ein weiterer wunderschöner Fall von; NewDotNet |
||
---|---|---|
#0
| ||
01.07.2006, 18:19
Member
Beiträge: 14 |
||
|
||
01.07.2006, 18:39
Ehrenmitglied
Beiträge: 29434 |
#2
arbeite das bitte ab und poste alles
http://board.protecus.de/t23187.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.07.2006, 20:07
Member
Themenstarter Beiträge: 14 |
#3
omg
da ist ja formatieren leichter Logfile of HijackThis v1.99.1 Scan saved at 20:10:02, on 01.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: H:\WINDOWS\System32\smss.exe H:\WINDOWS\system32\winlogon.exe H:\WINDOWS\system32\services.exe H:\WINDOWS\system32\lsass.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\System32\svchost.exe H:\WINDOWS\system32\spoolsv.exe H:\WINDOWS\system32\wscntfy.exe H:\WINDOWS\Explorer.EXE H:\WINDOWS\system32\msiexec.exe H:\Programme\ICQLite\ICQLite.exe H:\Programme\DAEMON Tools\daemon.exe I:\Anti-Viren\ZoneAlarm\zlclient.exe H:\WINDOWS\system32\rundll32.exe H:\WINDOWS\system32\CTFMON.EXE H:\Programme\Internet Explorer\iexplore.exe H:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe H:\WINDOWS\system32\ZoneLabs\vsmon.exe h:\progra~1\intern~1\iexplore.exe H:\WINDOWS\System32\svchost.exe I:\EXPLORER\MOZILL~1\FIREFOX.EXE H:\WINDOWS\system32\svchost.exe H:\Dokumente und Einstellungen\TEMP\Desktop\HijackThis.exe O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - H:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: (no name) - {11F0AD61-DA9A-D1B2-19F5-4373054409AA} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [ICQ Lite] "H:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [DAEMON Tools] "H:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [BuildSoft2Proxy] H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ELSE FAST BUILD SOFT\MessNoun.exe O4 - HKLM\..\Run: [Zone Labs Client] "I:\Anti-Viren\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [New.net Startup] rundll32 H:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] H:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = H:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINDOWS\system32\ZoneLabs\vsmon.exe system32 (text) Datentr„ger in Laufwerk H: ist Windows Volumeseriennummer: 9CEF-773C Verzeichnis von H:\WINDOWS\system32 01.07.2006 20:01 54.112 vsconfig.xml 01.07.2006 17:57 236.760 FNTCACHE.DAT 01.07.2006 17:55 4.212 zllictbl.dat 30.06.2006 20:46 34.064 lhacm.acm 30.06.2006 20:34 13.646 wpa.dbl 26.06.2006 19:53 314.644 perfh009.dat 26.06.2006 19:53 40.972 perfc009.dat 26.06.2006 19:53 320.424 perfh007.dat 26.06.2006 19:53 49.372 perfc007.dat 26.06.2006 19:53 725.674 PerfStringBackup.INI 23.06.2006 21:19 8.464 sporder.dll 23.06.2006 21:19 33.533 CoreVorbis-uninstall.exe 20.06.2006 23:33 42.920 vsutil_loc0407.dll 20.06.2006 23:33 394.872 vsdatant.sys 20.06.2006 23:32 83.960 zlcomm.dll edit Dieser Beitrag wurde am 01.07.2006 um 20:23 Uhr von SpLaTT editiert.
|
|
|
||
02.07.2006, 00:11
Ehrenmitglied
Beiträge: 29434 |
#4
poste noch die restlichen drei logs (von datfindbat)
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp 3.Log Verzeichnis von C:\WINDOWS 4.Log Verzeichnis von C:\ + look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint http://virus-protect.org/zip/look.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.07.2006, 10:54
Member
Themenstarter Beiträge: 14 |
#5
sind das da den nicht immer die gleichen beiden ? oO
und wie genau bekomme ich die hin? einfach in den ordner kopieren=? ich versuch mal ^^ ok das mit den ordner klapt nicht und bei mir wäre es H:\WINDOWS *joke* aber ma im ernst wie bekom ich das hin -.- hier hab ich auch ma nen leinen screenschot von anti-spy, anns aber nicht löschen oder so http://img120.imagevenue.com/img.php?image=17982_Unbenannt_288lo.JPG Dieser Beitrag wurde am 02.07.2006 um 11:18 Uhr von SpLaTT editiert.
|
|
|
||
02.07.2006, 11:36
Ehrenmitglied
Beiträge: 29434 |
#6
**
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint http://virus-protect.org/zip/look.zip ** datFind.zip --> entzippe datFind.zip --> datFind.bat http://virus-protect.org/zip/datFind.zip Kurzanleitung datfindbat 1. Doppel-klick DATFINDBAT 2. Es öffnet sich der Texteditor. Speichern als system32.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) 3. auf das Command Fenster klicken und beliebige Taste druecken 4. Es öffnet sich der Texteditor. Speichern als temp.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) 5. Wiederhole Schritt 3 und speichere als windows.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) 6. Wiederhole Schritt 3 und speichere als c.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) 7. Poste ALLE Logs (3 Monate vom Datum her, mehr ist nicht notwendig) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.07.2006, 18:14
Member
Themenstarter Beiträge: 14 |
#7
Datentr„ger in Laufwerk H: ist Windows
Volumeseriennummer: 9CEF-773C Verzeichnis von H:\DOKUME~1\TEMP\LOKALE~1\Temp Datentr„ger in Laufwerk H: ist Windows Volumeseriennummer: 9CEF-773C Verzeichnis von H:\WINDOWS 02.07.2006 18:13 126 windows.txt 02.07.2006 18:10 50 wiaservc.log 02.07.2006 18:10 373 wiadebug.log 02.07.2006 18:10 400 ODBC.INI 02.07.2006 14:46 1.804.030 WindowsUpdate.log 02.07.2006 14:46 3.707 wmsetup.log 02.07.2006 14:46 236 wmsetup10.log 02.07.2006 14:41 1.380 OEWABLog.txt 02.07.2006 14:40 0 0.log 02.07.2006 14:39 2.048 bootstat.dat 02.07.2006 14:33 789 setupapi.log 02.07.2006 11:34 32.550 SchedLgU.Txt 01.07.2006 18:22 0 Sti_Trace.log 23.06.2006 21:20 183.296 NDNuninstall7_22.exe 23.06.2006 15:42 991 eReg.dat 07.06.2006 14:57 573 win.ini 31.05.2006 18:06 1.389 mozver.dat 30.05.2006 20:27 316.640 WMSysPr9.prx 26.05.2006 13:15 12.896 scunin.dat 26.05.2006 13:15 967 ScUnin.pif 26.05.2006 13:15 67.584 ScUnin.exe 25.05.2006 17:41 281 system.ini - |
|
|
||
02.07.2006, 18:25
Ehrenmitglied
Beiträge: 29434 |
#8
poste mir, welche dll du auf der rechten oder linken seite findest
LSPfix http://www.spychecker.com/program/lspfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.07.2006, 16:24
Member
Themenstarter Beiträge: 14 |
#9
also
ich finde nur auf der linken seite: mswsock.dll TCP/IP winrnr.dll NTDS newdotnet7_22.dll (Protocoll handler) rsvpsp.dll (Protocoll handler) rechte seite: nichts, leer^^ |
|
|
||
03.07.2006, 16:39
Ehrenmitglied
Beiträge: 29434 |
#10
1.
Gehe in die Registry 1. Start-Ausfuehren - regedit bearbeiten -> suchen -> new.net HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net --> loeschen -------------------------------------------------------------------------------------------- 2. im LSPfix bringe die newdotnet7_22.dll von links nach rechts und --> loeschen 3. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: (no name) - {11F0AD61-DA9A-D1B2-19F5-4373054409AA} - (no file)PC neustarten 3. desinstalliere:NewDotNet 4. loesche: H:\WINDOWS\NDNuninstall7_22.exe H:\WINDOWS\system32\sporder.dll 5. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 6. um den Swizzor-Trojan zu loeschen: Dr.Web http://virus-protect.org/cureit.html Poste bitte das, was drweb gefunden hat. Dazu unter Start - Ausfuehren %userprofile%\doctorweb\cureit.log eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten. oder: Unter Menüpunkt Ansicht bei Dr. Web kann der Prüfbericht gespeichert werden als .txt Datei ablegen und dann abkopieren. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.07.2006, 17:21
Member
Themenstarter Beiträge: 14 |
#11
2 Probleme
4. Ich finde die datei NDNuninstall7_22.exe nicht und sporder.dll lässt sich nicht löschen 6. Das programm beendet sich von selbst -.- |
|
|
||
03.07.2006, 18:17
Ehrenmitglied
Beiträge: 29434 |
#12
http://virus-protect.org/artikel/tools/lop.html
Lade findlop.zip --> klicke findlop.bat --> kopiere ab, was im Texteditor erscheint lade: lopxp.zip doppelkick: lopxp.bat --> kopiere ab, was im Texteditor erscheint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.07.2006, 18:48
Member
Themenstarter Beiträge: 14 |
#13
[TRACE] Enumerating jobs and queues
[TRACE] Activating job 'A51EF9DF91917797.job' [TRACE] Printing all job properties ApplicationName: 'h:\dokume~1\lemmin~1\anwend~1\axislo~1\Axis Blue Rule.exe' Parameters: '' WorkingDirectory: '' Comment: '' Creator: 'Lemming_Guide' Priority: NORMAL MaxRunTime: 259200000 (3d 0:00:00) IdleWait: 10 IdleDeadline: 60 MostRecentRun: 07/03/2006 17:59:59 NextRun: 07/03/2006 19:00:00 StartError: S_OK ExitCode: 0 Status: SCHED_S_TASK_READY ScheduledWorkItem Flags: DeleteWhenDone = 0 Suspend = 0 StartOnlyIfIdle = 0 KillOnIdleEnd = 0 RestartOnIdleResume = 0 DontStartIfOnBatteries = 0 KillIfGoingOnBatteries = 0 RunOnlyIfLoggedOn = 1 SystemRequired = 0 Hidden = 1 TaskFlags: 0 1 Trigger Trigger 0: Type: Daily DaysInterval: 1 StartDate: 06/04/2000 EndDate: 00/00/0000 StartTime: 00:00 MinutesDuration: 1440 MinutesInterval: 60 Flags: HasEndDate = 0 KillAtDuration = 0 Disabled = 0 findlo ist doch nur eine .zip datei wie soll ich die laden? mfg |
|
|
||
03.07.2006, 19:59
Ehrenmitglied
Beiträge: 29434 |
#14
Lade findlop.zip by Metallica --> klicke findlop.bat --> kopiere ab, was im Texteditor erscheint
http://virus-protect.org/zip/findlop.zip lade: lopxp.zip doppelkick: lopxp.bat --> kopiere ab, was im Texteditor erscheint http://virus-protect.org/zip/lopxp.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.07.2006, 19:15
Member
Themenstarter Beiträge: 14 |
#15
[TRACE] Enumerating jobs and queues
[TRACE] Activating job 'A51EF9DF91917797.job' [TRACE] Printing all job properties ApplicationName: 'h:\dokume~1\lemmin~1\anwend~1\axislo~1\Axis Blue Rule.exe' Parameters: '' WorkingDirectory: '' Comment: '' Creator: 'Lemming_Guide' Priority: NORMAL MaxRunTime: 259200000 (3d 0:00:00) IdleWait: 10 IdleDeadline: 60 MostRecentRun: 07/04/2006 19:00:00 NextRun: 07/04/2006 20:00:00 StartError: S_OK ExitCode: 0 Status: SCHED_S_TASK_READY ScheduledWorkItem Flags: DeleteWhenDone = 0 Suspend = 0 StartOnlyIfIdle = 0 KillOnIdleEnd = 0 RestartOnIdleResume = 0 DontStartIfOnBatteries = 0 KillIfGoingOnBatteries = 0 RunOnlyIfLoggedOn = 1 SystemRequired = 0 Hidden = 1 TaskFlags: 0 1 Trigger Trigger 0: Type: Daily DaysInterval: 1 StartDate: 06/04/2000 EndDate: 00/00/0000 StartTime: 00:00 MinutesDuration: 1440 MinutesInterval: 60 Flags: HasEndDate = 0 KillAtDuration = 0 Disabled = 0 Rapport fait à 19:14:58,78 le 04.07.2006 ****************************************** Recherche des taches planifiées dans H:\WINDOWS\tasks Datentr„ger in Laufwerk H: ist Windows Volumeseriennummer: 9CEF-773C Verzeichnis von H:\WINDOWS\Tasks 24.06.2006 21:22 286 A51EF9DF91917797.job 15.05.2006 16:15 6 SA.DAT 15.05.2006 16:07 65 desktop.ini 15.05.2006 16:07 <DIR> .. 15.05.2006 16:07 <DIR> . 3 Datei(en) 357 Bytes 2 Verzeichnis(se), 1.441.325.056 Bytes frei ****************************************** Recherche dans Program files Le dossier H:\Programme\C2Media n'existe pas *************** Fin du rapport **************** |
|
|
||
Zuerst hatte ich Spybot drauf nu das
Mein Problem:
Dieses dumme NewDotNet verlangsamt mein PC um einiges und er löscht jedes mal mein Benutzerkonto, sprich; er formatiert es!
Alle Cookies Pw`s und auch mein Destop sind weg
finde ich weniger gut
Programme die kklich versagt haben
CCleaner
Ad-Aware
Spybot
CleanUp!
Antivir
Anti-Spy
Mit HjackThis hab ich echte probleme, damit hab ich auch versucht Spybot zu vernichten, aber man, da verliere selbst ich den durchblick! ^^
Also, bitte ich euch darum, mir zu helfen, damit ich weiterhin in games die wet unsicher machen kann
Mfg
Lemming_Guide