Application.Adware.NewDotNet.B.Dropper

KaGü · 17.09.2005, 08:28

Hallo!

Ich habe mir nachstehenden Virus eingefangen

Application.Adware.NewDotNet.B.Dropper

//-----------------------------------------------------------------
//
// Product: BitDefender 8 Professional Plus
// Version: 8.0
//
// Erstelt am: 17/09/2005 06:18:41
//
//-----------------------------------------------------------------

Statistik

Pfad : C:\
D:\
E:\
L:\
S:\
Ordner : 8263
Dateien : 1575161
Archive : 10995
Komprimierte Dateien : 231724
Erkannte Viren : 1
Infizierte Dateien : 2
Warnungen : 0
Verdächtige Dateien : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 2
Kopierte Dateien : 0
Verschobene Dateien : 0
Umbenannte Dateien : 0
I/O Fehler : 36
Prüfzeit : 02:21:18
Prüfgeschwindigkeit (Dateien/Sekunde) : 185

Virusdefinitionen : 208175
Scan Plug-Ins : 13
Archiv Plug-Ins : 39
Archiv Plug-Ins : 4
E-Mail Plug-Ins : 6
System Plug-Ins : 1

Scan Optionen

Erkennung
[X] Boot-Sektoren prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mails prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen:
[ ] Ausgeschlossene Erweiterungen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[X] Desinfizieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[ ] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[ ] Ignorieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[X] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Scan Optionen
[X] Warnungen aktiviert
[X] Heuritik aktiviert
[ ] Alle Dateien im Bericht anzeigen
[X] Berichtsdatei: vscan.log
[ ] Zum bestehenden Bericht hinzufügen

Zusammenfassung:

C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\38bu2vx8.default\Cache\73E9D841d01=>wise0019 Entdeckt: Application.Adware.NewDotNet.B.Dropper
C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\38bu2vx8.default\Cache\73E9D841d01=>wise0019 Gelöscht
C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\38bu2vx8.default\Cache\73E9D841d01 Update fehlgschlagen
C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temp\nryopjm7.exe=>wise0019 Entdeckt: Application.Adware.NewDotNet.B.Dropper
C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temp\nryopjm7.exe=>wise0019 Gelöscht
C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temp\nryopjm7.exe Update fehlgschlagen

Wie bekommt man diesen Schädling wieder los?
Danke im Vorraus!
KaGü

cacatoa · 17.09.2005, 10:35

Hi,
er befindet sich noch im Mozilla-Cache.
Also cache leeren und noch Clearprog einsetzen, um alle temporären Dateien zu leeren (Alle Häkchen setzen, Einstellungen speichern, und auf "löschen" clicken, dann auf beenden).
Dann sollte es erledigt sein.
Sollte NewDotNet schon installiert sein, muß man es manuell entfernen. Dazu poste mal ein HiJackThis-Logfile.
Download hier, Anleitung hier.
cacatoa

KaGü · 17.09.2005, 13:36

Danke!

Hier das Logfile!

Wenn ich den Cache entleere, folgt immer eine Meldung von Bitdefender (Bitdefender hat einen Virus blockiert. Ihr Computer wurde nicht infiziert.) und die Virusdateien können nicht gelöscht werden!! Beim Einsatz von Clearprog passiert dasselbe!

Logfile of HijackThis v1.99.1
Scan saved at 14:22:10, on 17.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Dokumente und Einstellungen\Günter\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xxxx://www.utanet.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxxx://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xxxx://www.utanet.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xxxx://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.utanet.at
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - xxxx://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - xxxx://software-dl.real.com/30c7f74a246e8063c119/netzip/RdxIE601_de.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - xxxx://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,20/mcgdmgr.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - xxxx://www.popfile.de/myplaylist/pc/partner/mcbeat/MY-PLAYLIST-WEBINSTALLER_loader.exe
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

LG
KaGü

cacatoa · 17.09.2005, 13:48

Hi,
Das Log ist soweit in Ordnung.
Das: w*w.utanet.at ist Absicht, oder?
Leere mal den Quarantäne/Backup-Ordner von Deinem bitdefender und poste, was passiert.
cacatoa

KaGü · 17.09.2005, 14:27

Hi!

Hab´ beim Log leider was übersehen - sorry!!

Der Ordner ist leer. Die Virusdateien sind nach wie vor vorhanden und können nicht entfernt werden. Ich kann diese lediglich "manuell" in den Quarantäne-Ordner stellen. Beim anschließenden Löschen kommt: Bitdefender hat einen Virus blockiert. Ihr Computer wurde nicht infiziert.

Bei einem Löschversuch unter Windows kommt nachstehnde Meldung: Die Datei kann nicht gelöscht werden: Die Quelldatei oder vom Quellendatenträger kann nicht gelöscht werden.

Wildone · 17.09.2005, 15:08

Hallo,
führe clearprog doch einfach im abgesicherten Modus(F8 beim booten) aus, dann sollte dir der Virenscanner nicht in die Quere kommen.

Grüße Wildone

KaGü · 17.09.2005, 15:41

HI!

Hab´ ich durchgeführt - hat funktioniert!

Danke! Es läuft gerade ein Virusscan. Ich werde das Ergebnis bekanntgeben. Wenn der Virusscanner nichts mehr anzeigt, dann müsste doch wieder alles in Ordnung sein! Oder?

KaGü

Wildone · 17.09.2005, 15:48

Hallo,
ja dann sollte alles in Ordnung sein, wurde ja nichts ausgeführt.

Grüße Wildone

Gigamail · 17.09.2005, 16:08

Zitat:

Zitat von KaGü

HI!

Hab´ ich durchgeführt - hat funktioniert!

Danke! Es läuft gerade ein Virusscan. Ich werde das Ergebnis bekanntgeben. Wenn der Virusscanner nichts mehr anzeigt, dann müsste doch wieder alles in Ordnung sein! Oder?

KaGü

du scannst doch schon im abgesicherten Modus oder...
Wenn nicht solltest du das ganze wiederholen

Rene-gad · 17.09.2005, 16:17

Zitat:

Zitat von Wildone

Hallo,
führe clearprog doch einfach im abgesicherten Modus(F8 beim booten) aus, dann sollte dir der Virenscanner nicht in die Quere kommen.

....oder beende BitDefender und starte ihn nach dem Entleeren manuell wieder

.

KaGü · 17.09.2005, 16:21

Hallo!

Warum im abgesicherten Modus scannen?

Ich kann Bitdefender im abgesicherten Modus nicht starten?

KaGü

cacatoa · 17.09.2005, 17:16

Natürlich kannst du das.
Einfach anclicken...
cacatoa

KaGü · 17.09.2005, 18:04

Geht nicht im abgesicherten Modus. Wenn ich das Programm starte (Verknüpfung zur Exe-Datei) tut sich aber nichts!?

Scann läuft derzeit im Normalmodus - bis jetzt ist alles ok.

KaGü

KaGü · 17.09.2005, 19:45

Der Virusscan hat nichts mehr ergeben

Zur Sicherheit habe ich auch noch Search & Destroy durchlaufen lassen - nichts gefunden. Im abgesicherten Modus kann ich Bitdefender aber nicht aktivieren.

KaGü

cacatoa · 17.09.2005, 20:32

Im abgesicherten Modus gehst halt dann über den Explorer in das Programm.
cacatoa

Application.Adware.NewDotNet.B.Dropper

Plagegeister aller Art und deren Bekämpfung: Application.Adware.NewDotNet.B.Dropper