Volksbank-Raiffeisenbank Mail und New-Dot.NetThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
13.11.2005, 17:03
...neu hier
Beiträge: 6 |
||
|
||
14.11.2005, 13:47
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo Lomi
öffne das HijackThis -- Button "scan" -- vor den Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\WINDOWS\NEWDOT~1.DLL,NewDotNetStartup PC neustarten CCleaner http://virus-protect.org/temp.html lösche alle temp-Dateien kopiere hier die 4 Logs (in diesem Fall...bis 2002) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.11.2005, 16:08
...neu hier
Themenstarter Beiträge: 6 |
#3
Hallo Sabrina,
vielen Dank für Deine Antwort! Den von Dir genannten NewDotNet-Eintrag hatte ich schon gestern versucht mit HiJackThis zu löschen(im abgesicherten Modus). Das Problem ist, dass nach dem Neustart des PC's mir Spybot zwar meldet, dass ein wichtiger Registrierungseintrag soeben gelöscht wurde, mir wenige Sekunden später Spybot-Resident aber dann meldet, dass eben diese Änderung von Spybot selbst verweigert wird(Man dreht sich also im Kreis). Ich habe den Spybot-Support schon deswegen angeschrieben... wird aber bis zur Antwort wohl noch ein Weilchen dauern. - Im Moment sähe ich nur die Möglichkeit Spybot zu deinstallieren, mit HiJackThis zu löschen und dann wieder Spybot installieren... oder wüsstest Du noch eine Möglichkeit?! Den Windows TMP-Ordner habe ich mit ClearProg gelöscht, es bleiben dann aber im Ordner noch ein paar Dateien und Ordner zurück. Es sind dies die Dateien Perflib_Perfdata_1e8.dat und ZLT02b53.TMP (lässt sich nicht löschen wahrscheinlich weil Zonealarm aktiv) sowie die Ordner:_ISTMP0.DIR(leer), BroadCom mit Unterordnern für Windows 2000, 98SE, ME, XP, wobei der für XP(mein genutztes Betriebssystem) diese Dateien enthält: b57win32.cat, b57win32.inf, b57xp32.sys. Was meinst Du, soll ich diese Dateien von Hand löschen oder besser belassen?! Es wird wahrscheinlich erst Sinn machen die 4Logs zu generieren wenn die beiden o.g. Löschvorgänge vollzogen sind?... kann sie aber auch gleich - falls von Dir gewünscht - anschließend ins Forum stellen. Gruß Lomi |
|
|
||
14.11.2005, 16:11
Ehrenmitglied
Beiträge: 29434 |
#4
fixe mit dem HijackThis:
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\WINDOWS\NEWDOT~1.DLL,NewDotNetStartup neustarten poste die 4 Logs gleich, ich wollte nur sichergehen, dass der Ordner mit den temporaeren Files nicht so vollgestopft ist __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.11.2005, 16:27
...neu hier
Themenstarter Beiträge: 6 |
#5
...so, hier sind die Logs... hoffe dass ich das richtig gemacht habe!... spannende Sache! ... Edit!...oder meintest Du von heute bis 2002?! ... ich hab's genau umgekehrt gemacht!
Lomi Verzeichnis von C:\WINDOWS\system32 20.12.2002 12:02 1.077.336 MSCOMCTL.OCX 06.12.2002 14:17 61.440 SunFilt.dll 12.07.2002 12:53 569.344 CDDBControlRoxio.dll 28.06.2002 13:19 729.088 _Source21.Dll 28.06.2002 13:19 120.320 winvocon.dll 28.06.2002 13:19 200.704 vortm.dll 28.06.2002 13:19 56.832 vidsink.ax 28.06.2002 13:18 91.136 jpeglib.dll 28.06.2002 13:18 308.736 fpxlib.dll 28.06.2002 13:18 212.992 DSCam.Dll 27.06.2002 08:32 708.608 CDDBUIRoxio.dll 16.05.2002 13:05 98.304 CddbLangIT.dll 10.05.2002 09:58 102.400 CddbLangFR.dll 22.01.2002 08:29 106.496 CddbLangDE.dll 22.01.2002 08:22 102.400 CddbLangES.dll 09.11.2001 16:01 24.064 ativcoxx.dll 18.08.2001 03:55 244.224 camext20.ax 05.12.2000 23:00 209.608 TABCTL32.OCX 03.12.2000 22:18 237.568 cd_clint.dll_tobedeleted 28.11.2000 09:45 139.264 cd_load.exe 12.11.2000 23:10 158.752 FNTCACHE.DAT 07.11.2000 16:34 446.464 HHActiveX.dll 07.11.2000 09:54 1.044.480 ROBOEX32.DLL 14.07.2000 23:00 101.888 VB6STKIT.DLL 26.06.2000 06:44 89.600 wmidx.ocx 22.05.2000 15:58 608.448 comctl32.ocx 21.05.2000 23:00 203.976 RICHTX32.OCX 21.05.2000 23:00 140.488 COMDLG32.OCX 01.05.2000 18:12 49.152 INETWH32.DLL 03.04.2000 16:52 94.208 msstkprp.dll 03.04.2000 16:52 164.144 comct232.ocx 24.03.2000 11:01 36.864 c2aspi.dll 20.12.1999 12:16 15.360 asfsipc.dll 20.12.1999 12:16 8.704 npwmsdrm.dll 13.08.1999 06:00 51.712 USB.ocx 13.08.1999 06:00 54.272 Seri*hier nicht!*.ocx 13.08.1999 06:00 47.104 Wh2Robo.dll 13.08.1999 06:00 53.760 Infrared.ocx 12.04.1999 22:00 415.504 MSREPL35.DLL 30.06.1998 06:13 287.504 msxbse35.dll 30.06.1998 06:13 165.648 mstext35.dll 30.06.1998 06:13 252.176 msrd2x35.dll 30.06.1998 06:13 250.128 mspdox35.dll 30.06.1998 06:13 166.160 msltus35.dll 30.06.1998 06:13 1.045.776 msjet35.dll 30.06.1998 06:13 250.128 msexcl35.dll 22.06.1997 23:06 123.664 msjint35.dll 22.06.1997 23:06 24.848 msjter35.dll 12.06.1997 17:34 368.912 vbar332.dll 1866 Datei(en) 340.581.722 Bytes 0 Verzeichnis(se), 151.972.700.160 Bytes frei ========================================================== Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp 14.11.2005 13:49 2.048.000 AcrC.tmp 14.11.2005 13:20 426 AcrA.tmp 2 Datei(en) 2.048.426 Bytes 0 Verzeichnis(se), 151.972.732.928 Bytes frei ========================================================== Verzeichnis von C:\WINDOWS 29.03.2004 17:23 90.112 unvise32.exe 20.03.2001 09:40 61.440 uninstbb.exe 16.01.2001 22:38 115.728 cdman.exe 16.01.2001 22:38 32.784 UNARJ.DLL 08.05.2000 05:20 45.056 trayhook.dll 08.05.2000 05:20 20.480 sointgr.exe 16.03.2000 09:49 199.696 p1220_16.dll 15.03.2000 16:51 140.320 p1220_32.dll 16.11.1999 20:51 555.008 http-analyzestopp24.exe 13.08.1999 10:04 166.432 vud32.dll 05.05.1999 16:32 44.640 vista30.loc 30.03.1999 06:59 3.731 vsaccess.loc 13.03.1999 08:45 21.504 imgtortf.exe 12.01.1999 10:39 6.656 delttsul.exe 29.10.1998 15:45 306.688 IsUninst.exe 21.10.1998 16:43 328.704 IsUn0407.exe 28.07.1998 15:32 30.208 uxmail32.dll 18.06.1998 10:20 68.608 vufile32.dll 04.06.1998 04:51 47.616 ucmsp_32.dll 04.05.1998 10:21 323.584 http-analyze.exe 16.04.1998 09:13 64.845 pmmail.exe 06.02.1998 21:37 299.520 uninst.exe 20.01.1998 02:42 133.120 sprof32.dll 13.01.1998 07:23 196.608 kpcp32.dll 14.10.1997 00:56 37.376 kpsys32.dll 15.07.1993 23:30 104.448 twain32.dll 166 Datei(en) 42.630.292 Bytes 0 Verzeichnis(se), 151.972.728.832 Bytes frei ============================================================ Verzeichnis von C:\ 14.11.2005 16:22 0 sys.txt 14.11.2005 16:21 8.461 system.txt 14.11.2005 16:21 339 systemtemp.txt 14.11.2005 16:19 91.128 system32.txt 14.11.2005 12:58 1.610.612.736 pagefile.sys 13.11.2005 22:30 211 boot.ini 03.11.2005 22:29 402.211 winter.log 22.10.2005 11:58 0 tracefinal.txt 07.09.2005 22:16 52 data.dat 25.08.2005 20:51 90 csb.log 25.08.2005 20:41 0 CONFIG.SYS 25.08.2005 20:41 0 AUTOEXEC.BAT 25.08.2005 20:41 0 MSDOS.SYS 25.08.2005 20:41 0 IO.SYS 04.08.2004 13:00 4.952 bootfont.bin 04.08.2004 13:00 47.564 NTDETECT.COM 04.08.2004 13:00 251.184 ntldr 17 Datei(en) 1.611.418.928 Bytes 0 Verzeichnis(se), 151.972.732.928 Bytes frei Dieser Beitrag wurde am 14.11.2005 um 16:33 Uhr von Lomi editiert.
|
|
|
||
14.11.2005, 16:35
Ehrenmitglied
Beiträge: 29434 |
#6
ich kann das erst heute Abend durchsehen....jetzt habe ich keine Zeit mehr......
inzwischen scanne mit Kaspersky und poste mir den scanbericht http://virus-protect.org/onlinescan.html + wende dieses Tool an und poste ebenfalls den scanbericht http://virus-protect.org/multiavtool.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.11.2005, 16:49
...neu hier
Themenstarter Beiträge: 6 |
#7
Ja, danke! Ich mach das dann so... wollt nur noch wissen(habe den Beitrag vorher noch kurz editiert) ob Du mit dem bis 2002 die rückwirkende Auflistung meintest, also ab 2002 zurück oder von heute bis 2002?!... ggf. schicke ich die Logs nochmal.
Tschüss Lomi |
|
|
||
14.11.2005, 17:59
Ehrenmitglied
Beiträge: 29434 |
#8
nun ja....du hast Dateien von 1997 ...es ist alles verquer......scanne und heute Abend schaue ich noch mal alles durch
----------------------------------------------------------- Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html C:\WINDOWS\delttsul.exe C:\WINDOWS\uninstbb.exe ------------- 29.03.2004 17:23 90.112 unvise32.exe ??????????http://securityresponse.symantec.com/avcenter/venc/data/spyware.spytech.b.html Cydoor 03.12.2000 22:18 237.568 cd_clint.dll_tobedeleted 28.11.2000 09:45 139.264 cd_load.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.11.2005, 20:47
...neu hier
Themenstarter Beiträge: 6 |
#9
Wie meinst Du das mit der unvise.exe und den Cydoor-Dateien?!... letztere hängen glaube ich mit Babylon zusammen und sind glaube ich bei Spybot in Quarantäne.
Soll ich die löschen?!... vielleicht funktioniert Babylon dann nicht mehr?!... Nachstehend die Virenscans, wobei diese soweit ich gesehen habe keinen Virus gefunden haben. Interessant könnte allerdings die Datei "uninstbb.exe sein", welche von einem Virensuchdienst folgenden Vermerk bekam; NOD32v2 1.1284 11.11.2005 probably unknown NewHeur_PE virus Die Scans sind zu lang und passen nicht hier rein... habe sie bei mir online gestellt... die 4 Log-Dateien sind dort auch ungekürzt vorhanden. Ich denke man könnte mit dem Zustand meines rechners leben?! Link: http://www.sound-emotion.com/scan/index.html Lomi Dieser Beitrag wurde am 14.11.2005 um 21:18 Uhr von Lomi editiert.
