in der Registrierung. Die New.net Anwendung ist besser bezeichnet als Betriebssystem Plugin, durch die Art und Weise wie es sich in die Netzwerkeinstellungen einbindet ( Windows Sockets ), so dass alle DNS Anfragen durch die New.net DLL geleitet werden.

Wenn Sie also diese DLL entfernen, beschaedigen Sie mit großer Wahrscheinlichkeit Ihre Internetverbindung

Falls ein Virenscanner die newdotnet6_38.dll schon geloescht hat und keine Internetverbindung mehr zustande kommt, bringe WinsockFix auf den PC und wende das Tool an:
WinsockFix
fuer alle Betriebssysteme
http://www.winsockfix.nl/
http://www.tacktech.com/display.cfm?ttid=257

ist die newdotnet6_38.dll noch aktiv, lade:
LSPfix.exe
http://www.spychecker.com/program/lspfix.html
http://virus-protect.org/lspfix.html

hake an: "I know what Im doing"
und loesche die newdotnet6_38.dll (kann auch eine andere Nummer haben)
(eventuell musst du die dll von links nach rechts bringen) --> Remove

öffne das HijackThis-- Button "scan" -- Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll (file missing)

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL


O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {FD7B5CB1-8DF0-47E6-AA07-41F1F85A1681} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\2.bin\IMESHBAR.DLL


O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - c:\Programme\QuickSearch\QuickSearchBar3_28.dll (file missing)
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - c:\Programme\QuickSearch\QuickSearchBar3_28.dll (file missing)
O4 - HKLM\..\Run: [New.net Startup] rundll32 c:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

PC neustarten

Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"

deinstallieren: New.net ,QuickSearch (QuickSearchBar),iMeshBar,MyWay

CCleaner -- loesche alle *temp-Datein
http://virus-protect.org/temp.html

Ewido (scannen)
http://virus-protect.org/ewido.html

loeschen: (falls noch vorhanden)
C:\WINDOWS\NDNuninstall4_88.exe
C:\WINDOWS\NDNuninstall5_48.exe
C:\WINDOWS\NDNuninstall4_94.exe
C:\WINDOWS\NDNuninstall5_40.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#2 das ist eine neue Version newdotnet6_90.dll

mache folgendes:

LSPfix.exe
http://www.spychecker.com/program/lspfix.html

hake an: "I know what Im doing"--Remove
und loesche die newdotnet6_90.dll
(eventuell musst du die dll von links nach rechts bringen)

dann mache eine Systemwiederherstellung ...weit zurueck und loesche alles mit newdotnet (denn unter programme ist es nicht mit aufgefuehrt, man kann es also nicht deinstallieren.....)

dann ueberpruefe auch noch mal (nach der Systemwiederherstellung), ob die newdotnet6_90.dll noch mal geloescht werden muss und ob es noch eine sporder.dll auf dem PC gibt....

dann poste das neue Log vom HijackThis, scanne vorher mit ewido
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hallo sabine und alle anderen,ich stelle mich kurz vor bin 45 jahre komme aus wien und kenne mich sehr wenig aus. bis jetzt hat alles mein sohn am pc erledigt viren entfernen und so weiter. jetzt muß ich alles machen bzhw. lass es machen. nun zu meinem problem: hab mir, wie auch immer, 2 adwares eingeholt der erste ist new dot net da hast du schon sehr ausführlich beschrieben, wie man den übeltäter entfernen muß (wird von einem bekannten gemacht) am wochende. das zweite problem ist: ich hab auch noch den UCMore adware am rechner. meine frage: kannst du mir da auch ganz genau beschreiben wie man den entfernt????? beide wurden nur über symantec onlinecheck festgestellt. danke für deine/eure hilfe

#4 Hallo@bigi2

sage dem Bekannte, der den PC saeubert, er soll folgendes loeschen:

Creates the following files in %ProgramFiles%\TheSearchAccelerator:

* INSTALL.LOG
* IUCmore.dll
* logo.ico
* rss_html_template.html
* toolbar.cfg
* UCMTSAIE.dll
* UNWISE.EXE
http://securityresponse.symantec.com/avcenter/venc/data/adware.ucmore.html

der Counterspy erledigt das auch und reinigt auch die Registry
http://virus-protect.org/counterspy.html

nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu
__________
MfG Sabina

rund um die PC-Sicherheit

#5 hallo sabine, das ist sehr nett für die prompte antwort,danke!!!!! sag ich ihm !übrigens super das es dieses forum gibt ich schreibe am sonntag nochmals wies funktioniert hat mfg bigi2 aja noch eine frage hab ich: kann man diese beiden anwendungen (newdot net und ucmore entfernungen) über remoteunterstützung auch machen oder geht das nur vor ort am pc denn dann müßte der bekannt nicht zu mir kommen.
mfg bigi2

#6 ich muss wissen, welche von den new.net-Verseuchungen es ist

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hallo sabine genaue bezeichnung ist:
C\Programme\NewDotNet\newdotnet6_98.dll ist infiziert mit Adware.NDotNet

ich geh jetzt arbeiten, und komme wieder um ca 20 uhr danke tschüssi bigi2

#8 in diesem Fall musst du abarbeiten:

Zitat

das ist eine neue Version newdotnet6_98.dll

mache folgendes:

LSPfix.exe
http://www.spychecker.com/program/lspfix.html

hake an: "I know what Im doing"--Remove
und loesche die newdotnet6_98.dll
(eventuell musst du die dll von links nach rechts bringen)

dann mache eine Systemwiederherstellung ...weit zurueck und loesche alles mit newdotnet (denn unter programme ist es nicht mit aufgefuehrt, man kann es also nicht deinstallieren.....)

dann ueberpruefe auch noch mal (nach der Systemwiederherstellung), ob die newdotnet6_98.dll noch mal geloescht werden muss und ob es noch eine sporder.dll auf dem PC gibt....

dann poste das neue Log vom HijackThis, scanne vorher mit ewido
http://virus-protect.org/ewido.html

__________
MfG Sabina

rund um die PC-Sicherheit

#9 hallo sabine, danke für deine neuerliche hilfe, werds mal morgen alleine versuchen, denn mein bekannter weis noch nicht ob er kommen kann. aber du hast das so super beschrieben das ich es vielleicht alleine kann. falls nicht, gibts vielleicht eine möglichkeit telefonischen kontakt mit dir aufzunehmen ich könnte dich anrufen oder bist du im skype???? aber nur wenn du wirklich willst aufzwängen möchte ich nix. falls möglich kannst du mir ja die nummer oder den skypenamen mailen, im forum wär es vielleicht nicht so gut. mfg bigi2

#10 nein, das geht leider nicht. wenn was ist, dann schreibe es hier. (sonst koennte ich mich vor "Privatanleitungen " nicht mehr retten, wenn ich mich auf deine Bitte einlassen wuerde )
__________
MfG Sabina

rund um die PC-Sicherheit

#11 hallo sabine,
ok versteh ich. dann bitte erläutere mir wie ich die dll von links nach rechts bringen kann,
(oder erübrigt sich die frage ,wenn ich lspfix.exe offen habe)
dann steht da: mach eine systemwiederherstellung ....wie geht das??( ich hab in systemsteuerung----system----- eine registerkarte systemwiederherstellung ---- und da kann ich ein hackerl machen bei deaktivieren, aber zeiten zurück kann ich keine setzen
und dann soll ich alles löschen mit new dot net---
das heißt für mich ich suche in ordner und dateien new dot net und lösche.
dann soll ich nochmals überprüfen ob newdotnet-98dll gelöscht werden muß (wieder in suchen ordner und dateien?!) und auch in suchen in ordner und dateien sporder.dll und dann löschen
dann poste ich (ich denke das heißt kopieren und ins forum stellen) das neue log vom hijack vorher scannen mit ewido. ok
muß ich zwischendurch auch den pc neu starten ????
ich weiß, ich strapaziere deine nerven aber ich bin ein wirklicher laie und drum frag ich so dumm.
falls da jetz bei meiner beschreibung was falsch war bitte step by step anleitung wirklich herzlichen dank und freundliche grüße bigi2.
ps: heute am abend gehts los mit der vernichtung des feindlichen gegenübers (hahahah hoffentlich schaff ichs) danke bigi2

#12 Systemwiederherstellung
Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen"
Dort wählst du: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter
Die fett angezeigten Daten im Kalender zeigen dir gesetzte Wiederherstellungspunkte.
Waehle den Tag, der am weitesten zurueckliegt. Der PC wird neustarten.

danach kopiere hier das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#13 supi danke eine frage noch verlier ich da auch meine dateien im word (meine tochter schreibt gerade eine diplomarbeit) also die sind in den eigenen dateien abgespeichert mfg bigi2

#14 diese Daten bleiben erhalten...dennoch...sichere sie vorher auf Diskette oder CD ....
__________
MfG Sabina

rund um die PC-Sicherheit

#15 hallo sabine so jetz hab ich alles gemacht, nur die systemwiederherstellung ging nicht ging nur bis zum 1 november zurück (durch meinen fehler) weil ich deaktiviert habe vor 2 tagen. mein problem mit den schillernden farben am desktop (mein desktop ist mehrfarbig schillernd) bin ich erst draufgekommen, dass ich probleme habe und lies es über onlinecheck v. symantec checken den rest kennst du ja, ich denke es ist jetzt wieder alles sauber aber mein problem mit den mehrfarbigen schillernden desktop besteht noch immer ich kopiere jetzt den hijack schaust du mal bitte danke mfg bigi2

Logfile of HijackThis v1.99.0
Scan saved at 21:13:50, on 04.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Dokumente und Einstellungen\Brigitte\Desktop\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [VoipBuster] "C:\Programme\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Programme\Spyware Cleaner\SpywareCleaner.Exe" /boot
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B901420F-0917-44CC-8962-BF9EB4920D39}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: McAfee.com McShield - Unknown - c:\PROGRA~1\mcafee.com\vso\mcshield.exe (file missing)
O23 - Service: McAfee SecurityCenter Update Manager - Unknown - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe (file missing)
O23 - Service: McAfee.com VirusScan Online Realtime Engine - Unknown - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe