Trojaner-Board - NewDotNet: nichts geht mehr - repariert - danke

Hallo Jungs (und Mädels?)

voraus schon mal herzlichen Dank an die vielen hilfreichen tips im archiv. nach 2 schlaflosen nächten bin ich jetzt etwas schlauer und der pc geht wieder. und als ermunterung für alle win genervten, hier auch mal eine positive antwort
kurze problembeschreibung, wie ichs repariert habe und am ende noch ein log, in dem vielleicht noch der eine oder andere Haken steckt...

WIN XP home SP2
IE 6 / Mozilla 5
Windows firewall
Antivir Personal Classic

Problem:
beim Surfen ging kurz ein pop-up auf und wurde von mozilla geblockt. gleichzeitig kam die warnmeldung von antivir, dass eine datei infiziert ist und was ich damit machen will (newdot...dll) - habe sie gelöscht.
Das ging nicht, die datei kam immer wieder und wieder, immer die gleiche Fehlermeldung, bis das System blockiert war und nur ein Kaltstart funktionierte. Seitdem hatte ich 3 Probleme:
- beim Starten kam die Rundll Fehlermeldung: c:\windows/Programme.../newdot~1.dll nicht gefunden.
- keine Netzwerkverbindung mehr, über mein WLAN konnte ich noch nicht mal mehr auf die IP des routers zugreifen, LAN hatte das gleiche Problem
- Antivir war unwiederbringlich deaktiviert - was mir freundlicherweise windows in hartnäckigen hinweisen des sicherheitszenters mitteilte.

Lösung:
zum Glück habe ich parallel noch Linux installiert, mit dem ich mich im Netz schlau machen konnte. fragt mich nicht wie viele hundert male ich neu booten musste um von einem zum andern system zu wechseln!
1. etappe:
nachdem NEWDOT durch die Aktion von Antivir eh schon halb entfernt war, (und nach einigen Hinweisen auf helpboards, http://www.2-spyware.com/remove-newdotnet.html) habe ich es manuell entfernt sowie die registry geändert (mehrere einträge, die alle was mit new.net zu tun haben, tldctl2, einige dateien, deren registry values alle auf -00E018981B9E enden...) --- kein erfolg
2. etappe:
AdAware und Spybot laufen lassen, die haben nochmal zusammen knapp 100 gefahrenstellen gefixt. --- immer noch keine netzverbindung und antivir deaktiviert
3. etappe:
hijackthis durchlaufen lassen und den log automatisch auf der bei euch verlinkten seite gecheckt (hijackthis.de) und wieder einige möglichen gefahrenstellen gefixt: (mysearch, 180searchassistent)
bis jetzt immer noch kein erfolg
den Eintrag "010 - Broken Internet acess because of LSP provider newdotnet6_38.dll missing" konnte hijackthis nicht fixen und riet dazu, ein spezielles tool zu benutzen...
4. etappe:
www.cexx.org/lspfixhtm das dortige tool hat die internetverbindung wieder hergestellt.

neu gebootet, die Netzwerkverbindungen repariert (rechtsklick->reparieren) und nach einigen sekunden arbeit (einige datein updaten, IP neu konfiguriert...) ging wieder alles.
jetzt läuft nochmal die aktuelle version von adaware und antivir und hier mal noch die letzte hijackthis.log.
Vielleicht findet ihr ja noch einige Details, die ich entfernen sollte.
viel Glück all denen, die mit dem gleichen Problem kämpfen.
Burkhard (Lausanne)

schon mal vorweg: die möglicherweise unsicheren einträge Mobipocket, Skyscape, Launcher gehören zum Palm und dort installierten programmen mit automatischem update. genausowenig stört mich VPN und die SWR3bar (oder auch gefährlich?).
Was soll ich von seretek.com.tw halten?

Logfile of HijackThis v1.99.1
Scan saved at 00:32:15, on 18.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Acer\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Launch Manager\PowerKey.exe
C:\Programme\Acer\Launch Manager\HotkeyApp.exe
C:\Programme\Acer\Launch Manager\KeyHook.exe
C:\Programme\Acer\Launch Manager\CtrlVol.exe
D:\Programme\Netz\ICQLite\ICQLite.exe
D:\Programme\audio\Winamp\winampa.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Daily Weather Forecast\weather.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Mobipocket Shared\webcomp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Gemeinsame Dateien\Skyscape\smARTupdate.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
D:\hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***.acer.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\Netz\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\Netz\ICQToolbar\toolbaru.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (file missing)
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Acer\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\Netz\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\audio\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Programme\Daily Weather Forecast\weather.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mobipocket Web Companion] C:\Programme\Gemeinsame Dateien\Mobipocket Shared\webcomp.exe -m
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\Netz\ICQLite\ICQLite.exe -trayboot
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: Skyscape smARTupdate.lnk = C:\Programme\Gemeinsame Dateien\Skyscape\smARTupdate.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe Reader 7.0\Reader\reader_sl.exe
O4 - Global Startup: DataViz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\Netz\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: SWR3 Sidebar - {8FCD7C01-6571-490C-9AA9-81A89DC9D602} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Netz\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Netz\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sertek.com.tw/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - ***software-dl.real.com/21d340618db78451cf21/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ***//v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114103568692
O16 - DPF: {826287F8-454E-11D9-ADFE-00062919A34C} (ActiveXUploadFotoCom.UserCtrlFotoCom) - ***express.foto.com/activeX/newUploadFotoCom.CAB
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

[edit]
links entfernt
[/edit]