Volksbank-Raiffeisenbank Mail und New-Dot.Net

#1 Hallo,

gestern hatte ich eine Email von der Volksbank-Raiffeisenbank bekommen, bei der ich kein Kunde bin. Ich dachte mir schon dass damit etwas faul ist und wollte eigentlich den Link nur kopieren, dabei hatte ich aber den Link ausgelöst und kam auf eine Seite wo man seine TANs hätte eingeben müssen.

Gleichzeitig öffnete sich aber ein kleines Fenster und ein Download wurde initiiert - angeblich koreanische Schrift, den Download konnte ich nicht mehr verhindern.

Der Durchlauf meines Virenschutzprogrammes(AntiVir) ergab, dass der Virus Phish/CitiBKfraud.R gefunden und gelöscht wurde.

Soweit war ja alles in Ordnung... nur kurz darauf schickte ich eine private Mail weg, die ich dann aber(vorerst) nicht im Ordner "Gesendete Mails" finden konnte. Leicht irritiert schaute ich auf den Monitor und bemerkte dass der Icon von ZoneAlarm nicht mehr da war und auch nicht mehr neu installiert werden konnte. Darauf setzte ich die Systemwiederherstellung um einen Punkt zurück, was aber nichts brachte. Danach nochmal zurück in die Systemwiederherstellung und genauer geschaut... ich fiel aus allen Wolken!

Da waren auf einmal Systemwiederherstellungspunkte(SoftwareDistribution 2.0)gesetzt die vorher niemals da waren... und der Hammer ein Systemwiederherstellungspunkt ganz am Anfang für das Jahr 2000(12.Nov), meinen PC habe ich aber erst seit 3Monaten!!!

Meine Systemzeit war auch auf das Jahr 2000 eingestellt gewesen... weswegen ich die Mail auch nicht zuerst gesehen hatte...war ganz unten.

Ich habe nun mit Search+Destroy gescannt und die Spyware Newdot.net wurde gefunden... soweit auch entfernt... bis auf den Eintrag
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\New.net Startup

Dieser lässt sich zwar auch entfernen wird aber nach jedem Neustart anscheinend wieder geladen, was wiederum bei jedem Neustart zu einer Fehlermeldung führt... etwa so:

Fehler beim Laden das Modul NewDot.Net wurde nicht gefunden irgend eine dll

Ich habe jetzt noch folgendes gemacht... weil ich das teilweise auch hier im Forum gelesen habe.

Neuer Scan mit aktueller VDF-Datei .... scheint alles sauber zu sein
Deaktivierung(also Löschung) aller Systemwiederherstellungspunkte
Download und Scan mit HiJackThis... Logdatei füge ich unten an.

Kann mir jemand sagen, was mir hier überhaupt passiert ist?!... dass Spyware einen solch starken Einfluß auf ein System hat war mir bisher nicht bekannt!

Vielen Dank für Eure Hilfe!

Lomi

Hier die Log-Datei:

Logfile of HijackThis v1.99.1
Scan saved at 16:18:04, on 13.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\ALCMTR.EXE
C:\Programme\Babylon\Babylon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\VSTASCAN\vsaccess.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Downloads\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.globalserv.de/pages/heartsite.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\WINDOWS\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 PE\MountIt.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125064510626
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD1AFE00-110E-4E2B-9E51-B639A790C69E}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Edit:
Ich wollte nur kurz anmerken, dass der o.g. Wiederherstellungspunkt
Software Distribution 2.0 von OpenOffice 2.0 stammen könnte und somit mit dem Virus bzw. mit dem eigenartigen Verhalten des Systems dann nichts zu tun hätte.

Lomi

#2 Hallo Lomi

öffne das HijackThis -- Button "scan" -- vor den Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\WINDOWS\NEWDOT~1.DLL,NewDotNetStartup

PC neustarten

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

kopiere hier die 4 Logs (in diesem Fall...bis 2002)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabrina,

vielen Dank für Deine Antwort!

Den von Dir genannten NewDotNet-Eintrag hatte ich schon gestern versucht mit HiJackThis zu löschen(im abgesicherten Modus). Das Problem ist, dass nach dem Neustart des PC's mir Spybot zwar meldet, dass ein wichtiger Registrierungseintrag soeben gelöscht wurde, mir wenige Sekunden später Spybot-Resident aber dann meldet, dass eben diese Änderung von Spybot selbst verweigert wird(Man dreht sich also im Kreis).

Ich habe den Spybot-Support schon deswegen angeschrieben... wird aber bis zur Antwort wohl noch ein Weilchen dauern. - Im Moment sähe ich nur die Möglichkeit Spybot zu deinstallieren, mit HiJackThis zu löschen und dann wieder Spybot installieren... oder wüsstest Du noch eine Möglichkeit?!

Den Windows TMP-Ordner habe ich mit ClearProg gelöscht, es bleiben dann aber im Ordner noch ein paar Dateien und Ordner zurück.

