Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Seltsame .exe die meine Platte vollschreibt (https://www.trojaner-board.de/20441-seltsame-exe-platte-vollschreibt.html)

Chili 03.08.2005 10:51
Seltsame .exe die meine Platte vollschreibt
 
Hilfe!

Ich habe gestern Abend ganz friedlich meine Mails via Thunderbird abgerufen, als meine Norton-Firewall mir ganz panisch mitteilte, dass eine meiner Mails mit w32.netsky.P@mm infiziert sei. Die Firewall versicherte mir dann, dass er die Mail isoliert und gelöscht habe. Pustekuchen!!
Ich habe in meinem Quarantine-Ordner meines Norton nun eine
3DB32D54.exe
die den kompletten Ordner und eine Ebene drunter alles mit tmp-files vollschreibt! Ich kann die .exe nicht löschen und lösche ich die tmp-files manuell sind sie nach 2 Sekunden wieder da.
Ich habe schon
Antinetsky-DE.exe (ein Netsky removal)
drüberlaufen lassen, aber der sagt mir es sei nichts infiziert.
Meine Festplatte platzt bald aus allen Ecken und ich komme einfach nicht dagegen an. Was muss ich denn jetzt machen????

felix1 03.08.2005 10:54
Folge der Anleitung und poste das Logfile:
http://www.trojaner-board.de/showthread.php?t=17493

Gigamail 03.08.2005 11:10
Hallo Chili

ausser dem HJT posten mach gleich mal noch folgendes, lösche alle dir unbekannten eMails leere den Papierkorb von Thunderbird und gehe in Datei--> Offline --> Offlineeinstellungen
Haken setzen bei Ordner komprimieren
Lade ClearProg = =>Haken setzen bei alles löschen und auf ok.
Leere zusätzlich den Quarantäneordner vom AV-Programm

Chili 03.08.2005 16:54
Ich hab das logfile reingestellt und mich an das gehaltenw a sihr geschrieben habt...barg nur ein Problem. Beim Löschen des Quaratine-ordners konnt eich zwar die .exe endlich löschen, blöderweise sind die .tmp-files nach dem löschen sofort wieder da....sie generieren sich quasi während des löschens neu! HILFE!

logfile unter: http://www.trojaner-board.de/showthr...136#post157136

cronos 03.08.2005 16:57
Warum eröffnest du für das Logfile einen neuen Thread?
Poste bitte erneut ein Logfile aber mit der aktuellen Version von Hijackthis:

Download

Und bleibe bitte in diesem Thread.

Chili 03.08.2005 17:39
Tut mir leid, mit dem extra-Thread. ich habe da wohl was missverstanden.
Also hier das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:41:02, on 03.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
D:\CigdemSoftware\Tortoise\bin\TSVNCache.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\CigdemSoftware\OpenOffice\program\soffice.exe
D:\DIESIM~2\TSBin\Sims2EP1.exe
C:\DOKUME~1\ZLEMCE~1\LOKALE~1\Temp\~e5.0001
C:\Dokumente und Einstellungen\***\Eigene Dateien\Uni-Cigdem\FireFox\firefox.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Uni-Cigdem\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.searchgateway.net/search/%s
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll
O1 - Hosts: 69.64.35.177 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet4_50.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = D:\CigdemSoftware\OpenOffice\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - hxxp://gn.one2bill.de/soft/axload.cab
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - h**p://install.global-netcom.de/ieloader.cab
O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - h**p://216.82.66.200/build/preload.cab
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - hxxp://bajor.informatik.uni-oldenburg.de/qp2.cab
O16 - DPF: {07E9CDF4-20D2-46B1-B681-663968F527CE} (iiittt Class) - h**p://www.begin2search.com/toolbar/winb2s32.cab
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - h**p://www.browserplugin.com/EroticAccess/cabs/1757004.cab
O16 - DPF: {17163BB4-107E-11D4-9B76-006097DF2317} (EABootStrap Class) - h**p://www.ea.com/downloads/games/common/boot_strap/iegils.cab
O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - h**p://download.nocreditcard.com/download/Object/ieaccess2XP.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - h**p://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\wx.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\wx.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - h**p://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {4BDAF1F5-6D21-42F9-AAB9-CE0050407803} (GameDesire Uninstaller) - hxxp://www.gamedesire.com/g_bin/ginuser_ger_2_0_0_3.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/261ea779957350a59606/netzip/RdxIE601_de.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - h**p://freeload.cc/secure/ieloader.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - h**p://dload.ipbill.com/del/loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://zone.msn.com/binFramework/v10/ZIntro.cab32846.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.service-url.de/StarInstall.ocx
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - h**p://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{796E849D-4812-4486-B60B-61471EC7E910}: NameServer = 212.6.108.140 212.6.108.141
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Gigamail 03.08.2005 17:55
Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe


Du solltest unbedingt Dein System updaten
Windowsupdate oder CD-Bestellung SP2


Lade dir LspFix

Deinstalliere unter Start à Einstellungen à Systemsteuerung/Software
NewdotNet oder NewNet oder ähnliches
Sollte dort nichts stehen, gehe auf die folgende Seite und führe die Prozedur 4 aus
http://www.newdotnet.com/removal.html#remove

Solltest du danach Probleme haben ins Netz zu kommen, repariere mit LspFix

Lade Dir Spybot-S&D und
Ad-Aware und update beide Programme.

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung
folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http: //www.searchgateway.net/search/%s
O1 - Hosts: 69.64.35.177 auto.search.msn.com
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet4_50.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http: //gn.one2bill.de/soft/axload.cab
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http: //install.global-netcom.de/ieloader.cab O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http: //216.82.66.200/build/preload.cab
O16 - DPF: {07E9CDF4-20D2-46B1-B681-663968F527CE} (iiittt Class) - http: //www.begin2search.com/toolbar/winb2s32.cab
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http: //www.browserplugin.com/EroticAccess/cabs/1757004.cab
O16 - DPF: {17163BB4-107E-11D4-9B76-006097DF2317} (EABootStrap Class) - http: //www.ea.com/downloads/games/common/boot_strap/iegils.cab O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - http: //download.nocreditcard.com/download/Object/ieaccess2XP.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\wx.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\wx.cab O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http: //akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {4BDAF1F5-6D21-42F9-AAB9-CE0050407803} (GameDesire Uninstaller) - http: //www.gamedesire.com/g_bin/ginuser_ger_2_0_0_3.cab O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http: //freeload.cc/secure/ieloader.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http: //dload.ipbill.com/del/loader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http: //install.service-url.de/StarInstall.ocx
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http: //www2.incredimail.com/contents/setup/downloader/imloader.cab

lösche von hand folgende Dateien/Ordner:

C:\Programme\NewDotNet --> falls noch vorhanden
c:\info6_s.cab
c:\ied_s7.cab
c:\wx.cab

scanne jetzt nacheinander mit Spybot und Ad-aware und lösche alle Funde

Neu booten neues HJt posten

Chili 03.08.2005 21:10
hier das log nachdem ich mit allem durch bin:
Logfile of HijackThis v1.99.1
Scan saved at 21:57:55, on 03.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
D:\CigdemSoftware\Tortoise\bin\TSVNCache.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\CigdemSoftware\Spybot - Search & Destroy\TeaTimer.exe
D:\CigdemSoftware\OpenOffice\program\soffice.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Uni-Cigdem\Downloads\HijackThis.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\CIGDEM~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\CigdemSoftware\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = D:\CigdemSoftware\OpenOffice\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - h**p://bajor.informatik.uni-oldenburg.de/qp2.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - h**p://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\wx.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\wx.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/261ea779957350a59606/netzip/RdxIE601_de.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://zone.msn.com/binFramework/v10/ZIntro.cab32846.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe



ehm, was hatte ich mir denn nun eingefangen??

Haui45 03.08.2005 21:18
Zitat:
Zitat von Gigamail
Sollte dort nichts stehen, gehe auf die folgende Seite und führe die Prozedur 4 aus
http://www.newdotnet.com/removal.html#remove
:eek: :balla:

Das würde ich nicht machen...


btw:
Zitat:
File: uninstall6_76.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain -, results will not be stored in the database.)
MD5 c3c3b102da3350325cdc39a6c5255175
Packers detected: -

Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found Adware.NewDotNet.B
Dr.Web
Found not a virus Adware.NewDotNet
F-Prot Antivirus
Found nothing
Fortinet
Found W32/Startpage.DU-dr
Kaspersky Anti-Virus
Found not-a-virus:AdWare.NewDotNet
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found AdWare.NewDotNet

cronos 03.08.2005 21:24
@ Haui

Full ack!

Das wäre ja fast das gleiche als würde ich mir bei der Antivirusgold-Variante von Smitfraud Antivirus-Gold kaufen. :daumenhoc

Infos zu newdotnet und Entfernung:

http://www.schmager.de/newdotnet.shtml

Gigamail 03.08.2005 22:04
@ Haui
@ Cronos

Full Ack!
aber da sind die in aderen Foren/Seiten wohl auf dem Holzweg, oder...

http://forum.hijackthis.de/showthrea...oto=nextnewest
http://www.tagesanzeiger.ch/dyn/digi...er/500087.html
http://www.cexx.org/newnet.htm

und selbst Microsoft verweist zu den Seiten des Herstellers. Auch komisch, aber scheint doch so zu sein http://www.mainzelahr.de/smile/frech/456.gif
http://support.microsoft.com/default...N-US%3Bq302463

cronos 03.08.2005 22:09
Viele ander Foren sind auf dem Holzweg!;)

Ich zitiere nochmal:

Zitat:
Die Deinstallation des Plug-Ins sollte man ausschließlich in der Systemsteuerung unter Software (Installieren/Deinstallieren) vornehmen. Dort die New.Net-Applikation anklicken und "Entfernen" drücken. Diese Methodik wird in einem M$-Artikel [4] und in den new.net-FAQs vorgeschlagen. Nach der Deinstallation sollte der Computer neu gestartet werden.

Andere Herangehensweisen führen offenbar zu größeren Problemen. Darauf wird im Artikel von cexx.org hingewiesen. Eine Diskussion im Forum von newbie.org [5] scheint dies zu bestätigen.

Haui45 03.08.2005 22:13
Zitat:
Zitat von Gigamail
aber da sind die in aderen Foren/Seiten wohl auf dem Holzweg, oder...
Ja.

Es ist natürlich durchaus möglich, dass die .exe nur das macht, was sie verspricht, aber kann man das vorhersehen?
Ich halte es eben mit der Grundregel, dass man unseriöser Software nicht vertrauen kann bzw. darf! Deinstallationsroutinen von allgemein bekannten "Adware-Seiten" sind da keine Ausnahme.

Chili 04.08.2005 00:57
Öhm...ich unterbreche ja nur ungern aber .... ist mein Rechner wieder gesund?
Und was war es denn nun genau?
Und, wie kann ich denn sowas in Zukunft verhindern??
Ich hatte meine Hausarbeit schon aufgegeben...Danke nochmals, habt mich gerettet!

Gigamail 04.08.2005 10:11
@ Chili

tut mir leid du bist in der Diskussion ganz untergegangen. Dein Rechner ist noch nicht ganz so wie es vielleicht sein soll. Hast du in der Zwischenzeit schon SP2 aufgespielt? Wenn nicht solltest du das schnellstens nachholen.
Lade dir eScan, lese die Anleitung genau, aber noch nicht scannen. (siehe meine Signatur)

Boote in den abgesicherten Modus bei deaktivierter Systemwiederherstellung und fixe noch folgende Einträge:

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\wx.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\wx.cab

lösche von Hand die Datei:

c:\wx.cab

überprüfe bitte die anderen O16 Eiträge ob sie dir bekannt sind wenn nicht dann mit fixen
Scanne jetzt das System mit eScan und teile das Ergebnis mit Hilfe der find.bat (in der Anleitung unter [5] beschrieben) mit

