Problem mit NewDotNet

#1 hallo, hab probleme mit Newdotnet. Könnt ihr mir eine Schritt für Schritt Anleitung geben? Kenn mich nicht mit PCs so gut aus, wäre echt nett.

Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:01:45, on 07.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Windows Media Player\wmplayer.exe
D:\Programme\Overnet\overnet.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\SharedFolder\FriefoxDownload 2006\HijckThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Overnet] D:\Programme\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O17 - HKLM\System\CCS\Services\Tcpip\..\{228EBFDF-6331-4BC4-8716-0105696301C6}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Danke im Voraus

#2 chiburek

LSPfix
http://www.spychecker.com/program/lspfix.html

hake an: "I know what Im doing"--Remove
und loesche die newdotnet7_22.dll
(eventuell musst du die dll von links nach rechts bringen)

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke Sabina, echt toll euer Service . Aber ich glaube ich habe was falsch gemacht . Denn der Ordner exestiert noch in Programmordner, soll ich den manuell löschen??

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E098-8BBC

Verzeichnis von C:\WINDOWS\system32

07.02.2006 18:45 43.217 nvapps.xml
07.02.2006 15:43 8.464 sporder.dll
06.02.2006 17:24 34.064 lhacm.acm
05.02.2006 18:09 0 nmp.log
05.02.2006 18:09 0 _nvidia_xxx_.log
05.02.2006 18:03 13.646 wpa.dbl
05.02.2006 18:01 5.922 app_filter_ui.log
05.02.2006 18:00 16.832 amcompat.tlb
05.02.2006 18:00 23.392 nscompat.tlb
05.02.2006 17:58 13.646 wpa.bak
18.01.2006 13:05 57.344 avsda.dll

Verzeichnis von C:\DOKUME~1\PiD\LOKALE~1\Temp

Verzeichnis von C:\WINDOWS

07.02.2006 18:44 0 0.log
07.02.2006 18:44 2.048 bootstat.dat
07.02.2006 18:43 3.154 SchedLgU.Txt
07.02.2006 18:43 4.332 WindowsUpdate.log
07.02.2006 15:46 183.296 NDNuninstall7_22.exe
07.02.2006 15:43 50.688 NDNuninstall6_38.exe
07.02.2006 15:13 538.134 h_eJay5.inf
06.02.2006 20:47 465.294 setupapi.log
06.02.2006 20:47 316.640 WMSysPr9.prx


Verzeichnis von C:\

07.02.2006 18:51 0 sys.txt
07.02.2006 18:51 4.468 system.txt
07.02.2006 18:50 131 systemtemp.txt
07.02.2006 18:48 92.572 system32.txt
07.02.2006 18:44 1.610.612.736 pagefile.sys
07.02.2006 15:13 0 data.txt
05.02.2006 18:19 8 DFIMB.DAT
01.01.2003 01:35 211 boot.ini
01.01.2003 01:10 47.564 NTDETECT.COM
01.01.2003 01:10 251.184 ntldr
01.01.2003 01:04 0 MSDOS.SYS
01.01.2003 01:04 0 CONFIG.SYS
01.01.2003 01:04 0 IO.SYS
01.01.2003 01:04 0 AUTOEXEC.BAT
18.08.2001 13:00 4.952 bootfont.bin

#4 chiburek

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll (falls es noch da ist...ich hoffe nicht)
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s

PC neustarten

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\NDNuninstall7_22.exe
C:\WINDOWS\NDNuninstall6_38.exe
C:\WINDOWS\h_eJay5.inf

PC neustarten

deinstalliere--> NewDotNet

ewido (scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 C:\WINDOWS\h_eJay5.inf ist ein Programm womit man seine eigene Musik machen kann. Muss ich nicht löschen oder?

#6 nein...nicht loeschen...ich habe nur gedacht, dass es zur Malware gehoert...weil es zur gleichen Zeit geladen wurde
__________
MfG Sabina

rund um die PC-Sicherheit

#7 ---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 20:03:38, 07.02.2006
+ Report-Checksumme: DD74DF70

+ Scanergebnis:

C:\WINDOWS\NDNuninstall7_22.exe -> Adware.NewDotNet : Gesäubert mit Backup
C:\Dokumente und Einstellungen\PiD\Cookies\pid@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\PiD\Cookies\pid@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup


::Report Ende

EDIT: Es scheint jetzt alles sauber zu sein . Vielen, vielen, vielen Dank...