Es sind dies die Dateien Perflib_Perfdata_1e8.dat und ZLT02b53.TMP (lässt sich nicht löschen wahrscheinlich weil Zonealarm aktiv) sowie die Ordner:_ISTMP0.DIR(leer), BroadCom mit Unterordnern für Windows 2000, 98SE, ME, XP, wobei der für XP(mein genutztes Betriebssystem) diese Dateien enthält: b57win32.cat, b57win32.inf, b57xp32.sys.

Was meinst Du, soll ich diese Dateien von Hand löschen oder besser belassen?!

Es wird wahrscheinlich erst Sinn machen die 4Logs zu generieren wenn die beiden o.g. Löschvorgänge vollzogen sind?... kann sie aber auch gleich - falls von Dir gewünscht - anschließend ins Forum stellen.

Gruß
Lomi

#4 fixe mit dem HijackThis:
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\WINDOWS\NEWDOT~1.DLL,NewDotNetStartup

neustarten

poste die 4 Logs gleich, ich wollte nur sichergehen, dass der Ordner mit den temporaeren Files nicht so vollgestopft ist
__________
MfG Sabina

rund um die PC-Sicherheit

#5 ...so, hier sind die Logs... hoffe dass ich das richtig gemacht habe!... spannende Sache! ... Edit!...oder meintest Du von heute bis 2002?! ... ich hab's genau umgekehrt gemacht!
Lomi


Verzeichnis von C:\WINDOWS\system32

20.12.2002 12:02 1.077.336 MSCOMCTL.OCX
06.12.2002 14:17 61.440 SunFilt.dll
12.07.2002 12:53 569.344 CDDBControlRoxio.dll
28.06.2002 13:19 729.088 _Source21.Dll
28.06.2002 13:19 120.320 winvocon.dll
28.06.2002 13:19 200.704 vortm.dll
28.06.2002 13:19 56.832 vidsink.ax
28.06.2002 13:18 91.136 jpeglib.dll
28.06.2002 13:18 308.736 fpxlib.dll
28.06.2002 13:18 212.992 DSCam.Dll
27.06.2002 08:32 708.608 CDDBUIRoxio.dll
16.05.2002 13:05 98.304 CddbLangIT.dll
10.05.2002 09:58 102.400 CddbLangFR.dll
22.01.2002 08:29 106.496 CddbLangDE.dll
22.01.2002 08:22 102.400 CddbLangES.dll
09.11.2001 16:01 24.064 ativcoxx.dll
18.08.2001 03:55 244.224 camext20.ax
05.12.2000 23:00 209.608 TABCTL32.OCX
03.12.2000 22:18 237.568 cd_clint.dll_tobedeleted
28.11.2000 09:45 139.264 cd_load.exe
12.11.2000 23:10 158.752 FNTCACHE.DAT
07.11.2000 16:34 446.464 HHActiveX.dll
07.11.2000 09:54 1.044.480 ROBOEX32.DLL
14.07.2000 23:00 101.888 VB6STKIT.DLL
26.06.2000 06:44 89.600 wmidx.ocx
22.05.2000 15:58 608.448 comctl32.ocx
21.05.2000 23:00 203.976 RICHTX32.OCX
21.05.2000 23:00 140.488 COMDLG32.OCX
01.05.2000 18:12 49.152 INETWH32.DLL
03.04.2000 16:52 94.208 msstkprp.dll
03.04.2000 16:52 164.144 comct232.ocx
24.03.2000 11:01 36.864 c2aspi.dll
20.12.1999 12:16 15.360 asfsipc.dll
20.12.1999 12:16 8.704 npwmsdrm.dll
13.08.1999 06:00 51.712 USB.ocx
13.08.1999 06:00 54.272 Seri*hier nicht!*.ocx
13.08.1999 06:00 47.104 Wh2Robo.dll
13.08.1999 06:00 53.760 Infrared.ocx
12.04.1999 22:00 415.504 MSREPL35.DLL
30.06.1998 06:13 287.504 msxbse35.dll
30.06.1998 06:13 165.648 mstext35.dll
30.06.1998 06:13 252.176 msrd2x35.dll
30.06.1998 06:13 250.128 mspdox35.dll
30.06.1998 06:13 166.160 msltus35.dll
30.06.1998 06:13 1.045.776 msjet35.dll
30.06.1998 06:13 250.128 msexcl35.dll
22.06.1997 23:06 123.664 msjint35.dll
22.06.1997 23:06 24.848 msjter35.dll
12.06.1997 17:34 368.912 vbar332.dll
1866 Datei(en) 340.581.722 Bytes
0 Verzeichnis(se), 151.972.700.160 Bytes frei

==========================================================

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

14.11.2005 13:49 2.048.000 AcrC.tmp
14.11.2005 13:20 426 AcrA.tmp
2 Datei(en) 2.048.426 Bytes
0 Verzeichnis(se), 151.972.732.928 Bytes frei