Neu booten neues HJT

Zitat:
Und was war es denn nun genau?
schau hier
oder im Link von Cronos

So um nochmal kurz auf das Thema einzugehen

@ Cronos
Auch wenn du nochmal zitierst, solltest du bitte auch meinen Post richtig durchlesen. Denn dort steht eigentlich nichts anderes. Nur wenn in der Systemsteuerung/Software nichts von Netnet oder Newdotnet steht, soll der User das Removal laden ;)

@ Haui
Gegen deinen Grundsatz habe ich nichts einzuwenden, aber doch kann deine Meinung nicht ganz teilen, da erstens von den Machern der Seite cexx.org auf den Remover hingewiesen wird und auch Microsoft sich da anschliesst.
Wohlbemerkt wenn nichts unter Software zu deinstallieren ist, denn sonst kommt das Tool ja garnicht zum Einsatz.
Da ich die einzelnen Dateien und Regeinträge nicht kenne um sie von der Platte zu putzen muss ich doch in so einem Fall auf das Tool zurückgreifen

Chili 04.08.2005 13:19
Ich kann seltsamerweise die Systemwiederherstellung nicht deaktiviere. Gestern als ich den Rechner im abgesicherten Modus gestartet hatte ging es ganz gut, aber heute sagt mir Windows ein Fehler würde auftreten bei Aktivieren/Deaktivieren und ich solle meinen Rechner nochmals hochfahren und es erneut versuchen. DAS habe ich jetzt 3 mal gemacht,a ber das interessiert die Systemwiederherstellung nicht im geringsten...

Ausserdem hatte ich beim ersten mal fixen mit HJT schon versucht diese wx.cab zu löschen, aber sie war gar nicht auffindbar.

edit: Zudem kann ich komischerweise meine Norton Firewall nicht mehr konfigurieren. Jedes mal, wenn ich eine Konfiguration vornehmen will erscheint ein Internetexplorer Skriptfehler:
http://www.informatik.uni-oldenburg....riptfehler.jpg
(ich geb den Link des Screenshots an, da mein Firefox mit dem einbinden des Bilds durch das Forum Probleme hat...)
Hat jemand eine Idee wo das Problem ist?
Ja oder Nein anklicken ändert nichts, ich kann meine Firewall nicht mehr einstellen :-(

Gigamail 04.08.2005 13:50
zur systemwiederherstellung schau mal hier Punkt 32. Vielleicht hilft das schon
Hast du schon mal einen Neuen Systempunkt erstellt und dann versucht zu deaktivieren?
Zum Norton kann ich dir leider nichts sagen
Wenn der O16 Eintrag im abgesicherten Modus nicht zu sehen ist dann fixe im normalen Modus und kontrolliere dort ob die Datei zu finden ist.
Lade dazu den Total Commander und nehme folgende Einstellung vor:
Total Commander öffnen --> Konfigurieren --> Einstellungen --> Ansicht --> Haken bei "Versteckte und Systemdateien anzeigen (nur für Experten)" --> Ok
Gehe im rechten Fenster zum entsprechenden Ordner/Datei (mit Leertaste oder rechter Maustaste markieren --> F8 --> JA)

Führe den eScan noch durch

Haui45 04.08.2005 18:36
Zitat:
Zitat von Gigamail
@ Haui
Gegen deinen Grundsatz habe ich nichts einzuwenden, aber doch kann deine Meinung nicht ganz teilen, da erstens von den Machern der Seite cexx.org auf den Remover hingewiesen wird und auch Microsoft sich da anschliesst.
Wohlbemerkt wenn nichts unter Software zu deinstallieren ist, denn sonst kommt das Tool ja garnicht zum Einsatz.
Da ich die einzelnen Dateien und Regeinträge nicht kenne um sie von der Platte zu putzen muss ich doch in so einem Fall auf das Tool zurückgreifen
Wenn du mein Posting nochmals durchliset, wirst du erkennen, dass ich es durchaus für möglich halte, dass der Uninstaller seinen Zweck erfüllt,
ABER
  • new.net entwickelt die gleichnamoge Foistware und bindet sie als "Geschenk" in andere Programme ein => nicht vertrauenswürdig.
  • es gibt genug Websites, die sich mit dem New.Net-Problem beschäftigen => es existieren durchaus einige Seiten, die die manuelle Entfernung beschreiben. [1]
  • Spybot S&D und Ad-Aware sollten mit der Entfernung keine Probleme haben.


[1]
Code:
Manual removal
A and B variants

Manual removal is quite involved and easily botched, resulting in a loss of network connection. Be very careful.

Before the newdotnet[version number].dll file can be deleted, it must be removed from the Winsock2 LSP chain. CounterExploitation’s tool LSPFix can do this for you. Download it, run it and tell it to Remove newdotnetN_NN.dll and Keep everything else.

[LSP removal can also be done by hand as a last resort but it’s very easy to get wrong. Instructions for the brave: open the registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters. Open the subkey NameSpace_Catalog5\Catalog_Entries and check each subkey’s LibraryPath value on the right. If it points to newdotnetN_NN.dll, delete that subkey. Renumber the remaining subkeys so that they are contiguous (ie. 000000000001, 000000000002 etc. with no gaps) and set the value of the Num_Catalog_Entries value inside the NameSpace_Catalog5 key to the highest number reached. Next do the same for Protocol_Catalog9\Catalog_Entries. Remove subkeys where the PackedCatalogItem value, when opened, has the full file path of newdotnetN_NN.dll at the start; don’t be fooled by entries that merely have the name ‘newdotnet’ scattered about the value. Often the subkeys involved are the first two and last two. Renumber the subkeys contiguously and set the New_Catalog_Entries value in Protocol_Catalog9 to the same number (decimal, not hexadecimal) as the last entry.]

Having now removed the LSP, open the registry (click ‘Start’, choose ‘Run’, enter ‘regedit’) and select the key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects and delete the subkey ‘{DD770A75-CE18-11D5-98D8-00E018981B9E}’ (A variant) or ‘{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}’ (B variant).
B variant

Now you must delete the entry NewDotNet uses to regenerate itself on startup. NewDotNet protects this entry, so to delete it, restart the computer in Safe Mode (hammer F8 during start-up, just before Windows starts to load, then choose Safe Mode from the menu) and open the registry. Select the key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run and, on the right, delete the entry ‘New.net startup’ pointing to rundll32.
A and B variants

Now restart the computer normally and you should be able to delete the NewDotNet folder (B variant) or the newdotnet DLL in the Windows directory (A variant). You can also delete the registry keys HKEY_LOCAL_MACHINE\Software\new.net and HKEY_CURRENT_USER\Software\New.net to clean up if you like, along with HKEY_CLASSES_ROOT\Tldctl2.URLLink[.1] and HKEY_CLASSES_ROOT\CLSID\{DD770A75-CE18-11D5-98D8-00E018981B9E} (A variant) or HKEY_CLASSES_ROOT\CLSID\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} (B variant)
FirstLook variant

Open the registry (click ‘Start’, choose ‘Run’, enter ‘regedit’) and select the key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Delete the entry ‘FirstLook’ pointing to firstlook.exe. Restart the computer and you should be able to delete the FirstLook folder in Program Files.
QuickSearch variant

First, find the filename for the current version of QuickSearch. Open the QuickSearch folder inside the Program Files folder and look for the highest-numbered file.

Open a Command Prompt window (click Start, open the Programs menu, Accessories submenu; called ‘DOS Prompt’ on Windows 95/98/Me) and type the following commands:

    cd %WinDir%\System
    regsvr32 /u "\Program Files\QuickSearch\QuickSearchBarN_NN.dll"

Replace N_NN with the version number you saw. You may also need to adjust this command for non-English Windows versions where the Program Files folder is not called ‘Program Files’.

