Trojaner-Board - Seltsame .exe die meine Platte vollschreibt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Seltsame .exe die meine Platte vollschreibt (https://www.trojaner-board.de/20441-seltsame-exe-platte-vollschreibt.html)

Ich kann seltsamerweise die Systemwiederherstellung nicht deaktiviere. Gestern als ich den Rechner im abgesicherten Modus gestartet hatte ging es ganz gut, aber heute sagt mir Windows ein Fehler würde auftreten bei Aktivieren/Deaktivieren und ich solle meinen Rechner nochmals hochfahren und es erneut versuchen. DAS habe ich jetzt 3 mal gemacht,a ber das interessiert die Systemwiederherstellung nicht im geringsten...

Ausserdem hatte ich beim ersten mal fixen mit HJT schon versucht diese wx.cab zu löschen, aber sie war gar nicht auffindbar.

edit: Zudem kann ich komischerweise meine Norton Firewall nicht mehr konfigurieren. Jedes mal, wenn ich eine Konfiguration vornehmen will erscheint ein Internetexplorer Skriptfehler:
http://www.informatik.uni-oldenburg....riptfehler.jpg
(ich geb den Link des Screenshots an, da mein Firefox mit dem einbinden des Bilds durch das Forum Probleme hat...)
Hat jemand eine Idee wo das Problem ist?
Ja oder Nein anklicken ändert nichts, ich kann meine Firewall nicht mehr einstellen :-(

zur systemwiederherstellung schau mal hier Punkt 32. Vielleicht hilft das schon
Hast du schon mal einen Neuen Systempunkt erstellt und dann versucht zu deaktivieren?
Zum Norton kann ich dir leider nichts sagen
Wenn der O16 Eintrag im abgesicherten Modus nicht zu sehen ist dann fixe im normalen Modus und kontrolliere dort ob die Datei zu finden ist.
Lade dazu den Total Commander und nehme folgende Einstellung vor:
Total Commander öffnen --> Konfigurieren --> Einstellungen --> Ansicht --> Haken bei "Versteckte und Systemdateien anzeigen (nur für Experten)" --> Ok
Gehe im rechten Fenster zum entsprechenden Ordner/Datei (mit Leertaste oder rechter Maustaste markieren --> F8 --> JA)

Führe den eScan noch durch

Zitat:

Zitat von Gigamail

@ Haui
Gegen deinen Grundsatz habe ich nichts einzuwenden, aber doch kann deine Meinung nicht ganz teilen, da erstens von den Machern der Seite cexx.org auf den Remover hingewiesen wird und auch Microsoft sich da anschliesst.
Wohlbemerkt wenn nichts unter Software zu deinstallieren ist, denn sonst kommt das Tool ja garnicht zum Einsatz.
Da ich die einzelnen Dateien und Regeinträge nicht kenne um sie von der Platte zu putzen muss ich doch in so einem Fall auf das Tool zurückgreifen

Wenn du mein Posting nochmals durchliset, wirst du erkennen, dass ich es durchaus für möglich halte, dass der Uninstaller seinen Zweck erfüllt,
ABER

new.net entwickelt die gleichnamoge Foistware und bindet sie als "Geschenk" in andere Programme ein => nicht vertrauenswürdig.
es gibt genug Websites, die sich mit dem New.Net-Problem beschäftigen => es existieren durchaus einige Seiten, die die manuelle Entfernung beschreiben. [1]
Spybot S&D und Ad-Aware sollten mit der Entfernung keine Probleme haben.

[1]

Code:

Manual removal

A and B variants
 

Manual removal is quite involved and easily botched, resulting in a loss of network connection. Be very careful.
 

Before the newdotnet[version number].dll file can be deleted, it must be removed from the Winsock2 LSP chain. CounterExploitation’s tool LSPFix can do this for you. Download it, run it and tell it to Remove newdotnetN_NN.dll and Keep everything else.
 

[LSP removal can also be done by hand as a last resort but it’s very easy to get wrong. Instructions for the brave: open the registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters. Open the subkey NameSpace_Catalog5\Catalog_Entries and check each subkey’s LibraryPath value on the right. If it points to newdotnetN_NN.dll, delete that subkey. Renumber the remaining subkeys so that they are contiguous (ie. 000000000001, 000000000002 etc. with no gaps) and set the value of the Num_Catalog_Entries value inside the NameSpace_Catalog5 key to the highest number reached. Next do the same for Protocol_Catalog9\Catalog_Entries. Remove subkeys where the PackedCatalogItem value, when opened, has the full file path of newdotnetN_NN.dll at the start; don’t be fooled by entries that merely have the name ‘newdotnet’ scattered about the value. Often the subkeys involved are the first two and last two. Renumber the subkeys contiguously and set the New_Catalog_Entries value in Protocol_Catalog9 to the same number (decimal, not hexadecimal) as the last entry.]
 

Having now removed the LSP, open the registry (click ‘Start’, choose ‘Run’, enter ‘regedit’) and select the key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects and delete the subkey ‘{DD770A75-CE18-11D5-98D8-00E018981B9E}’ (A variant) or ‘{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}’ (B variant).

B variant
 

Now you must delete the entry NewDotNet uses to regenerate itself on startup. NewDotNet protects this entry, so to delete it, restart the computer in Safe Mode (hammer F8 during start-up, just before Windows starts to load, then choose Safe Mode from the menu) and open the registry. Select the key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run and, on the right, delete the entry ‘New.net startup’ pointing to rundll32.