==========================================================


Verzeichnis von C:\WINDOWS

29.03.2004 17:23 90.112 unvise32.exe
20.03.2001 09:40 61.440 uninstbb.exe
16.01.2001 22:38 115.728 cdman.exe
16.01.2001 22:38 32.784 UNARJ.DLL
08.05.2000 05:20 45.056 trayhook.dll
08.05.2000 05:20 20.480 sointgr.exe
16.03.2000 09:49 199.696 p1220_16.dll
15.03.2000 16:51 140.320 p1220_32.dll
16.11.1999 20:51 555.008 http-analyzestopp24.exe
13.08.1999 10:04 166.432 vud32.dll
05.05.1999 16:32 44.640 vista30.loc
30.03.1999 06:59 3.731 vsaccess.loc
13.03.1999 08:45 21.504 imgtortf.exe
12.01.1999 10:39 6.656 delttsul.exe
29.10.1998 15:45 306.688 IsUninst.exe
21.10.1998 16:43 328.704 IsUn0407.exe
28.07.1998 15:32 30.208 uxmail32.dll
18.06.1998 10:20 68.608 vufile32.dll
04.06.1998 04:51 47.616 ucmsp_32.dll
04.05.1998 10:21 323.584 http-analyze.exe
16.04.1998 09:13 64.845 pmmail.exe
06.02.1998 21:37 299.520 uninst.exe
20.01.1998 02:42 133.120 sprof32.dll
13.01.1998 07:23 196.608 kpcp32.dll
14.10.1997 00:56 37.376 kpsys32.dll
15.07.1993 23:30 104.448 twain32.dll
166 Datei(en) 42.630.292 Bytes
0 Verzeichnis(se), 151.972.728.832 Bytes frei

============================================================


Verzeichnis von C:\

14.11.2005 16:22 0 sys.txt
14.11.2005 16:21 8.461 system.txt
14.11.2005 16:21 339 systemtemp.txt
14.11.2005 16:19 91.128 system32.txt
14.11.2005 12:58 1.610.612.736 pagefile.sys
13.11.2005 22:30 211 boot.ini
03.11.2005 22:29 402.211 winter.log
22.10.2005 11:58 0 tracefinal.txt
07.09.2005 22:16 52 data.dat
25.08.2005 20:51 90 csb.log
25.08.2005 20:41 0 CONFIG.SYS
25.08.2005 20:41 0 AUTOEXEC.BAT
25.08.2005 20:41 0 MSDOS.SYS
25.08.2005 20:41 0 IO.SYS
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
17 Datei(en) 1.611.418.928 Bytes
0 Verzeichnis(se), 151.972.732.928 Bytes frei

#6 ich kann das erst heute Abend durchsehen....jetzt habe ich keine Zeit mehr......

inzwischen scanne mit Kaspersky und poste mir den scanbericht
http://virus-protect.org/onlinescan.html

+
wende dieses Tool an und poste ebenfalls den scanbericht
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Ja, danke! Ich mach das dann so... wollt nur noch wissen(habe den Beitrag vorher noch kurz editiert) ob Du mit dem bis 2002 die rückwirkende Auflistung meintest, also ab 2002 zurück oder von heute bis 2002?!... ggf. schicke ich die Logs nochmal.

Tschüss
Lomi

#8 nun ja....du hast Dateien von 1997 ...es ist alles verquer......scanne und heute Abend schaue ich noch mal alles durch

-----------------------------------------------------------

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\delttsul.exe
C:\WINDOWS\uninstbb.exe


-------------

29.03.2004 17:23 90.112 unvise32.exe ??????????http://securityresponse.symantec.com/avcenter/venc/data/spyware.spytech.b.html

Cydoor
03.12.2000 22:18 237.568 cd_clint.dll_tobedeleted
28.11.2000 09:45 139.264 cd_load.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Wie meinst Du das mit der unvise.exe und den Cydoor-Dateien?!... letztere hängen glaube ich mit Babylon zusammen und sind glaube ich bei Spybot in Quarantäne.
Soll ich die löschen?!... vielleicht funktioniert Babylon dann nicht mehr?!...
Nachstehend die Virenscans, wobei diese soweit ich gesehen habe keinen Virus gefunden haben.

Interessant könnte allerdings die Datei "uninstbb.exe sein", welche von einem Virensuchdienst folgenden Vermerk bekam;

NOD32v2 1.1284 11.11.2005 probably unknown NewHeur_PE virus

Die Scans sind zu lang und passen nicht hier rein... habe sie bei mir online gestellt... die 4 Log-Dateien sind dort auch ungekürzt vorhanden.

Ich denke man könnte mit dem Zustand meines rechners leben?!

Link: http://www.sound-emotion.com/scan/index.html

Lomi

#10 C:\WINDOWS\system32\sporder.dll muss geleoscht werden, steht mit new.net in Verbindung

auch loeschen:
C:\WINDOWS\NDNuninstall6_98.exe
C:\WINDOWS\system32\cd_clint.dll_tobedeleted
C:\WINDOWS\system32\cd_load.exe

alles ander kannst du so lassen, wie es ist. (uninstbb.exe scheint zu Babylon zu gehoeren)
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Ok! Danke für die Hilfe!... Hab' alles gelöscht!
Schicke Dir gleich noch eine PM.
Gruß
Lomi