Restart the computer and you should be able to delete the QuickSearch folder.
Quelle: http://www.doxdesk.com/parasite/NewDotNet.html

Chili 09.08.2005 10:26
So, da bin ich wieder.
Ich hatte leider arge Probleme mit eScan. Immer wenn ich scannen will macht er das auch am Anfang und hält sich damit auch etwa 20 Minuten auf, bis das Programm einfach aufhört, ohne überhaupt fertig zu sein. Es tut dann plötzlich quasi nichts mehr, obwohl er grade mal mit der einen Festplatte fertig ist und noch 3 andere warten. Ich bin eigentlich der angebenen Bedienung gefolgt.
Zudem ist mir das mit dem find.bat nicht so ganz schlüssig geworden. es heißt bei der Anleitung, dass nach dem scannen die find.bat ausgeführt werden soll und dann einen .txt erstellt wird...also...bei mir geht das nicht. ich hab dann keine neue txt irgendwo rumfliegen.

Naja, ich hab einfach mit HJT alles gemacht was mir geraten wurde und hier ist das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:13:55, on 09.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\CigdemSoftware\Tortoise\bin\TSVNCache.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Uni-Cigdem\Downloads\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\***~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\***\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: OpenOffice.org 1.1.4.lnk = D:\***\OpenOffice\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - h**p://bajor.informatik.uni-oldenburg.de/qp2.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/261ea779957350a59606/netzip/RdxIE601_de.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://zone.msn.com/binFramework/v10/ZIntro.cab32846.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Wildone 09.08.2005 10:40
Hallo,
öffne mal die C:\Bases_X\MWAV.LOG
gehe dann auf bearbeiten>>suchen und gib infected ein (vielleicht auch noch found) und poste die entsprechenden Einträge hier her.



Grüße Wildone

Gigamail 09.08.2005 10:53
Bis auf das SP2 fehlt, sieht dein Log jetzt sauber aus. Du solltest aber noch berücksichtigen damit zwei aktive Virenscanner nur dein System langsam machen und nicht doppelt schützen. Also entscheide dich für einen.
Da die ergebnisse von escan fehlen kann man schlecht eine weitere Auswertung machen. Du solltest schon nochmal versuchen ihn ans laufen zu bringen. Mit der find.bat ist doch eigentlich ganz einfach, du ladest dir die datei wie beschrieben runter und entpackst sie meinetwegen auf das Desktop, wenn jetzt escan im richtigen verzeichnis ist (C:\Bases_X) dann kannst du die find.bat doppeltklicken, es öffnet sich ein Dos Fenster es rattern ein paar Zeilen durch und dann findest du auf C:\
eine neue Datei mit Namen eScan_neu.txt
Wenn das so wirklich nicht funktionieren sollte wird in der Anleitung zum eScan auch noch eine alternative angeboten. Also nochmal lesen.
Wenn eScan überhaupt nicht funktionieren sollte versuche mit der 30 TageVersion http://www.gdata.de/trade/productview/472/3/ zu scannen und die Funde löschen

Chili 09.08.2005 11:22
Mit den zwei aktiven Virenscannern meinst du sicherlich Norton und den Spybot, oder? Ich hab mir auch schon gedacht, dass das etwas zuviel für meinen Rechner ist.
Reicht der Spybot denn aus?

Ich werde mich nochmal an eScan versuchen...das muss ja irgendwie gehen.

Vielen Lieben Dank nochmals für alles :-) !!!

Wildone 09.08.2005 11:28
Hallo,
nein Gigamail hat, denke ich, eher gemeint das du AntiVir und Norton auf deinem Rechner hast, du solltest dich für eines von beiden entscheiden, je nach dem mit welchem du besser zurecht kommst. Spybot kannst du ruhig parallel laufen lassen, die stören sich nicht.


Grüße Wildone

Gigamail 09.08.2005 11:33
Zitat:
Zitat von Wildone
nein Gigamail hat, denke ich, eher gemeint das du AntiVir und Norton auf deinem Rechner hast, du solltest dich für eines von beiden entscheiden, je nach dem mit welchem du besser zurecht kommst.
richtig hatte ich gemeint :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131