Hallo zusammen,

Seit 2 kämpfe ich, mittlerweile schon fast verzweifelt gegen die NEWDOT und WHENUSAVE Parasiten. Zunächst vorausschickend: Ich bin kein Gast bei einschlägigen Peer-to-Peer Download Seiten und dachte eigentlich immer, ich würde mich nur auf sicheren Internetseiten aufhalten und mir könne nichts passieren. Der einzige Fehler imo war, das ich mich letzte Woche von einem Bekannten zu einem Programm names "Style XP" bzw "ThemeXP" usw. habe verführen lassen, wollte auch so einen tollen Desktop haben. Ich Depp. Als die Probleme anfingen dachte ich sofort an Trojaner und Würmer, leider zu spät, könnte mich jetzt noch dafür geiseln.

Der Kampf begann. Bevor ich um Hilfe in Foren schreie, versuche ich es immer erst mal selbst, nachdem ich zum Thema recheriert habe, was diesmal hoffentlich kein Fehler war. Konnte auch mit einschlägigen Tools und natürlich Hijackthis das meiste ausfindig machen und sogar, so glaube ich entfernen. Nach den besagten 2 Tagen Kampf, also gestern abend, dachte ich endlich wieder ein sauberes System wie vorher zu haben, die Systemleistung - insbesondere die Internetgeschwindigkeit, stimmten wieder so wie ich es vorher gewöhnt war. Und das ist immer noch so. Kurz vor dem Zubettgehen lies ich nach einem Reboot nochmal AdAware scannen und es wurde zu meiner Freude auch nichts mehr gefunden, kein newdot, whenusave, clocksync mehr! Schnell noch das AdAware "Ad-Watch" einschalten - und da waren sie wieder - alle drei. Ich hätt heulen können - Adwatch meldete mir wieder newdot, whenusave und clocksync mit Registry-Location, ich konnts net fassen

Jedenfalls stimmt meine Systemleistung und die Internetgeschwindigkeit wieder, welche ja in den letzten Tagen drastisch gesunken war. Jetzt wäre meine Frage, kann es sein das mein System evtl. doch sauber ist und nur noch die Reg-Einträge vorhanden sind, obwohl sie mit hijackthis nicht angezeigt werden ? Oder kann es sein das die Parasiten noch da sind und in ein paar Tage ist wieder alles verseucht ?
Für Eure Hilfe wäre ich sehr dankbar und hoffe, ein Neuaufsetzen meines Systems noch vermeiden zu können.

Da ich dies hier von meinen ArbeitsplatzPC aus poste, kann ich noch keine Hijackthis-Log posten, das würde ich aber gerne heute nachmittag nachholen wenn gewünscht.

Zur Info schon mal hier meine Systemdaten:
Windows XP SP1
Standard-Browser: Mozilla 1.6
Sicherheitsprogramme:
Norton Antivirus 2004
Norton PFW
AdAware

Bin geschockt, gestern war fast alles weg, jetzt ist der Mist wieder drin Kann mir jemand helfen ?


Logfile of HijackThis v1.97.7
Scan saved at 15:43:46, on 02.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
G:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
G:\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\a2\a2guard.exe
C:\WINDOWS\System32\ctfmon.exe
G:\Norton AntiVirus\OPScan.exe
G:\MOZILLA\MOZILLA.EXE
E:\hijackthis\HijackThis.exe

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [APVXDWIN] "g:\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [CloneCDTray] "g:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ClockSync] "C:\Programme\ClockSync\Sync.exe" /q
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D1DAB40-3A0F-4546-B6EA-DF7677BBDDE9}: NameServer = 192.168.2.1,62.225.252.16

Seit 2 Tagen und endlosen Patches habe ich nun dieses Scanergebnis. Wäre jemand so nett mal kurz drüberzuschauen und mir zu sagen ob jetzt alles ok ist ? Eine Neuinstallation wäre wirklich ein Katasrophe für mich.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [GhostStartTrayApp] G:\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [PPMemCheck] G:\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] G:\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D1DAB40-3A0F-4546-B6EA-DF7677BBDDE9}: NameServer = 192.168.2.1,62.225.252.16

Start\Ausfuehren\regedit

# Start the registry editor. This is done by clicking Start then Run. (The Run dialog will appear.) Type regedit and click OK. (The registry editor will open.)
# Browse to the key:
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run'
# In the right pane, delete the value called 'SaveNow' or 'WhenUSave', if it exists.
# Exit the registry editor.
# Restart your computer.
# Delete the following directory and its content: %ProgramsDir%\Save\
# Delete the following directory and its content: %ProgramsDir%\SaveNow\
Note: %ProgramsDir% is a variable (?). By default, this is C:\Program Files.
........................................................................................................

1. reates the following files in the C:\Program Files\Save folder:
* Save.exe
* Save.html
* Readme.txt

* SaveUninst.exe

2. Creates the registry keys:

HKEY_LOCAL_MACHINE\Software\WhenUSave
HKCR\WUSN.1
1. Using Windows Explorer, go to C:\Program Files\Save.
2. In the right pane, double-click SaveUninst.exe.
3. Follow any prompts.


...................................................................................................

# Creates the folder, C:\Program Files\NewDotNet, and copies files into it.

# Adds the value:

"New.net Startup"="rundll32 C:\Progra~1\Newdot~1\Newdot~1.dll, NewDotNetStartup"

to the following registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

# Creates the following registry keys:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\New.net
* HKEY_LOCAL_MACHINE\SOFTWARE\New.net
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2
\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004
* HKEY_CLASSES_ROOT\CLSID\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E
* HKEY_CLASSES_ROOT\Tldctl2.URLLink
* HKEY_CLASSES_ROOT\Tldctl2.URLLink.1
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink.1
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}

.................................................................................................................
dann mache einen Onlinescann mit Pestscann
http://www.pestscan.com/ScanOrTrial.asp

loesche die TemporaryInternetFiles unter InternetOptionen

und lade die mwav.exe und poste mir das Log vom scann
http://www.mwti.net/antivirus/free_utilities.asp

MfG
Nikita

http://sarc.com/avcenter/venc/data/pf/a ... venow.html
http://sarc.com/avcenter/venc/data/pf/a ... otnet.html