Ich werde das NewDotNet7_22.dll nichtmehr los

#1 Hallo Gemeinde...
Nachdem ich nun wirklich viel versucht habe weiß ich nichtmehr weiter.
Ich hoff ihr könnt mir helfen.
Hab dieses elende NewDotNet-Problem und werde die 7_22.dll einfach nicht los.

Mein Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 06:26:05, on 27.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\ewido anti-malware\ewidoctrl.exe
D:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\WLTRAY.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
D:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
D:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\I8kfanGUI\I8kfanGUI.exe
D:\PROGRA~1\ICQPlus\vplus.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\ICQ\ICQ.exe
D:\Programme\Mozilla Thunderbird\thunderbird.exe
G:\zip\unzip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://bigplan.netfirms.com/realy/lan
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\System32\WLTRAY
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MOD] D:\Programme\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [UnlockerAssistant] D:\Programme\Unlocker\UnlockerAssistant.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [i8kfangui] D:\Programme\I8kfanGUI\I8kfanGUI.exe /startup
O4 - HKCU\..\Run: [ICQ Plus] D:\PROGRA~1\ICQPlus\vplus.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ] D:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E58AEE8E-5C10-4917-92A6-B1A77303C7B6}: NameServer = 62.104.64.3,194.97.3.83
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

Was muß ich machen, damit das Ding endlich verschwindet??

Grüße
Chris

#2 Hallo MMfreak.
Willkommen im Forum.

Hast du schon einmal daran geadacht den SP2 zu installieren?

Auf jedem Fall solltest du mal den cleanup drüber jagen.
http://virus-protect.org/cleanup.html
So einstellen wie beschrieben.

Und dann noch Ewido:
Natürlich mit den neusten updates.

Und dann noch mit kaspersky

http://www.kaspersky.com/virusscanner

Danach von beiden bitte den Report posten.

Hab ich gerade gefunden:

http://board.protecus.de/t9012.htm

http://board.protecus.de/t9373.htm
__________
Mfg Aicalico

#3 MMfreak

ich schaue mal nach:

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Also. Erstmal Danke für Euere Hilfe. Leider bin ich noch nicht viel weitergekommen.
Cleanup hab ich gamacht, aber die NewDotNet .dll ist immernoch da.
Ewido meldet permanent "Infiziertes Objekt gefunden" Infektion: Adware.NewDotNet,
aber wenn ich auf säubern drücke nützt nichts. Die Datei wird nicht entfernt.

@Sabina:
Hier nun die Log-Files aus datfindbat:

Datentr„ger in Laufwerk C: ist Schatztruhe
Volumeseriennummer: FCF0-EFED

Verzeichnis von C:\WINDOWS\system32

27.02.2006 12:28 17.112 nvapps.xml
27.02.2006 12:28 43.668 nvModes.001
27.02.2006 06:14 8.464 sporder.dll
27.02.2006 03:03 2.055.936 kernel1.exe
26.02.2006 22:21 113.376 FNTCACHE.DAT
23.02.2006 12:23 2.184 wpa.dbl
15.02.2006 01:52 3.176 gafilter.sti
15.02.2006 00:17 4.808 gaeffect.sti
22.01.2006 18:21 319.488 lame_enc.dll
22.01.2006 17:11 34.308 BASSMOD.dll
22.01.2006 15:05 43.668 nvModes.dat
13.12.2005 10:44 7.006 jupdate-1.5.0_06-b05.log
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
02.11.2005 00:00 921.600 vorbisenc.dll
02.11.2005 00:00 188.416 vorbis.dll
02.11.2005 00:00 45.056 ogg.dll
02.11.2005 00:00 73.728 EmAcmMp3Wrapper.ax
02.11.2005 00:00 151.552 HDX4AACDecoder.ax
02.11.2005 00:00 503.808 hdx4_dshow.dll
02.11.2005 00:00 225.280 HDX4mp4Source.ax
02.11.2005 00:00 237.568 OggDS.dll
02.11.2005 00:00 147.456 HDX4AMRDecoder.ax
02.11.2005 00:00 1.060.864 MFC71.dll

Datentr„ger in Laufwerk C: ist Schatztruhe
Volumeseriennummer: FCF0-EFED

Verzeichnis von C:\DOKUME~1\KABAKN~1\LOKALE~1\Temp

27.02.2006 12:38 206 jusched.log
27.02.2006 12:30 16.384 ~DFA721.tmp
27.02.2006 12:30 512 ~DFA72D.tmp
27.02.2006 12:29 512 ~DF8D20.tmp
27.02.2006 12:29 16.384 ~DF8D0A.tmp
27.02.2006 12:29 16.384 ~DF63BE.tmp
6 Datei(en) 50.382 Bytes
0 Verzeichnis(se), 5.210.415.104 Bytes frei

Datentr„ger in Laufwerk C: ist Schatztruhe
Volumeseriennummer: FCF0-EFED

Verzeichnis von C:\WINDOWS

27.02.2006 12:28 0 0.log
27.02.2006 12:28 159 wiadebug.log
27.02.2006 12:28 50 wiaservc.log
27.02.2006 12:27 2.048 bootstat.dat
27.02.2006 12:24 898.911 setupapi.log
26.02.2006 01:07 454 setuplog.txt
26.02.2006 00:18 771.584 logonui.exe
25.02.2006 15:04 183.296 NDNuninstall7_22.exe
17.02.2006 19:46 1.409 QTFont.for
17.02.2006 19:46 54.156 QTFont.qfn
16.02.2006 21:26 306 ULead32.ini
07.02.2006 14:06 39.200 Windows Update.log
04.02.2006 21:34 174.159 setupact.log
19.01.2006 17:18 155 winamp.ini
30.12.2005 02:02 648 win.ini
20.12.2005 11:57 107.132 UninstallFirefox.exe
20.12.2005 11:57 12.887 mozver.dat
04.11.2005 12:03 3.345 wmsetup.log

Datentr„ger in Laufwerk C: ist Schatztruhe
Volumeseriennummer: FCF0-EFED

Verzeichnis von C:\

27.02.2006 12:41 0 sys.txt
27.02.2006 12:41 5.767 system.txt
27.02.2006 12:41 538 systemtemp.txt
27.02.2006 12:40 97.531 system32.txt
27.02.2006 12:27 805.306.368 pagefile.sys
27.02.2006 02:09 227 boot.ini
27.02.2006 01:38 441 bootbak.bat
27.02.2006 00:49 227 boot.lgb
26.02.2006 22:42 335 boot.bed
26.02.2006 16:23 45 TEST.XML
23.01.2006 15:36 429 datFind.bat

Das Ding muß man doch irgendwie wieder loswerden, oder??

Grüße
Chris

#5 Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten--> kopiere den Text ab
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\kernel1.exe

------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\NDNuninstall7_22.exe

PC neustarten

dann sanne noch mal mit ewido (aber im abgesicherten modus) und poste dann den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Also. Die kernel.1.exe enthält nur einen veränderten Bootscreen. ;o)
Hier trotzdem der Text aus virustotal:

AntiVir 6.33.1.50 02.27.2006 no virus found
Avast 4.6.695.0 02.23.2006 no virus found
AVG 718 02.24.2006 no virus found
Avira 6.33.1.50 02.27.2006 no virus found
BitDefender 7.2 02.27.2006 no virus found
CAT-QuickHeal 8.00 02.25.2006 no virus found
ClamAV devel-20060126 02.26.2006 no virus found
DrWeb 4.33 02.27.2006 no virus found
eTrust-InoculateIT 23.71.87 02.26.2006 no virus found
eTrust-Vet 12.4.2097 02.27.2006 no virus found
Ewido 3.5 02.27.2006 no virus found
Fortinet 2.71.0.0 02.27.2006 no virus found
F-Prot 3.16c 02.25.2006 no virus found
Ikarus 0.2.59.0 02.24.2006 no virus found
Kaspersky 4.0.2.24 02.27.2006 no virus found
McAfee 4705 02.24.2006 no virus found
NOD32v2 1.1419 02.26.2006 no virus found
Norman 5.70.10 02.27.2006 no virus found
Panda 9.0.0.4 02.26.2006 no virus found
Sophos 4.02.0 02.27.2006 no virus found
Symantec 8.0 02.27.2006 no virus found
TheHacker 5.9.4.102 02.24.2006 no virus found
UNA 1.83 02.24.2006 no virus found
VBA32 3.10.5 02.26.2006 no virus found

So. Und nun werd ich den KillBox nochmal versuchen.

Grüße
Chris

#7 Kurze Info zur kernel1.exe
http://www.symantec.com/avcenter/venc/data/backdoor.death.html

Letzter Absatz vor "recommendations"

Die kernel1.exe enthält offensichtlich keine Virussignatur. Die Datei wird aber vom Backdoor-Trojaner Backdoor.Death.26 abgelegt (s. Link)

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#8 allerdings finde ich nicht:

Zitat

* C:\Windows\System\Runexec.dll
* C:\Autorun.inf
* C:\Windows\Avp32.ini
* C:\Windows\Avpm.ini

dennoch.. die exe sollte geloescht werden, es sei denn, du weisst, was du am 27.02.2006 03:03 2.055.936 kernel1.exe frueh um 3 geladen hast
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Also liebe Sabina. :o] Vielen herzlichen Dank für Deine Hilfe.
Ich glaub ewido im abgesicherten Modus war der entscheidende Tip!!
Nun ist dieses elende Ding endlich verschwunden.

LogFile:

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 16:52:18, 27.02.2006
+ Report-Checksumme: 7735B9A5

+ Scanergebnis:

[448] C:\Programme\NewDotNet\newdotnet7_22.dll -> Adware.NewDotNet : Gesäubert ohne Backup
C:\Programme\NewDotNet -> Adware.NewDotNet : Gesäubert ohne Backup
C:\Programme\NewDotNet\newdotnet7_22.dll -> Adware.NewDotNet : Gesäubert ohne Backup

::Report Ende

Allerdings meldete der Rechner nach dem Neustart einen rundll-Fehler.
Ich mußte noch den run-Eintrag im Regedit per Hand entfernen.
(HKLM\Software\Microsoft\Windows\CurentVersion\Run --> NewNet 7_22dll)

Jetzt bin ich aber echt froh das ich das NewNet-Zeug wieder los bin. :o)
Die Fehlermeldung ist nach Säuberung der Regedit jetzt auch verschwunden.

Zur Kernel1.exe:
Die wurde von StyleXP erstellt und beinhaltet nur einen geänderten Bootscreen.
Das hab ich früh um drei gemacht. ;o) Sollte also kein Problem sein.
Hab ihn auch nicht runtergeladen sondern selbst erstellt.
Dazu der entsprechende Text aus der boot.ini:

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (bootscreen)" /fastdetect /KERNEL=kernel1.exe

Nun weiß ich nur noch nicht was Du mit Deiner Anmerkung bezüglich den 4 Windows-Dateien
Runexec.dll, Autorun.inf, Avp32.ini und Avpm.ini meinst.
Brauch ich die, bzw. wozu sind die gut??

Nochmal vielen Dank für die super Hilfe und
sonnigste Grüße
Chris

#10

Zitat

*C:\Windows\System\Runexec.dll
* C:\Autorun.inf
* C:\Windows\Avp32.ini
* C:\Windows\Avpm.ini

bezog sich auf einen eventuellen Virus, den Heron ansprach. (der es ja nun nicht ist, wie sich herausgestellt hat )

du solltest aber die zwei Dateien mit der Killbox loeschen (so wie ich geschrieben hatte, also auch die sporder.dll..gehoert zu new.net)
Die NDNuninstall7_22.exe hat ja der ewido nun gefunden, ist also nicht mehr notwendig.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Den Schritt mit Killbox scheint man zu allerletzt machen zu müssen, da sich diese
sporder.dll sonnst immerwieder selbst neu erstellt. Hab das jetzt nochmal gemacht,
nun ist die auch noch weg. Liegt jetzt im Ordner C:\!KillBox\sporder.dll
Kann ich sie dort auch noch löschen, oder muß dieser Ordner nun bestehen bleiben?

Wieder Grüße
Chris

#12 natuerlich rausloeschen
C:\!KillBox\sporder.dll
__________
MfG Sabina

rund um die PC-Sicherheit