A and B variants
 

Now restart the computer normally and you should be able to delete the NewDotNet folder (B variant) or the newdotnet DLL in the Windows directory (A variant). You can also delete the registry keys HKEY_LOCAL_MACHINE\Software\new.net and HKEY_CURRENT_USER\Software\New.net to clean up if you like, along with HKEY_CLASSES_ROOT\Tldctl2.URLLink[.1] and HKEY_CLASSES_ROOT\CLSID\{DD770A75-CE18-11D5-98D8-00E018981B9E} (A variant) or HKEY_CLASSES_ROOT\CLSID\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} (B variant)

FirstLook variant
 

Open the registry (click ‘Start’, choose ‘Run’, enter ‘regedit’) and select the key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Delete the entry ‘FirstLook’ pointing to firstlook.exe. Restart the computer and you should be able to delete the FirstLook folder in Program Files.

QuickSearch variant
 

First, find the filename for the current version of QuickSearch. Open the QuickSearch folder inside the Program Files folder and look for the highest-numbered file.
 

Open a Command Prompt window (click Start, open the Programs menu, Accessories submenu; called ‘DOS Prompt’ on Windows 95/98/Me) and type the following commands:
 

    cd %WinDir%\System

    regsvr32 /u "\Program Files\QuickSearch\QuickSearchBarN_NN.dll" 
 

Replace N_NN with the version number you saw. You may also need to adjust this command for non-English Windows versions where the Program Files folder is not called ‘Program Files’.
 

Restart the computer and you should be able to delete the QuickSearch folder.

Quelle: http://www.doxdesk.com/parasite/NewDotNet.html

So, da bin ich wieder.
Ich hatte leider arge Probleme mit eScan. Immer wenn ich scannen will macht er das auch am Anfang und hält sich damit auch etwa 20 Minuten auf, bis das Programm einfach aufhört, ohne überhaupt fertig zu sein. Es tut dann plötzlich quasi nichts mehr, obwohl er grade mal mit der einen Festplatte fertig ist und noch 3 andere warten. Ich bin eigentlich der angebenen Bedienung gefolgt.
Zudem ist mir das mit dem find.bat nicht so ganz schlüssig geworden. es heißt bei der Anleitung, dass nach dem scannen die find.bat ausgeführt werden soll und dann einen .txt erstellt wird...also...bei mir geht das nicht. ich hab dann keine neue txt irgendwo rumfliegen.

Naja, ich hab einfach mit HJT alles gemacht was mir geraten wurde und hier ist das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:13:55, on 09.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\CigdemSoftware\Tortoise\bin\TSVNCache.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Uni-Cigdem\Downloads\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\***~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\***\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: OpenOffice.org 1.1.4.lnk = D:\***\OpenOffice\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - h**p://bajor.informatik.uni-oldenburg.de/qp2.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/261ea779957350a59606/netzip/RdxIE601_de.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://zone.msn.com/binFramework/v10/ZIntro.cab32846.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Hallo,
öffne mal die C:\Bases_X\MWAV.LOG
gehe dann auf bearbeiten>>suchen und gib infected ein (vielleicht auch noch found) und poste die entsprechenden Einträge hier her.

Grüße Wildone

Bis auf das SP2 fehlt, sieht dein Log jetzt sauber aus. Du solltest aber noch berücksichtigen damit zwei aktive Virenscanner nur dein System langsam machen und nicht doppelt schützen. Also entscheide dich für einen.
Da die ergebnisse von escan fehlen kann man schlecht eine weitere Auswertung machen. Du solltest schon nochmal versuchen ihn ans laufen zu bringen. Mit der find.bat ist doch eigentlich ganz einfach, du ladest dir die datei wie beschrieben runter und entpackst sie meinetwegen auf das Desktop, wenn jetzt escan im richtigen verzeichnis ist (C:\Bases_X) dann kannst du die find.bat doppeltklicken, es öffnet sich ein Dos Fenster es rattern ein paar Zeilen durch und dann findest du auf C:\
eine neue Datei mit Namen eScan_neu.txt
Wenn das so wirklich nicht funktionieren sollte wird in der Anleitung zum eScan auch noch eine alternative angeboten. Also nochmal lesen.
Wenn eScan überhaupt nicht funktionieren sollte versuche mit der 30 TageVersion http://www.gdata.de/trade/productview/472/3/ zu scannen und die Funde löschen

Mit den zwei aktiven Virenscannern meinst du sicherlich Norton und den Spybot, oder? Ich hab mir auch schon gedacht, dass das etwas zuviel für meinen Rechner ist.
Reicht der Spybot denn aus?

Ich werde mich nochmal an eScan versuchen...das muss ja irgendwie gehen.

Vielen Lieben Dank nochmals für alles :-) !!!

Hallo,
nein Gigamail hat, denke ich, eher gemeint das du AntiVir und Norton auf deinem Rechner hast, du solltest dich für eines von beiden entscheiden, je nach dem mit welchem du besser zurecht kommst. Spybot kannst du ruhig parallel laufen lassen, die stören sich nicht.

Grüße Wildone

Zitat:

Zitat von Wildone

nein Gigamail hat, denke ich, eher gemeint das du AntiVir und Norton auf deinem Rechner hast, du solltest dich für eines von beiden entscheiden, je nach dem mit welchem du besser zurecht kommst.

richtig hatte ich gemeint :daumenhoc