ein weiterer wunderschöner Fall von; NewDotNet

#0
01.07.2006, 18:19
Member

Beiträge: 14
#1 Ich habe auf meinen PC eine schöne Datei die den schönen Namen : newdotnet7_22.dll trägt
Zuerst hatte ich Spybot drauf nu das
Mein Problem:
Dieses dumme NewDotNet verlangsamt mein PC um einiges und er löscht jedes mal mein Benutzerkonto, sprich; er formatiert es!
Alle Cookies Pw`s und auch mein Destop sind weg

finde ich weniger gut ;)

Programme die kklich versagt haben
CCleaner
Ad-Aware
Spybot
CleanUp!
Antivir
Anti-Spy

Mit HjackThis hab ich echte probleme, damit hab ich auch versucht Spybot zu vernichten, aber man, da verliere selbst ich den durchblick! ^^

Also, bitte ich euch darum, mir zu helfen, damit ich weiterhin in games die wet unsicher machen kann ;)

Mfg
Lemming_Guide
Seitenanfang Seitenende
01.07.2006, 18:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 arbeite das bitte ab und poste alles ;)
http://board.protecus.de/t23187.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.07.2006, 20:07
Member

Themenstarter

Beiträge: 14
#3 omg
da ist ja formatieren leichter ;)

Logfile of HijackThis v1.99.1
Scan saved at 20:10:02, on 01.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\wscntfy.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\msiexec.exe
H:\Programme\ICQLite\ICQLite.exe
H:\Programme\DAEMON Tools\daemon.exe
I:\Anti-Viren\ZoneAlarm\zlclient.exe
H:\WINDOWS\system32\rundll32.exe
H:\WINDOWS\system32\CTFMON.EXE
H:\Programme\Internet Explorer\iexplore.exe
H:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
h:\progra~1\intern~1\iexplore.exe
H:\WINDOWS\System32\svchost.exe
I:\EXPLORER\MOZILL~1\FIREFOX.EXE
H:\WINDOWS\system32\svchost.exe
H:\Dokumente und Einstellungen\TEMP\Desktop\HijackThis.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - H:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {11F0AD61-DA9A-D1B2-19F5-4373054409AA} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ICQ Lite] "H:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [DAEMON Tools] "H:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [BuildSoft2Proxy] H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ELSE FAST BUILD SOFT\MessNoun.exe
O4 - HKLM\..\Run: [Zone Labs Client] "I:\Anti-Viren\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 H:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] H:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = H:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINDOWS\system32\ZoneLabs\vsmon.exe


system32 (text)


Datentr„ger in Laufwerk H: ist Windows
Volumeseriennummer: 9CEF-773C

Verzeichnis von H:\WINDOWS\system32

01.07.2006 20:01 54.112 vsconfig.xml
01.07.2006 17:57 236.760 FNTCACHE.DAT
01.07.2006 17:55 4.212 zllictbl.dat
30.06.2006 20:46 34.064 lhacm.acm
30.06.2006 20:34 13.646 wpa.dbl
26.06.2006 19:53 314.644 perfh009.dat
26.06.2006 19:53 40.972 perfc009.dat
26.06.2006 19:53 320.424 perfh007.dat
26.06.2006 19:53 49.372 perfc007.dat
26.06.2006 19:53 725.674 PerfStringBackup.INI
23.06.2006 21:19 8.464 sporder.dll
23.06.2006 21:19 33.533 CoreVorbis-uninstall.exe
20.06.2006 23:33 42.920 vsutil_loc0407.dll
20.06.2006 23:33 394.872 vsdatant.sys
20.06.2006 23:32 83.960 zlcomm.dll


edit
Dieser Beitrag wurde am 01.07.2006 um 20:23 Uhr von SpLaTT editiert.
Seitenanfang Seitenende
02.07.2006, 00:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 poste noch die restlichen drei logs (von datfindbat)

2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\


+
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.07.2006, 10:54
Member

Themenstarter

Beiträge: 14
#5 sind das da den nicht immer die gleichen beiden ? oO

und wie genau bekomme ich die hin? ;)
einfach in den ordner kopieren=?
ich versuch mal ^^

ok das mit den ordner klapt nicht
und bei mir wäre es H:\WINDOWS *joke*

aber ma im ernst wie bekom ich das hin -.-

hier hab ich auch ma nen leinen screenschot von anti-spy, anns aber nicht löschen oder so
http://img120.imagevenue.com/img.php?image=17982_Unbenannt_288lo.JPG
Dieser Beitrag wurde am 02.07.2006 um 11:18 Uhr von SpLaTT editiert.
Seitenanfang Seitenende
02.07.2006, 11:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 **
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip

**
datFind.zip --> entzippe datFind.zip --> datFind.bat
http://virus-protect.org/zip/datFind.zip

Kurzanleitung datfindbat

1. Doppel-klick DATFINDBAT

2. Es öffnet sich der Texteditor. Speichern als system32.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

3. auf das Command Fenster klicken und beliebige Taste druecken

4. Es öffnet sich der Texteditor. Speichern als temp.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

5. Wiederhole Schritt 3 und speichere als windows.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

6. Wiederhole Schritt 3 und speichere als c.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

7. Poste ALLE Logs (3 Monate vom Datum her, mehr ist nicht notwendig)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.07.2006, 18:14
Member

Themenstarter

Beiträge: 14
#7 Datentr„ger in Laufwerk H: ist Windows
Volumeseriennummer: 9CEF-773C

Verzeichnis von H:\DOKUME~1\TEMP\LOKALE~1\Temp

Datentr„ger in Laufwerk H: ist Windows
Volumeseriennummer: 9CEF-773C

Verzeichnis von H:\WINDOWS

02.07.2006 18:13 126 windows.txt
02.07.2006 18:10 50 wiaservc.log
02.07.2006 18:10 373 wiadebug.log
02.07.2006 18:10 400 ODBC.INI
02.07.2006 14:46 1.804.030 WindowsUpdate.log
02.07.2006 14:46 3.707 wmsetup.log
02.07.2006 14:46 236 wmsetup10.log
02.07.2006 14:41 1.380 OEWABLog.txt
02.07.2006 14:40 0 0.log
02.07.2006 14:39 2.048 bootstat.dat
02.07.2006 14:33 789 setupapi.log
02.07.2006 11:34 32.550 SchedLgU.Txt
01.07.2006 18:22 0 Sti_Trace.log
23.06.2006 21:20 183.296 NDNuninstall7_22.exe
23.06.2006 15:42 991 eReg.dat
07.06.2006 14:57 573 win.ini
31.05.2006 18:06 1.389 mozver.dat
30.05.2006 20:27 316.640 WMSysPr9.prx
26.05.2006 13:15 12.896 scunin.dat
26.05.2006 13:15 967 ScUnin.pif
26.05.2006 13:15 67.584 ScUnin.exe
25.05.2006 17:41 281 system.ini

-
Seitenanfang Seitenende
02.07.2006, 18:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 poste mir, welche dll du auf der rechten oder linken seite findest
LSPfix
http://www.spychecker.com/program/lspfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.07.2006, 16:24
Member

Themenstarter

Beiträge: 14
#9 also
ich finde nur auf der linken seite:

mswsock.dll TCP/IP
winrnr.dll NTDS
newdotnet7_22.dll (Protocoll handler)
rsvpsp.dll (Protocoll handler)


rechte seite:

nichts, leer^^
Seitenanfang Seitenende
03.07.2006, 16:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.
Gehe in die Registry
1.
Start-Ausfuehren - regedit
bearbeiten -> suchen -> new.net

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net --> loeschen

--------------------------------------------------------------------------------------------
2.
im LSPfix bringe die newdotnet7_22.dll von links nach rechts und --> loeschen

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {11F0AD61-DA9A-D1B2-19F5-4373054409AA} - (no file)
O4 - HKLM\..\Run: [BuildSoft2Proxy] H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ELSE FAST BUILD SOFT\MessNoun.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 H:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
PC neustarten

3.
desinstalliere:NewDotNet

4.
loesche:
H:\WINDOWS\NDNuninstall7_22.exe
H:\WINDOWS\system32\sporder.dll

5.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

6.
um den Swizzor-Trojan zu loeschen:

Dr.Web
http://virus-protect.org/cureit.html

Poste bitte das, was drweb gefunden hat. Dazu unter Start - Ausfuehren
%userprofile%\doctorweb\cureit.log
eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.

oder:

Unter Menüpunkt Ansicht bei Dr. Web kann der Prüfbericht gespeichert werden als .txt Datei ablegen und dann abkopieren.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.07.2006, 17:21
Member

Themenstarter

Beiträge: 14
#11 2 Probleme

4.
Ich finde die datei
NDNuninstall7_22.exe nicht

und sporder.dll lässt sich nicht löschen

6. Das programm beendet sich von selbst -.-
Seitenanfang Seitenende
03.07.2006, 18:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 http://virus-protect.org/artikel/tools/lop.html

Lade findlop.zip
--> klicke findlop.bat --> kopiere ab, was im Texteditor erscheint

lade: lopxp.zip
doppelkick: lopxp.bat --> kopiere ab, was im Texteditor erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.07.2006, 18:48
Member

Themenstarter

Beiträge: 14
#13 [TRACE] Enumerating jobs and queues
[TRACE] Activating job 'A51EF9DF91917797.job'
[TRACE] Printing all job properties

ApplicationName: 'h:\dokume~1\lemmin~1\anwend~1\axislo~1\Axis Blue Rule.exe'
Parameters: ''
WorkingDirectory: ''
Comment: ''
Creator: 'Lemming_Guide'
Priority: NORMAL
MaxRunTime: 259200000 (3d 0:00:00)
IdleWait: 10
IdleDeadline: 60
MostRecentRun: 07/03/2006 17:59:59
NextRun: 07/03/2006 19:00:00
StartError: S_OK
ExitCode: 0
Status: SCHED_S_TASK_READY
ScheduledWorkItem Flags:
DeleteWhenDone = 0
Suspend = 0
StartOnlyIfIdle = 0
KillOnIdleEnd = 0
RestartOnIdleResume = 0
DontStartIfOnBatteries = 0
KillIfGoingOnBatteries = 0
RunOnlyIfLoggedOn = 1
SystemRequired = 0
Hidden = 1
TaskFlags: 0

1 Trigger

Trigger 0:
Type: Daily
DaysInterval: 1
StartDate: 06/04/2000
EndDate: 00/00/0000
StartTime: 00:00
MinutesDuration: 1440
MinutesInterval: 60
Flags:
HasEndDate = 0
KillAtDuration = 0
Disabled = 0

findlo ist doch nur eine .zip datei wie soll ich die laden?

mfg
Seitenanfang Seitenende
03.07.2006, 19:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Lade findlop.zip by Metallica --> klicke findlop.bat --> kopiere ab, was im Texteditor erscheint
http://virus-protect.org/zip/findlop.zip

lade: lopxp.zip doppelkick: lopxp.bat --> kopiere ab, was im Texteditor erscheint
http://virus-protect.org/zip/lopxp.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2006, 19:15
Member

Themenstarter

Beiträge: 14
#15 [TRACE] Enumerating jobs and queues
[TRACE] Activating job 'A51EF9DF91917797.job'
[TRACE] Printing all job properties

ApplicationName: 'h:\dokume~1\lemmin~1\anwend~1\axislo~1\Axis Blue Rule.exe'
Parameters: ''
WorkingDirectory: ''
Comment: ''
Creator: 'Lemming_Guide'
Priority: NORMAL
MaxRunTime: 259200000 (3d 0:00:00)
IdleWait: 10
IdleDeadline: 60
MostRecentRun: 07/04/2006 19:00:00
NextRun: 07/04/2006 20:00:00
StartError: S_OK
ExitCode: 0
Status: SCHED_S_TASK_READY
ScheduledWorkItem Flags:
DeleteWhenDone = 0
Suspend = 0
StartOnlyIfIdle = 0
KillOnIdleEnd = 0
RestartOnIdleResume = 0
DontStartIfOnBatteries = 0
KillIfGoingOnBatteries = 0
RunOnlyIfLoggedOn = 1
SystemRequired = 0
Hidden = 1
TaskFlags: 0

1 Trigger

Trigger 0:
Type: Daily
DaysInterval: 1
StartDate: 06/04/2000
EndDate: 00/00/0000
StartTime: 00:00
MinutesDuration: 1440
MinutesInterval: 60
Flags:
HasEndDate = 0
KillAtDuration = 0
Disabled = 0





Rapport fait à 19:14:58,78 le 04.07.2006

******************************************
Recherche des taches planifiées dans H:\WINDOWS\tasks

Datentr„ger in Laufwerk H: ist Windows
Volumeseriennummer: 9CEF-773C

Verzeichnis von H:\WINDOWS\Tasks

24.06.2006 21:22 286 A51EF9DF91917797.job
15.05.2006 16:15 6 SA.DAT
15.05.2006 16:07 65 desktop.ini
15.05.2006 16:07 <DIR> ..
15.05.2006 16:07 <DIR> .
3 Datei(en) 357 Bytes
2 Verzeichnis(se), 1.441.325.056 Bytes frei

******************************************
Recherche dans Program files

Le dossier H:\Programme\C2Media n'existe pas

*************** Fin du rapport ****************
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: