Hallo zusammen!

seit dem 29.12.05 ist mein Hauptrechner lahm gelegt und zeigt folgende Symptome:

• "System32"-Ordner ist versteckt und kann bisher durch keine Einstellungen wieder sichtbar gemacht werden: WIN2000 fährt zwar hoch, kann aber sämtliche Programm-dll.s dieses Ordners nicht laden (Grafik-Treiber, Internet-Adapter etc.)
• m. E. müsste auch ein "System"-Ordner existieren - tut er aber nicht
• es gibt mindestes zwei leere nicht-System-Ordner, die sich nicht löschen lassen, obwohl sie offenbar leer sind
• im Normalmodus werden Progs wie Regedit und HJT wieder geschlossen, außerdem habe ich offenbar drei Kopien der Regedit: "Regedit.exe", "Regedit.com" und "R.com"

Die Logfiles sehen auf den ersten Blick gar nicht gut aus, was sagt ihr?


------------------------------------------------------------------------
HJT (abgesicherter Modus):
------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 13:29:18, on 30.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\Programme\Zubehoer\MouseWare\System\Em_exec.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\System32\NOTEPAD.EXE
C:\Programme\Zubehoer\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = multiplicator
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: MyBHO Class - {46B9D770-1B7D-45D1-81B4-AC07B2F127EF} - C:\PROGRA~1\MULTIM~1\Grafik\FLASHS~1\FlashBHO.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\Internet\Reget Deluxe\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\multimedia\video\quicktime 5\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StartupDelayer] "C:\Programme\Zubehoer\Startdelay\Startup Launcher.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe
O4 - HKLM\..\Run: [WinExec] C:\Windows\WinExec.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] c:\PROGRA~1\treiber\scanner\TEXTBR~1\Bin\REGIST~1.EXE
O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe
O4 - Startup: Verknüpfung mit pccguide.exe.lnk = C:\Programme\Zubehoer\PC-cillin 9\pccguide.exe
O4 - Startup: Verknüpfung mit Pop3trap.exe.lnk = C:\Programme\Zubehoer\PC-cillin 9\Pop3trap.exe
O4 - Global Startup: Lan-Fs.lnk = C:\Programme\Zubehoer\LAN-FS\Lan-fs.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MULTIM~1\TEXTVE~1\OFFICE~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O12 - Plugin for .asx: C:\Programme\Internet\Netscape 4.73\Program\PLUGINS\npdsplay.dll
O12 - Plugin for .wmv: C:\Programme\Internet\Netscape 4.73\Program\PLUGINS\npdsplay.dll
O15 - Trusted Zone: h**p://ny.contentmatch.net (HKLM)
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://P:\data\A9.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123661170406
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - h**p://w*w.180searchassistant.com/180saax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D748D16A-204A-484B-AE73-7195F8B5922F}: NameServer = 192.168.0.1
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINNT\system32\E_S00RP2.EXE
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\Zubehoer\AMD\GemServ.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\ahead\InCD\InCD\InCDsrv.exe
O23 - Service: Virtual NIC Service (PackethSvc) - America Online, Inc. - C:\WINNT\system32\PackethSvc.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Zubehoer\PC-cillin 9\PCCPFW.exe
O23 - Service: Remote Control Pro (RCPServer) - Alchemy Lab - C:\Programme\Zubehoer\Access Remote PC\RPC\rcpserver.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINNT\system32\SAgent4.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Programme\Zubehoer\PC-cillin 9\Tmntsrv.exe
O23 - Service: TrayMan - Unknown owner - c:\PROGRA~1\zubehoer\tools\TRAYMA~1\ntstart.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\Internet\DSL Speed Manager\tsmsvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINNT\system32\WFXSVC.EXE
O23 - Service: Microsoft Windows Update (Windows Update) - Unknown owner - C:\WINNT\winupdate32.exe



------------------------------------------------------------------------
escan - neueste Version (Normalmodus)
------------------------------------------------------------------------

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Dec 30 05:27:34 2005 => Datei C:\WINNT\nem220.dll infiziert von "Trojan-Downloader.Win32.Dyfuca.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Fri Dec 30 05:27:54 2005 => Datei C:\WINNT\winupdate32.exe infiziert von "Backdoor.Win32.SdBot.aad" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Fri Dec 30 05:33:57 2005 => Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Profiles\default\r0wrj0w8.slt\Mail\***.de\gelesen.sbd\Freunde.sbd\*** infiziert von "Trojan.JS.Relink.b" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Fri Dec 30 06:37:26 2005 => Datei C:\RECYCLER\S-1-5-21-1060284298-1770027372-725345543-1000\Dc1061.pif infiziert von "IM-Worm.Win32.Kelvir.bm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Fri Dec 30 06:42:40 2005 => Datei C:\sirh0t32.pif infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Fri Dec 30 06:42:40 2005 => Datei C:\sqste.exe infiziert von "Backdoor.Win32.SdBot.aad" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Fri Dec 30 06:55:28 2005 => Datei D:\CD-Zusammenstellung\Diverse Programme\Babylon 3.2\Babylon_pro_keygenerator_deutsch.exe infiziert von "Trojan-Dropper.Win32.ExeBundle.22" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Fri Dec 30 07:22:44 2005 => Datei J:\Recycled\Dj1.exe infiziert von "P2P-Worm.Win32.Delf.ak" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Fri Dec 30 07:31:44 2005 => Anzahl der desinfizierten Dateien: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Dec 30 05:27:57 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!!
Fri Dec 30 05:27:57 2005 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!!
Fri Dec 30 05:27:57 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\tsa !!!
Fri Dec 30 05:27:57 2005 => Offending Key found: HKLM\Software\kazaa !!!
Fri Dec 30 05:27:57 2005 => Offending Key found: HKLM\Software\powerscan !!!
Fri Dec 30 05:27:57 2005 => Offending Key found: HKLM\Software\tsa !!!
Fri Dec 30 05:27:57 2005 => Offending Key found: HKCU\Software\avenue media !!!
Fri Dec 30 05:27:57 2005 => Offending Key found: HKCU\Software\gnu !!!
Fri Dec 30 05:27:57 2005 => Offending Key found: HKCU\Software\kazaa !!!
Fri Dec 30 05:27:57 2005 => Offending Key found: HKCU\Software\powerscan !!!
Fri Dec 30 05:27:57 2005 => Offending Key found: HKLM\Software\microsoft\sidefind !!!
Fri Dec 30 05:27:57 2005 => Offending Key found: HKLM\Software\policies\avenue media !!!
Fri Dec 30 05:27:57 2005 => Offending Key found: HKCU\Software\policies\avenue media !!!
Fri Dec 30 05:27:58 2005 => Offending file found: C:\WINNT\iun6002.exe
Fri Dec 30 05:27:58 2005 => Offending file found: C:\WINNT\nem220.dll
Fri Dec 30 05:27:58 2005 => Offending file found: C:\WINNT\DOWNLO~1\clientax.dll
Fri Dec 30 05:27:58 2005 => Offending file found: C:\WINNT\system32\acodec.dll
Fri Dec 30 05:27:58 2005 => Offending file found: C:\WINNT\system32\tsuninst.exe
Fri Dec 30 05:27:58 2005 => Offending file found: C:\WINNT\system32\uninstal.exe
Fri Dec 30 05:27:58 2005 => Offending file found: C:\WINNT\system32\usbmonit.exe
Fri Dec 30 05:27:59 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\stronghold 2 demo\config.dat
Fri Dec 30 05:28:00 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\stronghold 2 demo\config.dat
Fri Dec 30 05:28:00 2005 => Offending file found: C:\WINNT\iun6002.exe
Fri Dec 30 05:28:00 2005 => Offending file found: C:\WINNT\system32\tsuninst.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Dec 30 05:27:15 2005 => Letztes Datum der MWAV Dateien: 26 Dec 2005 13:04:51.
Fri Dec 30 07:31:44 2005 => Gescannte Dateien: 259735
Fri Dec 30 07:31:44 2005 => Anzahl der desinfizierten Dateien: 0
Fri Dec 30 07:31:44 2005 => Umbenannte Dateien: 0
Fri Dec 30 07:31:44 2005 => Anzahl der gelöschten Dateien: 0
Fri Dec 30 07:31:44 2005 => Gefundene Viren: 61
Fri Dec 30 07:31:44 2005 => Anzahl Fehler: 191
Fri Dec 30 07:31:44 2005 => Dauer des Scans bisher: 02:04:23
Fri Dec 30 07:31:44 2005 => Virus-Datenbank Datum: 12/26/2005
Fri Dec 30 12:22:13 2005 => Virus-Datenbank Datum: 12/26/2005
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Ich hoffe, ihr könnt damit was anfangen. Lieben Dank für die Mühe.

hallo,

also nachdem ich mir deinen escan mal angesehen habe und aufgrund von diesem eintrag:

Fri Dec 30 06:42:40 2005 => Datei C:\sqste.exe infiziert von "Backdoor.Win32.SdBot.aad" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

würde ich dir raten dein system nach anleitung in meiner signatur neu aufzusetzen.
zumal dies ja nicht der einzige virus ist den du dir eingefangen hast.
damit bist du auf jeden fall wieder sicher unterwegs wenn du alles genau so machst wie in der anleitung beschrieben.

@hoerni26

Danke für Deine Anteilnahme .

Aber: Gibt es da wirklich keine schonendere Methode mehr?
Ein neues System wäre in der Tat meine letzte Lösung. Ich werde mal warten, ob sich da noch eine optimistischere Variante anbietet...

naja das glaube ich ehrlich gesagt nicht das sich da noch eine andere lösung anbietet.
geh mal auf den link in meiner signatur zum Neuaufsetzen und lese dir bitte mal das ganze durch.
dann sollten deine fragen beantwortet sein.
denn du hast auch einen trojaner mit backdoor funktion auf deinem system.

Hallo,
nur falls du noch eine zweite Meinung haben willst, ich stimme mit hoerni26 vollkommen überein, bei Befall mit einem Backdoortrojaner ist ein Neuaufsetzen des Systems die einzig vernünftige Lösung. Lies mal in der Anleitung was Backdoors alles mit deinem System anstellen können und warum eine manuelle Entfernung nicht sinnvoll ist.


Grüße Wildone

@ diverslung:
folge Hoernis Tipps und du bist gut bedient:
Dein Backdoor macht folgendes:
Ermöglicht Dritten den Zugriff auf den Computer
Stiehlt Daten
Reduziert die Systemsicherheit
Installiert sich in der Registrierung
Wird für DOS-Attacken verwendet
Die übrige Verseuchung möchte ich auch nicht auf meinem Rechner haben; sie ist allerdings typisch für kazaa!-Nutzer....
Neuaufsetzen ist das einzig Richtige!
cacatoa