Hallo zusammen

Als Internet Security-Paket habe ich Norton.

Vor ein paar Tagen habe ich wieder einmal den Virus-Scan laufen lassen. Plötzlich fand er was - 1 Bedrohung.

NDNuninstall4_85.exe Gemäss der Detailinfo handelt es sich um eine Adware (Adware.NDotNet). Norton konnte es (natürlich) nicht löschen.

Habe dies mit vielen Programmen versucht zu löschen. Mit Ad-Aware SE Personal , mit Spybot sowie mit dem SpywareBlaster. Nichts half - dort findet er diese Adware-Bedrohung gar nicht.

Hier noch der Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 22:43:13, on 13.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\STREAM~1\REMOTE\zremote.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\DOKUME~1\Dejan\LOKALE~1\Temp\Temporäres Verzeichnis 12 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.20min.ch
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [StreamZap Remote] C:\PROGRA~1\STREAM~1\REMOTE\zremote.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://www.20min.ch
O15 - Trusted Zone: http://www.babelfish.altavista.com
O15 - Trusted Zone: http://www.cablecom.ch
O15 - Trusted Zone: http://www.cardomain.com
O15 - Trusted Zone: http://www.chefkoch.de
O15 - Trusted Zone: http://www.ebay.ch
O15 - Trusted Zone: http://www.sunrise.ch
O15 - Trusted Zone: http://www.tiscali.ch
O15 - Trusted Zone: http://www.vtxnet.ch
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9FC5238F-12C4-454F-B1B5-74599A21DE47} (Webshots Photo Uploader) - http://community.webshots.com/html/WSPhotoUploader.CAB
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} -
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Danke im Voraus.

Gruss
Dean

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Hy Nikita

Erstmals vielen Dank für die rasche Hilfe/Antwort.

Das CleanUp-Programm habe ich wunschgemäss installiert, die nötigen Einstellungen gemacht und schlussendlich durchgeführt (mit Neustart).

Hier die Log-Dateien mit der Datfind.bat-Datei.

1.Log
Verzeichnis von C:\WINDOWS\system32

02.03.2006 18:46 1'158 wpa.dbl
14.02.2006 01:53 4'510'560 MRT.exe
31.01.2006 14:35 91'904 S32EVNT1.DLL
04.01.2006 04:35 68'096 webclnt.dll
29.12.2005 03:54 280'064 gdi32.dll
19.12.2005 19:30 4'730'880 wmp.dll
05.12.2005 06:12 56'832 pxcpya64.exe
05.12.2005 06:12 56'320 pxinsa64.exe
01.12.2005 04:31 1'492'480 shdocvw.dll

2. Log
Verzeichnis von C:\DOKUME~1\Dejan\LOKALE~1\Temp
Dieser ist leer!

3. Log
Verzeichnis von C:\WINDOWS

14.03.2006 18:57 0 0.log
14.03.2006 18:57 4'236 ModemLog_Agere Systems AC'97 Modem.txt
14.03.2006 18:56 159 wiadebug.log
14.03.2006 18:56 2'048 bootstat.dat
14.03.2006 18:55 1'253'128 WindowsUpdate.log
14.03.2006 18:55 50 wiaservc.log
14.03.2006 18:55 32'386 SchedLgU.Txt
06.03.2006 21:10 670'064 setupapi.log
26.02.2006 17:22 956 WINCMD.INI
24.02.2006 07:25 1'409 QTFont.for
24.02.2006 07:25 54'156 QTFont.qfn
24.02.2006 07:23 0 JCMkr32.INI
24.02.2006 07:20 220'483 setupact.log
23.02.2006 12:50 34 cdplayer.ini
16.02.2006 21:20 29'826 spupdsvc.log
16.02.2006 19:22 337'286 tsoc.log
16.02.2006 19:22 10'666 KB911927.log
16.02.2006 19:22 31'163 updspapi.log
16.02.2006 19:22 1'374 imsins.log
16.02.2006 19:22 860'270 FaxSetup.log
16.02.2006 19:22 242'317 comsetup.log
16.02.2006 19:22 148'277 ntdtcsetup.log
16.02.2006 19:22 452'546 ocgen.log
16.02.2006 19:22 43'099 msgsocm.log
16.02.2006 19:22 28'786 ocmsn.log
16.02.2006 19:22 130'576 iis6.log
16.02.2006 19:22 8'656 KB911564.log
16.02.2006 19:22 57'644 wmsetup.log
16.02.2006 19:22 1'374 imsins.BAK
16.02.2006 19:21 8'900 KB911565.log
16.02.2006 19:21 6'587 KB913446.log
12.01.2006 03:39 10'068 KB908519.log
07.01.2006 16:25 316'640 WMSysPr9.prx
06.01.2006 16:07 10'949 KB912919.log
17.12.2005 20:53 78'123 DirectX.log
16.12.2005 14:55 10'389 KB910437.log
16.12.2005 14:55 16'294 KB905915.log

4. Log
Verzeichnis von C:\

14.03.2006 19:12 0 sys.txt
14.03.2006 19:10 11'997 system.txt
14.03.2006 19:09 124 systemtemp.txt
14.03.2006 19:01 104'031 system32.txt
14.03.2006 18:56 519'622'656 hiberfil.sys
14.03.2006 18:56 779'329'536 pagefile.sys
26.02.2006 17:13 97'980 TREEINFO.WC

So, hoffe alles richtig gemacht zu haben.

Gruss
Dean

es ist nichts mehr zu finden vom New.net

installiere ewido, scanne im abgesicherten Modus und poste dann den scanreport
http://virus-protect.org/ewido.html

Hy Nikita

Ich kanns nicht glauben. Gestern habe ich am Schluss den Spyware nochmals laufen lassen und da hat er genau diese Adware (und weitere) gefunden.

Dann habe ich mit dem Norton nochmals gescannt und er hat nichts mehr gefunden.

Nochmals Danke für die Info.

gruss
dean