Spyware / NEWDOT.DLL

Hallo,
erstelle mal ein Logfile mit Hilfe von "Hijackthis"
Dann werden wir sehen,was zu tun ist.Vermutlich werden deine Winsocks repariert werden müssen....
Aber Gemach...erst das Log
Sir Reklov

So,  ich habe dieses Programm mal durchlaufen lassen, und habe da den mir schon bekannten Grund gefunden. Der Eintrag "New.net Startup" war der ursacher.
Ich danke für die Hilfe bis hier hin. Problem gelößt 
Danke das du mich auf das Programm gebracht hast.

MfG,
Jackson

Hallo,
normalerweise kommt noch mein legendärer Nachsatz,den ich heute aus irgend einem Grunde unterschlagen habe...
Also
Erstelle ein Logfile mit Hijackthis )jetzt kommt er    und poste es hier,ohne die automatische Auswertung zu benutzen !
Wenn du willst ,poste es...mal drüber schauen scad nix...
Sir Reklov

Okay wie du willst ^^ Kannst ja vlt. gleich noch nach anderen dingen schauen ^^ aber wie gesagt, das mit dem Ne.net is beseitigt ^^


Logfile of HijackThis v1.99.1
Scan saved at 21:28:46, on 15.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Xfire\xfire.exe
C:\WINDOWS\regedit.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\cidaemon.exe
C:\DOKUME~1\Tobias\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {A6984C00-C6EB-11D4-B4A4-080000180323} - (no file)
O2 - BHO: (no name) - {C47A9554-195A-4769-9B13-04F15B450A39} - C:\WINDOWS\system32\xxyvvtt.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\rapidown.exe (file missing)
O9 - Extra 'Tools' menuitem: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\rapidown.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1176633522843
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: xxyvvtt - xxyvvtt.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

EDIT: BIN MORGEN ERST WIEDER NACH DER SCHULE DA ^^ ALSO NET AUF SCHNELLE ANTWORTEN HOFFEN

Hallo Jackson,
laut dem HijackThis-Log sind zu mindestens Reste einer weiteren Infektion noch auf deinen PC und die Malware NewDotNet ist wohl auch noch aktiv!
,
Daher überprüfe deinen PC mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

Beachte bitte dabei die folgende Anleitung genau und arbeite sie unbedingt in der Reihenfolge und vollständig ab!

Deaktiviere zuerst die Systemwiederherstellung von Windows, nur bei XP und ME.
Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

F-Secure Online Scanner
http://support.f-secure.de/ger/home/ols.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“

Zur Kontrolle sollte noch eine zweite Überprüfung mit dem kostenlosen Online-Scanner Panda ActiveScan  vorgenommen werden.
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)

Poste bitte auf jeden Fall die ausführlichen Berichte der Scanner hier !
Boote jetzt den PC neu und aktiviere die Systemwiederherstellung wieder.

Zum Schluss erstelle ein neues HijackThis-Log und poste den Logfile hier.
 

Hallo,
knapp daneben ist halt auch vorbei...

 

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
 

Erst schaust du unter Start > Systemsteuerung > Software nach Newdot net. Findest du was >deinstallieren !!

Dann nimmst du die "suchen" Funktion und gibst ein newdot und newnet sowie Kombinationen davon,bis du alles durch hast.Bekommst du was angezeigt,klicke drauf und lösche es.Pass auf das du nur Teile von "Newdotnet" erwischst.......
Dann erstellst du ein neues Hijackthis-Log und fixt den oben gezeigten Eintrag.
Im Log den Eintrag anhaken und "fix checked" klicken.
Zu guter Letzt denkst du noch über einen neuen Downloadmanager nach....
Ich würde zu "get right" raten,der ist Spionfrei...
Deinstalliere den "Rapidown",nach obigem Muster...
Es ist egal ob du Malware entfernst oder rogramme,das Prinzip ist das Gleiche....
Aber es ist deine Entscheidung,ich habe zumindest widersprüchliches über "Rapiddown" gelesen....
Sir Reklov

Also ich habe nun erstmal das von Sir Reklov gemacht.

Unter Software war nichts mehr, dass habe ich aber auch schonmal nachgeschaut. Bei der Suche ist ebenfalls nichts herumgekommen.

Zu Rapiddown. Deinstalliert ist es schon lange, nur mir ist auch schon aufgefallen da es ab und zu doch nochmal in vorschein getreten ist. Ich habe selber mitbekommen, dass es nicht besonders "gut" sein soll.

Anderen Download Manager? Ist dieser den ich habe etwa nicht sicher??? GEfunden habe ich ihn unter den erweiterungen.de Features vom Firefox...
Aber ich werde mich dann doch lieber an den Rat halten

Wennn ich das nun gemacht habe Sor Reklov, soll ich das von den Gast auch machen ???

MfG,
Jackson

EDIT: Der Eintrag den ich fixen soll, ist nicht mehr vorhanden !!! Und nun ? Fertig oder noch weiteres?
EDIT 2: Habe nun den Download Manager "Get right" und habe ihn auch gleich auf deutsch gemacht, da meine Englisch Kenntniss doch nicht die beste ist.
Weißt du zufällig ob man ihn auch als Browser Tab machen kann ? Wäre etwas schöner   Zudem ist das nur ne Trialversionen *sie verdamm* ^^

Hallo,
 

Ist dieser den ich habe etwa nicht sicher???

"Sicher" ist relativ...
Nein...hat weniger mit Sicherheit zu tun,eher mit ausspionieren...
 

GEfunden habe ich ihn unter den erweiterungen.de Features vom Firefox

Wenn "erweiterungen-de" eine offizielle Seite für Firefox ist,dürfte das eigentlich kein Problem sein....
Ich nutze einen anderen Browser,deshalb kann ich dir auch zu der Einbindung nicht wirklich was sagen.
Die "Firefox Gemeinde" ist groß und es lassen sich sehr gute Seiten dazu finden.

 

Ich habe selber mitbekommen, dass es nicht besonders "gut" sein soll.
 

Gut oder nicht ist nicht die Frage bei einem Downloadmanager......
Die sind eh alle gleich gut,es hängt von Providern und den Downloadseiten sowie deinen Hardwaremöglichkeiten ab.
Es geht mehr um deine Privatsphäre....
Manch ein Manager sieht gerne was du runterlädst und andere bringen Werbung mit....
Wem das egal ist,der kann irgend einen nehmen....

 

Zudem ist das nur ne Trialversionen *sie verdamm* ^^  

Warte es ab...
"Winrar" ist auch so aufgebaut....

 

Wennn ich das nun gemacht habe Sor Reklov, soll ich das von den Gast auch machen

Den Satz verstehe ich nicht wirklich... ???

 

Unter Software war nichts mehr, dass habe ich aber auch schonmal nachgeschaut. Bei der Suche ist ebenfalls nichts herumgekommen.

 

Gut..dann dürfte "newdotnet" Geschichte sein...
"Alte Geschichten" tauchen möglicherweise in der "system Volume" nochmal auf,bei einem Scan.
Das ist aber nicht tragisch."System Volume" ist die Systemwiederherstellung von Windows.
Dazu dann Systemwiederherstellung auf allen Laufwerken abschalten und Kiste ausschalten.
Kiste an,Systemwiederherstellung an und fertig...

Nicht verrückt machen,es ist alles im grünen Bereich...
Sir Reklov

Dieser Gast hat über deinen Beitrag etwas geschrieben ^^

Und mit dem "gut"
Das war zu dem Rapiddown gemeint, nicht zum Download Manager