  | |
| Spyware / NEWDOT.DLL | |
|
Von: Jackson ** am 15.04.2007 wie schon so oft habe ich mal wieder ein Problem. Ich bekomme immer wieder die gleiche fehlermeldung, wenn ich meinen Computer starte. Diese Fehlermeldung bekomme ich erst, seid ich ein Vist Style für meinen Computer installiert habe. Damit ist noch eine weiter Meldung gekommen, die ich mittlerweile zusammen mit einen Freund unterbinden konnte. Das Style ist deinstalliert und existiert nicht mehr. Nun macht mir dieses Newdot.dll noch probleme. Bild]www.bilder-hochladen.net%2Ffiles%2F2dtc-4.jpg">Bild[/url] anzeigen (Fremder Server, 449x165 Pixel) Primärer Link dazu: http://www.bilder-hochladen.net/files/2dtc-4.jpg Dies ist die Fehlermeldung. wäre gut wenn man mir dabei helfen könnte. Ich habe bereits den Pfad deinstalliert und gelöscht, jegliche Registry Einträge sind ebenfalls gelöscht. Soweit ich das mitbekommen habe ist dies Spyware... MfG, Jackson | |
|
Antwort 1 von Sir Reklov am 15.04.2007 erstelle mal ein Logfile mit Hilfe von "Hijackthis" Dann werden wir sehen,was zu tun ist.Vermutlich werden deine Winsocks repariert werden müssen.... Aber Gemach...erst das Log Sir Reklov | |
|
Antwort 2 von Jackson ** am 15.04.2007 Ich danke für die Hilfe bis hier hin. Problem gelößt  Danke das du mich auf das Programm gebracht hast.  MfG, Jackson | |
|
Antwort 3 von Sir Reklov am 15.04.2007 normalerweise kommt noch mein legendärer Nachsatz,den ich heute aus irgend einem Grunde unterschlagen habe...  Also Erstelle ein Logfile mit Hijackthis )jetzt kommt er  und poste es hier,ohne die automatische Auswertung zu benutzen !Wenn du willst ,poste es...mal drüber schauen scad nix... Sir Reklov | |
|
Antwort 4 von Jackson ** am 15.04.2007 Logfile of HijackThis v1.99.1 Scan saved at 21:28:46, on 15.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.5.0_11\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Xfire\xfire.exe C:\WINDOWS\regedit.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\WINDOWS\system32\cidaemon.exe C:\DOKUME~1\Tobias\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: (no name) - {A6984C00-C6EB-11D4-B4A4-080000180323} - (no file) O2 - BHO: (no name) - {C47A9554-195A-4769-9B13-04F15B450A39} - C:\WINDOWS\system32\xxyvvtt.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\rapidown.exe (file missing) O9 - Extra 'Tools' menuitem: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\rapidown.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1176633522843 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: xxyvvtt - xxyvvtt.dll (file missing) O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe EDIT: BIN MORGEN ERST WIEDER NACH DER SCHULE DA ^^ ALSO NET AUF SCHNELLE ANTWORTEN HOFFEN | |
|
Antwort 5 von HELP am 15.04.2007 laut dem HijackThis-Log sind zu mindestens Reste einer weiteren Infektion noch auf deinen PC und die Malware NewDotNet ist wohl auch noch aktiv! , Daher überprüfe deinen PC mit dem Freeware Online-Scanner von F-Secure. Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion. Beachte bitte dabei die folgende Anleitung genau und arbeite sie unbedingt in der Reihenfolge und vollständig ab! Deaktiviere zuerst die Systemwiederherstellung von Windows, nur bei XP und ME. Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien, ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner, http://www.ccleaner.com/ccdownload.asp und führe den Befehl Cleaner aus. F-Secure Online Scanner http://support.f-secure.de/ger/home/ols.shtml (Einige wenige Teile der Software sind in Englisch) Wähle die Option Vollständiger Systemscan Zur Kontrolle sollte noch eine zweite Überprüfung mit dem kostenlosen Online-Scanner Panda ActiveScan vorgenommen werden. http://www.pandasoftware.com/activescan/de/activescan_principal.htm (Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen. Eventuellen Meldungen von Panda unter Spyware:Cookie sind harmlos und stellen keine akute Gefahr dar.) Poste bitte auf jeden Fall die ausführlichen Berichte der Scanner hier ! Boote jetzt den PC neu und aktiviere die Systemwiederherstellung wieder. Zum Schluss erstelle ein neues HijackThis-Log und poste den Logfile hier. | |
|
Antwort 6 von Sir Reklov am 15.04.2007 knapp daneben ist halt auch vorbei... Zitat O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s Erst schaust du unter Start > Systemsteuerung > Software nach Newdot net. Findest du was >deinstallieren !!Dann nimmst du die "suchen" Funktion und gibst ein newdot und newnet sowie Kombinationen davon,bis du alles durch hast.Bekommst du was angezeigt,klicke drauf und lösche es.Pass auf das du nur Teile von "Newdotnet" erwischst....... Dann erstellst du ein neues Hijackthis-Log und fixt den oben gezeigten Eintrag. Im Log den Eintrag anhaken und "fix checked" klicken. Zu guter Letzt denkst du noch über einen neuen Downloadmanager nach.... Ich würde zu "get right" raten,der ist Spionfrei...  Deinstalliere den "Rapidown",nach obigem Muster... Es ist egal ob du Malware entfernst oder rogramme,das Prinzip ist das Gleiche.... Aber es ist deine Entscheidung,ich habe zumindest widersprüchliches über "Rapiddown" gelesen.... Sir Reklov | |
|
Antwort 7 von Jackson ** am 16.04.2007 Unter Software war nichts mehr, dass habe ich aber auch schonmal nachgeschaut. Bei der Suche ist ebenfalls nichts herumgekommen. Zu Rapiddown. Deinstalliert ist es schon lange, nur mir ist auch schon aufgefallen da es ab und zu doch nochmal in vorschein getreten ist. Ich habe selber mitbekommen, dass es nicht besonders "gut" sein soll. Anderen Download Manager? Ist dieser den ich habe etwa nicht sicher??? GEfunden habe ich ihn unter den erweiterungen.de Features vom Firefox... Aber ich werde mich dann doch lieber an den Rat halten Wennn ich das nun gemacht habe Sor Reklov, soll ich das von den Gast auch machen  MfG, Jackson EDIT: Der Eintrag den ich fixen soll, ist nicht mehr vorhanden !!! Und nun ? Fertig oder noch weiteres? EDIT 2: Habe nun den Download Manager "Get right" und habe ihn auch gleich auf deutsch gemacht, da meine Englisch Kenntniss doch nicht die beste ist. Weißt du zufällig ob man ihn auch als Browser Tab machen kann ? Wäre etwas schöner  Zudem ist das nur ne Trialversionen *sie verdamm* ^^ | |
|
Antwort 8 von Sir Reklov am 16.04.2007 Zitat Ist dieser den ich habe etwa nicht sicher??? "Sicher" ist relativ... Nein...hat weniger mit Sicherheit zu tun,eher mit ausspionieren... Zitat GEfunden habe ich ihn unter den erweiterungen.de Features vom Firefox Wenn "erweiterungen-de" eine offizielle Seite für Firefox ist,dürfte das eigentlich kein Problem sein....Ich nutze einen anderen Browser,deshalb kann ich dir auch zu der Einbindung nicht wirklich was sagen. Die "Firefox Gemeinde" ist groß und es lassen sich sehr gute Seiten dazu finden. Zitat Ich habe selber mitbekommen, dass es nicht besonders "gut" sein soll. Gut oder nicht ist nicht die Frage bei einem Downloadmanager......Die sind eh alle gleich gut,es hängt von Providern und den Downloadseiten sowie deinen Hardwaremöglichkeiten ab. Es geht mehr um deine Privatsphäre.... Manch ein Manager sieht gerne was du runterlädst und andere bringen Werbung mit.... Wem das egal ist,der kann irgend einen nehmen.... Zitat Zudem ist das nur ne Trialversionen *sie verdamm* ^^ Warte es ab... "Winrar" ist auch so aufgebaut.... Zitat Wennn ich das nun gemacht habe Sor Reklov, soll ich das von den Gast auch machen Den Satz verstehe ich nicht wirklich... Zitat Unter Software war nichts mehr, dass habe ich aber auch schonmal nachgeschaut. Bei der Suche ist ebenfalls nichts herumgekommen. Gut..dann dürfte "newdotnet" Geschichte sein... "Alte Geschichten" tauchen möglicherweise in der "system Volume" nochmal auf,bei einem Scan. Das ist aber nicht tragisch."System Volume" ist die Systemwiederherstellung von Windows. Dazu dann Systemwiederherstellung auf allen Laufwerken abschalten und Kiste ausschalten. Kiste an,Systemwiederherstellung an und fertig... Nicht verrückt machen,es ist alles im grünen Bereich... Sir Reklov | |
|
Antwort 9 von Jackson ** am 16.04.2007 Und mit dem "gut" Das war zu dem Rapiddown gemeint, nicht zum Download Manager | |
| « zurück | Antworten |
![Bild]www.bilder-hochladen.net%2Ffiles%2F2dtc-4.jpg">Bild[/url] anzeigen (Fremder Server, 449x165 Pixel)](mobil-attachments-anzeigen.php?lokal=0&board=17&topic=164159&url=http%3A%2F%2 [url=http://www.bilder-hochladen.net%2Ffiles%2F2dtc-4.jpg){kind=link}