|
|
|
||
15.11.2005, 00:41
Ehrenmitglied
Beiträge: 29434 |
#10
C:\WINDOWS\system32\sporder.dll muss geleoscht werden, steht mit new.net in Verbindung
auch loeschen: C:\WINDOWS\NDNuninstall6_98.exe C:\WINDOWS\system32\cd_clint.dll_tobedeleted C:\WINDOWS\system32\cd_load.exe alles ander kannst du so lassen, wie es ist. (uninstbb.exe scheint zu Babylon zu gehoeren) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.11.2005, 18:39
...neu hier
Themenstarter Beiträge: 6 |
||
|
||
gestern hatte ich eine Email von der Volksbank-Raiffeisenbank bekommen, bei der ich kein Kunde bin. Ich dachte mir schon dass damit etwas faul ist und wollte eigentlich den Link nur kopieren, dabei hatte ich aber den Link ausgelöst und kam auf eine Seite wo man seine TANs hätte eingeben müssen.
Gleichzeitig öffnete sich aber ein kleines Fenster und ein Download wurde initiiert - angeblich koreanische Schrift, den Download konnte ich nicht mehr verhindern.
Der Durchlauf meines Virenschutzprogrammes(AntiVir) ergab, dass der Virus Phish/CitiBKfraud.R gefunden und gelöscht wurde.
Soweit war ja alles in Ordnung... nur kurz darauf schickte ich eine private Mail weg, die ich dann aber(vorerst) nicht im Ordner "Gesendete Mails" finden konnte. Leicht irritiert schaute ich auf den Monitor und bemerkte dass der Icon von ZoneAlarm nicht mehr da war und auch nicht mehr neu installiert werden konnte. Darauf setzte ich die Systemwiederherstellung um einen Punkt zurück, was aber nichts brachte. Danach nochmal zurück in die Systemwiederherstellung und genauer geschaut... ich fiel aus allen Wolken!
Da waren auf einmal Systemwiederherstellungspunkte(SoftwareDistribution 2.0)gesetzt die vorher niemals da waren... und der Hammer ein Systemwiederherstellungspunkt ganz am Anfang für das Jahr 2000(12.Nov), meinen PC habe ich aber erst seit 3Monaten!!!
Meine Systemzeit war auch auf das Jahr 2000 eingestellt gewesen... weswegen ich die Mail auch nicht zuerst gesehen hatte...war ganz unten.
Ich habe nun mit Search+Destroy gescannt und die Spyware Newdot.net wurde gefunden... soweit auch entfernt... bis auf den Eintrag
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\New.net Startup
Dieser lässt sich zwar auch entfernen wird aber nach jedem Neustart anscheinend wieder geladen, was wiederum bei jedem Neustart zu einer Fehlermeldung führt... etwa so:
Fehler beim Laden das Modul NewDot.Net wurde nicht gefunden irgend eine dll
Ich habe jetzt noch folgendes gemacht... weil ich das teilweise auch hier im Forum gelesen habe.
Neuer Scan mit aktueller VDF-Datei .... scheint alles sauber zu sein
Deaktivierung(also Löschung) aller Systemwiederherstellungspunkte
Download und Scan mit HiJackThis... Logdatei füge ich unten an.
Kann mir jemand sagen, was mir hier überhaupt passiert ist?!... dass Spyware einen solch starken Einfluß auf ein System hat war mir bisher nicht bekannt!
Vielen Dank für Eure Hilfe!
Lomi
Hier die Log-Datei:
Logfile of HijackThis v1.99.1
Scan saved at 16:18:04, on 13.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\ALCMTR.EXE
C:\Programme\Babylon\Babylon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\VSTASCAN\vsaccess.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Downloads\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.globalserv.de/pages/heartsite.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\WINDOWS\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 PE\MountIt.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125064510626
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD1AFE00-110E-4E2B-9E51-B639A790C69E}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Edit:
Ich wollte nur kurz anmerken, dass der o.g. Wiederherstellungspunkt
Software Distribution 2.0 von OpenOffice 2.0 stammen könnte und somit mit dem Virus bzw. mit dem eigenartigen Verhalten des Systems dann nichts zu tun hätte.
Lomi