Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   7 infizierte Dateien bekomme sie nicht los HILFE (https://www.trojaner-board.de/13483-7-infizierte-dateien-bekomme-los-hilfe.html)

chaos77 08.02.2005 16:09
7 infizierte Dateien bekomme sie nicht los HILFE
 
:crazy: Hi,

nachdem ad aware vorhin 60 treffer hatte dachte ich ich habe ruhe, zur sicherheit escan laufen lassen und nun das:

Tue Feb 08 13:36:26 2005 => File C:\WINDOWS\NEWDOT~1.DLL infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Tue Feb 08 13:36:32 2005 => File C:\WINDOWS\DOWNLO~1\ipreg32.dll infected by "Trojan-Downloader.Win32.Domcom.b" Virus. Action Taken: No Action Taken.

Tue Feb 08 13:36:35 2005 => File C:\WINDOWS\newdotnet3_36.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Tue Feb 08 13:36:45 2005 => File C:\WINDOWS\DOWNLO~1\ipreg32.dll infected by "Trojan-Downloader.Win32.Domcom.b" Virus. Action Taken: No Action Taken.

Tue Feb 08 13:37:05 2005 => File C:\WINDOWS\newdotnet3_36.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Tue Feb 08 13:37:12 2005 => File C:\WINDOWS\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.

Tue Feb 08 13:37:12 2005 => File C:\WINDOWS\winsx.dll infected by "not-a-virus:AdWare.Puper.c" Virus. Action Taken: No Action Taken.


was kann ich da machen? dANKE CHRISTIAN

dartus 08.02.2005 16:18
Hi,

geh mal in den abgesicherten Modus und versuch es dort mal.

dartus

chaos77 09.02.2005 00:35
Hallo,

habe ich versucht, adaware hat nichts mehr gefunden spyboot auch nicht und norton hat gefunden konnte aber einen nicht entfernen. Es sind aber noch alle 7! da. Muss ich escan kaufen? :-( :schrei:

Cidre 09.02.2005 00:49
Hallo,

deinstalliere, wenn vorhanden, unter Software das Programm new.net oder newdotnet.

Lösche alle Dateien mit Hilfe von KillBox (Option "Delete on reboot" anhaken").

Sollte sich keine Besserung einstellen, dann poste uns ein aktuelles HiJackThis Log-File.

chaos77 09.02.2005 11:47
Hallo,

in Software habe ich o.g. Datei nicht gefunden!

hier der log:

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\iOpus Flatrate Steckdose\flatrate.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\PROGRA~1\NORTON~3\NORTON~4\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~3\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~3\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\bases\mwavscan.com
C:\bases\kavss.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\WINDOWS\System32\zstatus.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\christian\Desktop\KillBox.exe
C:\Dokumente und Einstellungen\christian\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://195.225.176.14/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://195.225.176.14/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = hxxp://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = hxxp://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINDOWS\DOWNLO~1\ipreg32.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\ExploreExtPDF.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\WINDOWS\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKCU\..\Run: [Wise-FTP Scheduler] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [monitor] monitor.exe
O4 - Startup: FlatrateSteckdose.lnk = C:\Programme\iOpus Flatrate Steckdose\flatrate.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ArchiCrypt Stealth - {5A62567B-9F3A-468A-8200-E7D33EA8845B} - C:\Programme\ArchiCrypt Stealth 3\ACStealth3.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - hxxp://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DB4A717-D272-414F-910F-3877E12E0099}: NameServer = 192.168.201.250
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B52560B-CCB3-4C3A-91B9-08F572059681}: NameServer = 217.237.149.225 217.237.151.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{6DB4A717-D272-414F-910F-3877E12E0099}: NameServer = 192.168.201.250
O17 - HKLM\System\CS2\Services\Tcpip\..\{6DB4A717-D272-414F-910F-3877E12E0099}: NameServer = 192.168.201.250
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~4\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Virtual NIC Service - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich danke dir/euch allen! Grüße christian

Cidre 09.02.2005 12:02
Dein Log-File ist leider nicht vollständig, wichtige Infos über das System fehlen.
Zitat:
in Software habe ich o.g. Datei nicht gefunden!
Die Dateien wirst du auch dort nicht finden! Suche nur nach den von mir genannten Einträgen new.net oder newdotnet.

Wende zunächst einmal LSP-Fix an.
Poste nochmals ein aktuelles Log-File.

chaos77 09.02.2005 12:23
Hallo,

habe nochmal gesucht und unter C: Windows

newdotnet3_36.dll

gefunden - versucht mit killbox zu löschen . Windows sagt geht nicht und rechner abgestürzt. Muss ich das im agesicherten modus machen?

Cidre 09.02.2005 12:28
Entweder abgesicherter Modus oder bei KillBox die Option "Delete on reboot" verwenden.

Hast du eScan richtig ausgeführt? http://www.trojaner-board.de/42731-escan-anleitung.html
Die gefundenen Malware Dateien sind etwas wenig!

chaos77 09.02.2005 12:53
Datei ist gelöscht, System neu gestartet, jetzt Fehlermeldung, dass gelöschte Datei (newdotnet3_36.dll) nicht geladen werden kann, komme nicht mehr ins www!
Ein Freund schreibt das hier für mich.

Bitte Hilfe!!! :headbang:

dartus 09.02.2005 13:07
Hi,

Zitat:
Zitat von Cidre
Wende zunächst einmal LSP-Fix an.
Damit den Newdot aus den Winsock entfernen.

dartus

Cidre 09.02.2005 13:10
Zitat:
jetzt Fehlermeldung, dass gelöschte Datei (newdotnet3_36.dll) nicht geladen
Siehe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\WINDOWS\NEWDOT~1.DLL,NewDotNetStartup

Zitat:
komme nicht mehr ins www!
NORMALES VERHALTEN, wenn new.net nicht über die Software deinstalliert wird, wie ich es dir schon zweimal beschrieben hatte!

Führe jetzt endlich dies aus, damit du wieder eine Verbindung herstellen kannst!
Zitat:
Wende zunächst einmal LSP-Fix an.
Warum hältst du dich nicht an die Empfehlungen die man dir gibt?

Auf deinem System befinden sich noch mehrere kritische Einträge und Dateien, aber dies kann gerne jemand anders beantworten.

EOD

chaos77 09.02.2005 14:28
Hallo,

angewendet internet geht wieder!

DANKE 1a !!!

Weiß jemand rat bei den restlichen einträgen? Oder soll ich alles neu machen?


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131