O10 - Hijacked Internet access by New.Net

[Pan]

Also ich habe bei mir Trojancheck installiert (falls das einer von euch kennt) und als ich heute ins Internet bin hat es Alarmgeschlagen, dass sich etwas in die Registry eintragen will... dieses ding nannte sich New.net und das kam mir schon verdächtig vor und hab es abgelehnt.. aber es hat anscheinend doch was hinterlassen.. ein Kumpel meinte dass es die neue Version von Sasser sei... ich hab hier im Forum auch schon ein paar Logs gesehen die ähnlich aussehen wie mein eigener.. ich weiß aber nicht was genau ich löschen soll^^ deswegen hier nochmal mein Log.

Logfile of HijackThis v1.98.0
Scan saved at 17:04:51, on 11.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\CTsvcCDA.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\WINNT\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Motherboard Monitor 5\MBM5.EXE
D:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Pinnacle\PCTV Sat\Remote\Remoterm.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\Programme\Miranda\miranda32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
D:\Programme\hIRC\hIRC.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
C:\Programme\Pinnacle\PCTV Sat\Vision\Vision.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE
C:\WINNT\system32\ntvdm.exe
D:\Programme\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MBM 5] "D:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Sat\Remote\Remoterm.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\foo.mhtml!http://mitglied.lycos.de/funpixx/EXE.CHM::/exe.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b28578.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE84C244-E2BD-4DBA-A885-0A93A8B0A42B}: NameServer = 192.168.2.1

[Nikita]

Hallo @Pan

scanne noch einmal mit dem HihackThis, dann hake an, was ich poste und <fix<
dann neustarten

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\foo.mhtml!http://mitglied.lycos.de/funpixx/EXE.CHM::/exe.exe

neustarten

..................................................................................................................
Du hast dir u.a. einen WinsockVirus eingefangen.
Da muss man vorsichtig vorgehen...sonst kommst du nicht mehr ins Net.

1.Lade Lspfix
http://www.spychecker.com/program/lspfix.html
<mit diesem Tool bringst du die "newdotnet6_38.dll " von der linken auf die rechte Seite und loescht die dll.

2.loesche:
C:\foo.mhtml!http://mitglied.lycos.de/funpixx/EXE.CHM::/exe

3.AdAware (free)..scanne <alle Dateien<
http://www.lavasoft.de/support/download/

4.Lade den "eScan"
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen

#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
#poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. (denn die Dialer muessen manuell geloescht werden)

Dann poste das HijackThis-Log noch mal
_____________________________________________________________

Tips:(SICHERHEIT !!)
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!
Start<Systemsteuerung<Verwaltung<Dienste

#Windows-Dienste abschalten"!
http://www.dingens.org/
#XP-Firewall aktivieren
http://www.dirks-computerecke.de/window ... rewall.htm
#ALTERNATIVBROWSER : zum IE
Firefox
http://firebird-browser.de/
#IE Spyad
http://www.pctipp.ch/downloads/dl/27634.asp
IE Spyad legt x-verschiedene unseriöse Webseiten direkt in die Eingeschränkte Zone des Internet Explorers.
Immer mehr Webseiten wollen Ihnen teuren Software-Schrott unterjubeln. Ob Spyware, Adware, billige Porno-Seiten oder teure Dialer - es gibt nichts, was unseriöse Gestalten nicht zum Kauf anbieten. Und da sie genau wissen, dass Sie nicht auf ihre luschen Angebote reinfallen, versuchen sie es mit Tricks.

mfg
Nikita

[Pan]

Also als erstes mal DANKE^^
Und ich konnte bei HijackThis nicht mehr alle EInträge finden die du gepostet hast, aber ich glaub liegt daran, dass ich mit heute selber schon mal ad-aware runtergeladen habe und ca 80 Datein damit entfernt habe.

Und dann zu dem Virus.. 1. Schritt.. oke.. 2.Schritt konnte ich nicht ausführen^^ Liegt wohl auch daran dass ad-aware schon gearbeitet hat..

und der rest ging... oke
Und bevor ich hier die Logs poste noch kurz was anderes.. zu deinen Tips
Den Dienst werde ich abschalten... XP Firewall? 1) hab ich 2000 2) häng in an einem Router mit dicker Firewall^^ Deswegen wundert es mich die der Virus reingekommen ist
Dann Firefox benutz ich schon lange... und dazu auch Thunderbird anstatt Outlook.
Und zum Thema Sicherheit: Ich benutz AntiVir und Trojancheck. Jetzt auch noch ad-aware.. nachdem ich gesehen hab was das alles findet!

Und noch was.. woher bekomm ich eigentlich immer diese Dialer? Ich mein ich hab DSL da können die doch eh nix anrichten...

So und der Scan hat sage und schriebe 40 Minuten gedauert oO
Das sind die dateien due gefunden wurden:
File C:\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINNT\MemChk.exe infected by "HackTool.Win32.Pexer" Virus. Action Taken: File Renamed.
File C:\WINNT\msreg.exe infected by "HackTool.Win32.Pexer" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\spool32_virus.exe infected by "HackTool.Win32.Pexer" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\svchostc.exe infected by "HackTool.Win32.Pexer" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\AUDIO.EXE.VIR infected by "TrojanDownloader.Win32.Brok" Virus. Action Taken: File Deleted.
File C:\Programme\filesubmit\Lara Croft Tomb Raider 3D Screen Saver\nnezt388.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: File Renamed.
File C:\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File D:\Programme\hIRC\moo1.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File H:\cs\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File H:\sheep\ESHEEP.EXE tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.
File J:\Dokumente\readme.exe infected by "not-virus:Joke.Win32.JepRuss" Virus. Action Taken: File Renamed.
File C:\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

-------------------------------------------------------------------------------

Logfile of HijackThis v1.98.0
Scan saved at 00:42:54, on 12.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\CTsvcCDA.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\WINNT\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Motherboard Monitor 5\MBM5.EXE
D:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Pinnacle\PCTV Sat\Remote\Remoterm.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\Programme\Miranda\miranda32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Panchan\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Panchan\LOKALE~1\Temp\kavss.exe
C:\Programme\Pinnacle\PCTV Sat\Vision\Vision.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE
C:\WINNT\system32\notepad.exe
D:\Programme\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MBM 5] "D:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Sat\Remote\Remoterm.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b28578.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE84C244-E2BD-4DBA-A885-0A93A8B0A42B}: NameServer = 192.168.2.1

[Nikita]

Hallo @Pan

Du hast nicht alles durchgefuehrt..oder nicht richtig: (!)

fixe mit dem HijackThis:

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)


neustarten

1.Lade Lspfix
http://www.spychecker.com/program/lspfix.html
<mit diesem Tool bringst du die "newdotnet6_38.dll " von der linken auf die rechte Seite und loescht die dll.

2)Deinstalliere
C:\PROGRA~1\NEWDOT

3)Search&Destroy
http://www.safer-networking.org/de/download/index.html
............................................................................................................
dann poste das Log noch mal.

(Dialer hattest du keinen, was "escan" noch u.a. anzeigt sind Reste alter Software)

mfg
Nikita

[Pan]

So dann poste ich nochmal...
Aber eine Frage noch... wo kommt der Virus her? Also wie wird der übertragen, denn nicht dass den die anderen Rechner hier am Netzwerk auch haben... denn dann flipp ich aus^^

Logfile of HijackThis v1.98.0
Scan saved at 12:09:36, on 12.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\CTsvcCDA.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\WINNT\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Motherboard Monitor 5\MBM5.EXE
D:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Pinnacle\PCTV Sat\Remote\Remoterm.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\Programme\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MBM 5] "D:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Sat\Remote\Remoterm.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b28578.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE84C244-E2BD-4DBA-A885-0A93A8B0A42B}: NameServer = 192.168.2.1

[Nikita]

Wie du sehen kannst, ist das kein Virus, sondern ein Programm, dass du selbst geladen hast.
C:\Programme\NewDotNet

Das Log ist sauber.

(du solltest das hier aus dem Autostart nehmen...traegt sich bei Bedarf wieder ein..)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
und da solltest du auch fixen:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

mfg
Nikita

[Pan]

Du meinst runtergeladen?
Nicht dass ich wüsste.... denn alles ich runterlade an Programmen ist auf der anderen Festplatte. Kommt also nicht von mir....

Und den Rest werde ich fixen... auch wenn ich nicht weiß was
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
ist^^"

und nun hoff ich mal dass es auch sauber bleibt

Und nochmal Danke für die schnelle Hilfe!

[Nikita]

Das musst du irgendwie geladen haben......
#QuickSearch Toolbar
#New.net Domain Name Extensions
#Quick! Homepage
#Unsolicited Commercial Software (?)...welche, musst du rausfinden

<newdotnet<
An IE plug-in that adds subdomains of 'new.net' to your name resolution system, resulting in what appear to be extra top-level domains (.shop, and so on) being resolvable. It is not overtly harmful in intent, but counts as Unsolicited Commercial Software as it installs behind your back and its purpose is to generate revenue for its manufacturer.

Error Message: Iexplore caused an invalid page fault in module Unknown with SaveNow or New.net Client installed
http://support.microsoft.com/?kbid=302463
.....................................................................................................
Genau, weil es kein regulaerem Tool zugeordnet wird
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
ist^^"
, muss es gefixt werden.
Und mit Java sollte man nicht im Autostart surfen, es traegt sich immer bei Gebrauch ein...dann immer rausnehmen .
Start<Ausfuehren msconfig< Reiter Systemstart das Haekchen rausnehmen oder mit dem HijackThis fixen.
(ich ueberpruefe und fixe die Autostarteintrage mit RegCleaner)
#RegCleaner (Deutsch)
http://www.chip.de/downloads/c_downloads_8830516.html
oder TuneUp
http://wintotal.de/Tests/tuneup2004/tuneup2004.php


mfg
Nikita