Home » Spyware & Browser Hijacker Support Forum » LÖSUNG » NTSEARCH .com « Problematik » Themenansicht

LÖSUNG » NTSEARCH .com « Problematik
#0
04.03.2004, 19:48
raman
Moderator
Themenstarter

Beiträge: 7805
#151 Diese Dinge bitte "fix"en:
O4 - HKLM\..\Run: [easywww] C:\windows\easywww.exe
O4 - HKLM\..\Run: [redirect] C:\windows\redirect6.exe

Neu starten und die Dateien bitte an die Adresse aus meinem Profil oder an virus@protecus.de schicken:
C:\windows\easywww.exe
C:\windows\redirect6.exe

Ich weiss zwar noch nicht genau was es ist, aber du solltest trotzdem dein Windows al via www.windowsupdate.com aktualisieren.
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 04.03.2004 um 19:51 Uhr von raman editiert.
Seitenanfang Seitenende
05.03.2004, 08:39
Guenther
Member

Beiträge: 11
#152 Guten Morgen,
hier nun meine Logfile. Ich bin ganz stolz, daß ich dies hin bekommen habe und hoffe du kannst mir beim "ntsearch.com Problem" helfen. Im voraus vielen Dank
Günther
Logfile of HijackThis v1.97.7
Scan saved at 08:29:08, on 05.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRAMME\NORMAN\nvc\BIN\ZLH.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\DownloadWare\dw.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Programme\ATI Multimedia\main\launchpd.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NYMSE.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\NIP.EXE
C:\Programme\Telekom\Eumex 404PC\Capictrl.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NJEEVES.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\nvcoas.exe
C:\PROGRAMME\NORMAN\nvc\BIN\cclaw.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_64.dll
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAMME\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 404PC\routcnf.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~4\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {10372968-EEA7-4918-8EA4-9F9CE488AD29} (StarInstall Control) - http://install.ibs-clearing.ch/ibsload.ocx
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DlfnTmp0\imgSizer.ocx
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - http://membersites.namezero.com/DOT-ANKE.CC-635041/de/webinstall.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_DE2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E07CEBEB-A06A-4FC3-8B1E-F0E73F58F853}: NameServer = 212.185.249.116 194.25.2.129
__________
MfG Günther
Seitenanfang Seitenende
05.03.2004, 09:37
arynsun
Member

Beiträge: 133
#153 morgen guenther!

ich versuch dir inzwischen mal zu helfen, diese einträge mit hijackthis fixen,d.h. scan drücken ,anhaken und fix drücken:
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_64.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
diese einträge können auch raus,müssen nicht:
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
und schick diese datei mal an ramans adresse:
C:\WINDOWS\svchost.exe

mfg aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
05.03.2004, 09:56
paff
Member

Beiträge: 1095
#154 Hi Günther
Achtung
Das Programm "new.dot" muß manuell über Systemsteuerung/Software deinstalliert werden
Dann neustart

Dann fixe das in HiJackThis
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - Global Startup: CAPIControl.lnk = ?
O16 - DPF: {10372968-EEA7-4918-8EA4-9F9CE488AD29} (StarInstall Control) - http://install.ibs-clearing.ch/ibsload.ocx
+ alles was von "newdot" noch drin steht

Dann lösche temp-Internetfiles+offlineinhalte unter Systemsteuerung/Internetoptionen/Dateien löschen...

Dann neustart

Dann diese durchführen
http://board.protecus.de/t9373.htm
und logfile nochmal posten

dann machen wir den Rest!!! ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
05.03.2004, 11:08
Guenther
Member

Beiträge: 11
#155 Hi,
uuuuuuuuuuuuuuuuuuuuuhhhh, das war jetzt heiss! Die Verbindung zum Internet war weg. Scheinbar ging irgend etwas zwischen "Eumex" (Telefonanlage) und PC verloren. Nach einer neuen Konfiguration der Eumex klappte es wieder.
Bin noch nicht ganz fertig mit den Durchführungen. ICH HOFFE DAS ALLES KLAPPT UND ICH MICH WIEDER MELDEN KANN.
Viele Grüße bis später.
__________
MfG Günther
Seitenanfang Seitenende
05.03.2004, 11:15
raman
Moderator
Themenstarter

Beiträge: 7805
#156 Das *kann* durch fixen der "O10" Eintraege durchaus mal vorkommen, darum auch Paffs Tipp mit dem deinstallieren von newdotnet ueber Software.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
05.03.2004, 15:35
Guenther
Member

Beiträge: 11
#157 Hallo,
so das wäre geschafft. War ein ganzes stück Arbeit und hat bis jetzt gedauert Anbei nun die neue Logfile. Nach der Installation der verschieden Programme konnte der PC die Verbindung zur Eumex nicht mehr finden, ich hoffe das das nicht so bleibt. Hat das etwas mit der CAPIControl zu tun? Ohne diees anzuklicken komme ich nicht zur Konfiguration der Eumex.
Ansonsten wurden jede Menge "Mist" gefunden.
Im voraus nochmals vielen Dank.
Hab ich jetzt das Gröbste hinter mir oder stecken noch mehr ?????? drinn!
Logfile of HijackThis v1.97.7
Scan saved at 15:23:16, on 05.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRAMME\NORMAN\nvc\BIN\ZLH.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NYMSE.EXE
C:\Programme\ATI Multimedia\main\launchpd.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NIP.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\nvcoas.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NJEEVES.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\cclaw.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAMME\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 404PC\routcnf.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~4\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: ATI TV (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DlfnTmp0\imgSizer.ocx
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://membersites.namezero.com/DOT-ANKE.CC-635041/de/webinstall.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_DE2.cab
__________
MfG Günther
Seitenanfang Seitenende
05.03.2004, 16:38
paff
Member

Beiträge: 1095
#158 Hi
hast du das Programm "new.dot" manuell über Systemsteuerung/Software deinstalliert?

Wenn ja dann Fixe alle Einträge mit "new.net"
Wenn nicht, dann mach das! Wichtig!!!!!!!!!

Sonst fixe noch
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DlfnTmp0\imgSizer.ocx
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_DE2.cab

Dann nochmal logfile posten
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
05.03.2004, 17:10
Guenther
Member

Beiträge: 11
#159 Hallo,
auf Systemsteuerung/Sofware ist kein Programm "new.dot" vorhanden. Muss ich noch wo anderst suchen?
__________
MfG Günther
Seitenanfang Seitenende
05.03.2004, 22:55
paff
Member

Beiträge: 1095
#160 Hi Günther

Das Prog könnte auch ähnlich heißen.

Hier ist die Removal Anleitung , allerdings Englisch
http://www.pestpatrol.com/PestInfo/n/new_net.asp

Wenn du es so nicht schaffst dann fixe bitte das hier
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DlfnTmp0\imgSizer.ocx
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_DE2.cab

dann das machen
http://board.protecus.de/t9373.htm

Bis dann
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 05.03.2004 um 22:58 Uhr von paff editiert.
Seitenanfang Seitenende
06.03.2004, 23:32
Guenther
Member

Beiträge: 11
#161 Hallo,
auf Systhemsteuerung/Software war kein Programm mit den Anfangsbuchstaben "net" vorhanden. Die Removal Anleitung habe ich nicht vollständig verstanden. Deshalb habe ich den Rest wie beschrieben durchgeführt.
Anbei nochmals die neuste Logfile.
Wie schon erwähnt findet der PC nach jedem Neustart die Einstellung zum Internet nicht mehr. Wenn ich im Eumexprogramm/CAPIcontroll anklicke wird die Verbindung zwischen PC und Eumex wieder hergestellt und der Zugang zum Internet ist wieder möglich. Wie kann ich den ürsprünglichen Zustand wieder herstellen, daß er mit dem Einschalten die Verbindung zur Eumex bzw.Capikontroll wieder selbst findet?
Übrigens sind bis jetzt die Ntsearch-Seiten nicht mehr aufgetaucht.
Logfile of HijackThis v1.97.7
Scan saved at 23:13:52, on 06.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRAMME\NORMAN\nvc\BIN\ZLH.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Programme\ATI Multimedia\main\launchpd.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NYMSE.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\NIP.EXE
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Telekom\Eumex 404PC\Capictrl.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\nvcoas.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NJEEVES.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\cclaw.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis1977.zip\HijackThis.exe
Im voraus besten Dank.
__________
MfG Günther
Seitenanfang Seitenende
07.03.2004, 00:37
paff
Member

Beiträge: 1095
#162 Die Liste ist nicht vollständig

Das Wichtigste fehlt ;)

Bitte nochmal
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
07.03.2004, 18:37
Guenther
Member

Beiträge: 11
#163 Hallo,
Entschuldigung!
Logfile of HijackThis v1.97.7
Scan saved at 18:35:20, on 07.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRAMME\NORMAN\nvc\BIN\ZLH.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Programme\ATI Multimedia\main\launchpd.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NYMSE.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\NIP.EXE
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NJEEVES.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\nvcoas.exe
C:\PROGRAMME\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\PROGRAMME\NORMAN\nvc\BIN\cclaw.exe
C:\WINDOWS\svchost.exe
C:\Programme\Microsoft Encarta\Enzyklopädie 2002\ENC2002.EXE
C:\Programme\Telekom\Eumex 404PC\Capictrl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe"
O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAMME\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 404PC\routcnf.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~4\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: ATI TV (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://membersites.namezero.com/DOT-ANKE.CC-635041/de/webinstall.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
__________
MfG Günther
Seitenanfang Seitenende
11.03.2004, 19:28
raman
Moderator
Themenstarter

Beiträge: 7805
#164 Hast du unter "Software" keinen Eintrag mit "new.net" gefunden? Wenn nein, fixe mal das auf eigene Gefahr:


O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup

Nach einem Neustaret diesen Ordner loeschen: C:\PROGRA~1\NEWDOT~1
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.03.2004, 22:17
Guenther
Member

Beiträge: 11
#165 Hallo raman,
auf der Festplatte C befindet sich ein Ordner "NewDotNet", geöffnet heißt er newdotnet5_64.dl ( und in grauer Schrift 5.0.0.64 New.net.Domains ). Ein weiteres öfnen der Datei ist nicht möglich. Meinst du diesen Ordner bzw. diese Datei?
Außer des o.g. Ordners ist noch ein Ordner NetMeeting vorhanden. In diesem sind viele Dateien abgelegt, aber keine "~1\NEWDOT~1"
Für eine baldige Antwort bedanke ich mich im voraus.
__________
MfG Günther
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: