NewDotNet
|
Werbung
Lspfix - winsockfix
C:\Programme\NewDotNet\newdotnet6_38.dll - mitgeladene Programme: [laut McAffee]
C:\Dokumente und Einstellungen\%Username%\Desktop\Get 100,000 Emoticons!.url
* %ProgramFiles%\EZ Emoticons\EZ.exe
* %ProgramFiles%\MediaGateway\MediaGateway.exe
* %ProgramFiles%\NewDotNet\newdotnet3_88.dll
* %ProgramFiles%\webHancer\Programs\license.txt
* %ProgramFiles%\whInstall\license.txt
* %ProgramFiles%\Zango\zango.exe
* %WinDir%\svaxsf.exe
* %WinDir%\webhdll.dll
* %WinDir%\whAgent.inf
* %WinDir%\whInstaller.exe
* %WinDir%\whInstaller.ini
* %WinDir%\Downloaded Program Files\ClientAX.dll
* %AllUserProfile%\Start Menu\Programs\Zango\Uninstall Zango Instructions.lnk
* %AllUserProfile%\Start Menu\Programs\Zango\Zango Customer Support.url
* %AllUserProfile%\Start Menu\Programs\Zango\Zango.com.url
* %UserProfile%\Desktop\Sherv.NET - Animated Emoticons, Winks, Display Pics and more!.url
* %UserProfile%\Favorites\Free Weather Toolbar and Smileys!.url
* %UserProfile%\Favorites\Get 100,000 Smileys and Emoticons.url
* %UserProfile%\Favorites\Sherv.NET - MSN Emoticons, Display Pics, Winks, and lots more!.url
Registry-Einträge:
HKEY_CLASSES_ROOT\tldctl2.urllink.1 HKEY_CLASSES_ROOT\tldctl2.urllink.1 URLLink Class HKEY_CLASSES_ROOT\tldctl2.urllink HKEY_CLASSES_ROOT\tldctl2.urllink\CurVer Tldctl2.URLLink.1 HKEY_CLASSES_ROOT\tldctl2.urllink URLLink Class HKEY_LOCAL_MACHINE\software\classes\tldctl2.urllink\clsid HKEY_LOCAL_MACHINE\software\new.net NewDotNet - AdWare.Win32.NewDotNetNew.Net is product that is distributed in much the same way as SaveNow. Its an add-on program that has been distributed by KaZaA, Go!Zilla, Babylon, Cydoor, Gdivx, and WebShots in the past. Its purpose is to enable computers to access the website names and email addresses that New.net has launched.1. datfindbat C:\WINDOWS 07/12/2005 15:46 4ÿ398 VirtualDub Setup Log.txt 07/12/2005 15:46 720ÿ896 iun6002.exe 07/12/2005 15:45 182ÿ272 NDNuninstall6_98.exe --> löschen ! 07/12/2005 15:44 97 acc1.txt 07/12/2005 15:43 97 ncc1.txt 07/12/2005 15:33 499 wmsetup10.log C:\WINDOWS\system33 07/12/2005 15:41 8ÿ464 sporder.dll 2. Start --> Ausführen --> regedit
3. LSPfix www.spychecker.com hake an: "I know what Im doing"--Remove und loesche die newdotnet....dll [z.B: newdotnet6_38.dll] (eventuell musst du die dll von links nach rechts bringen) Gehe in die Registry Start-Ausführen - regedit HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\New.net HKEY_LOCAL_MACHINE\Software\New.net HKEY_CURRENT_USER\Software\New.net 4. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
nicht mit HijackThis fixen !!!!!!!!!!!
O10 - Hijacked Internet access by New.Net PC neustarten 5. löschen : C:\WINDOWS\NDNuninstall5_20.exe (Beispiel) C:\WINDOWS\System32\sporder.dll Spyware/New.net - C:\Programme\Morpheus Download Booster\NNGLZA638.EXE D:\MH-Neue Programme\Crack Anydvd\WarezP2P_TDL.exe Droppers DR/NewDotNet.A 6. scanne im abgesicherten Modus mit AVG Antispyware C:\Programme\NewDotNet C:\Programme\NewDotNet\newdotnet7_22.dll C:\Programme\NewDotNet\readme.html C:\Programme\NewDotNet\uninstall6_38.exe C:\Programme\NewDotNet\uninstall7_22.exe C:\WINDOWS\NDNuninstall6_38.exe C:\WINDOWS\NDNuninstall6_90.exe C:\WINDOWS\NDNuninstall6_98.exe C:\WINDOWS\NDNuninstall7_14.exe C:\WINDOWS\NDNuninstall7_22.exe C:\Programme\NewDotNet\uninstall6_38.exe -> Spyware.NewDotNet C:\Programme\NewDotNet\__delete_on_reboot__newdotnet6_38.dll C:\WINDOWS\NDNuninstall5_20.exe -> Spyware.NewDotNet C:\WINDOWS\NDNuninstall5_40.exe -> Spyware.NewDotNet C:\WINDOWS\NDNuninstall5_64.exe C:\WINDOWS\NDNuninstall6_90.exe C:\WINDOWS\NDNuninstall6_98.exe C:\WINDOWS\NDNuninstall4_85.exe -> Adware.NewDotNet C:\WINDOWS\NDNuninstall6_38.exe -> Adware.NewDotNet usw. usw..... C:\Programme\Air Typer\NNSUNA3_88.exe -> Adware.NewDotNet C:\Programme\Air Typer\ SunnyGames_WhenUSave_InstallerInst.exe -> Adware.SaveNow C:\Programme\FileSubmit\Dali Desktop Theme\NNEZSTB3.exe C:\Programme\FileSubmit\Hello Kitty\nnez_388.exe C:\Programme\FileSubmit\Poohs Fluff and Stuff\nnez_388.exe C:\Programme\FileSubmit\Good Night Pooh\nnez_388.exe C:\Programme\filesubmit\sentinelb1.zip\NNWDAC638.EXE C:\Programme\filesubmit\sentinelb1.zip\VVSNInst.exe C:\Programme\filesubmit\Chihuahua.zip\NNEZTA388.exe C:\Programme\filesubmit\tinkwalltracemae.zip\NNEZTA388.exe C:\Programme\FileSubmit\Cascade\NNEZSTB3.exe C:\Programme\FileSubmit\Cascade\NNEZTX638.exe D:\software\GDiVX1.9.9.5.exe --> AdWare.Win32.NewDotNet C:\Programme\fielesumit\you_got_Faxs.exe\NNWDAC638.EXE (Asware:nDotNet) IGetNet is a keyword-search service implemented as an IE Browser Helper Object C:\Programme\filesubmit\taking a break\nlnp38.exe zusammen mit: C:\WINDOWS\iGator\Trickler3103_PIC_fs_DMPT.exe -> Adware.Gator C:\WINDOWS\iGator\trickler3103_pic_fs_dmpt_3103.exe -> Adware.Gator C:\WINDOWS\iGator\trickler3103_pic_fs_dmpt_3202.exe C:\Programme\iMesh\Client\fsg.exe --> Adware/Gator C:\WINDOWS\iLookup -> Adware.eZula C:\WINDOWS\iLookup\ezStub22.exe C:\WINDOWS\iLookup\TTIL.exe C:\WINDOWS\system32\ezPopStub.exe -> Adware.EZulaBeispiel: Winsock-Hijacker - WebHancer Aus dem HijackThis-Log: O10 - Hijacked Internet access by WebHancer 
Die EINWAHL funktioniert einwandfrei mit DSL und ISDN. Nur irgenwie geht über TCP/IP nichts
mehr nach draussen, da sich auch die gesendeten Bytes nicht verändern. Auch das ausbauen aller
Netzwerkkarten und entfernen der Treiber bringt nichts. Ich bekomme keine TCP Verbindung mehr hin.
Dfü-Netzwerk und oder TCP/IP neuinstallieren bringt auch keinen Erfolg.
"WebHancer Customer Companion(22.10.00) telefoniert nach Hause. Hier ein Log: Rule "Implicit block rule" blocked (204.191.36.14,http). Details: Outbound TCP connection Local address,service is (0.0.0.0,1322) Remote address,service is (204.191.36.14,http) Process name is "whAgent.exe"
Das Prog steuert dabei verschiedene Server an (d2.webhancer.com:80
d3.webhancer.com:80 d4.webhancer.com:80 d5.webhancer.com:80)
und versucht minütlich über einen Port zw.1000 und 3000 zu verbinden
Weiter wird ohne Zustimmung der Agent in C:\Program Files\webHancer\ installiert sowie dieser REG-Key eingefügt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run webHancer Agent = "C:\Program Files\webHancer\Programs\whAgent.exe" In den Temp-Files befand sich "whInstaller.exe " welches nicht wissentlich geladen, geschweige denn gestartet wurde. In den Vereinbarungen wird zwar auf "anonyme Datensammlung" hingewiesen, aber so etwas ist schon dreist.."
Adware:Adware/WebHancer No disinfected C:\WINDOWS\whCC-MOTOR.exe • HijackThis O10 - Hijacked Internet access by WebHancer --> webhll.dll (Protocol Handler) lspfix hat folgende dll gefunden: mswsock.dll winrnr.dll webhdll.dll rsvpsp.dll • bringe mit LSPfix die webhll.dll von links nach rechts und lösche die dll. Spyware-WebHancer C:\Program Files\webHancer\Programs\webhdll.dll C:\Program Files\webHancer\Programs\whagent.exe C:\Program Files\webHancer\Programs\whiehlpr.dll C:\Program Files\webHancer\Programs\whinstaller.exe C:\Program Files\webHancer\Programs\whsurvey.exe C:\WINDOWS\webhdll.dll • AVG Antispyware C:\Programme\whInstall\Sporder.dll C:\Programme\whInstall\Webhdll.dll C:\Programme\whInstall\WhAgent.exe C:\Programme\whInstall\whAgent.inf C:\Programme\whInstall\whAgent.ini C:\Programme\whInstall\whiehlpr.dll C:\Programme\whInstall\whInstaller.exe C:\Programme\whInstall\whInstaller.ini C:\Programme\whInstall\WhSurvey.exe C:\Programme\whInstall\license.txt C:\Programme\whInstall\readme.txt C:\Programme\whInstall\whAgent.inf C:\WINDOWS\whInstaller.exe • Avenger (Beispiel)
Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|webHancer Agent
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{c900b400-cdfe-11d3-976a-00e02913a9e0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{C8CB3870-CDFE-11D3-976A-00E02913A9E0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{C8CB3870-CDFE-11D3-976A-00E02913A9E0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\App Management\ARPCache\webHancer Agent
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Uninstall\webHancer Agent
HKEY_LOCAL_MACHINE\SOFTWARE\webhancer
• HijackThis
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\ Programs\whSurvey.exe" O10 - Hijacked Internet access by WebHancer Verzeichnis von C:\Programme\webHancer\Programs 22.02.2006 16:46 8.197 license.txt 09.06.2005 13:01 1.405 readme.txt 23.12.1999 14:12 11.264 sporder.dll 01.05.2006 11:57 110.592 webhdll.dll 01.05.2006 11:57 528.384 whagent.exe 09.09.2006 12:30 211 whagent.ini 01.05.2006 11:57 151.552 whiehlpr.dll 01.05.2006 11:54 241.664 whinstaller.exe
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
webHancer Agent]
[-HKEY_LOCAL_MACHINE\SOFTWARE\webHancer]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
{C89435B0-CDFE-11D3-976A-00E02913A9E0}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{C8CB3870-CDFE-11D3-976A-00E02913A9E0}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WhIeHelperObj.WhIeHelperObj]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WhIeHelperObj.WhIeHelperObj.1]
|
