Hallo Undoreal,
vielen Dank fuer den Hinweis
Berichte von Spybot, AdAware und eScan/MWAVE versuch ich gleich zu machen...

Und hier der Rest...

Wenn sich die Uhr selbstaendig macht... das kann ernste Folgen haben...

Bei mir began das System - vor ca. 2 Wochen - von sich aus die Uhr zurueckzustellen - genau um zwei Jahre, also 2005. Ausserdem blieb die Uhr stehen oder ging langsamer...
Ich habe die Uhrzeit immer wieder aktualisiert und ansonsten nichts boeses gedacht (der Rechner ist alt und ich habe an einen Bios-update gedacht).
Am Montag wurde es dann ernst. Ich war gerade auf google map, als der Bildschirm schwarz wurde und eine Fehlermeldung erschien...."svchost.exe ... Festplatte zu wenig Speicher "...usw. Der Rechner war nicht mehr abzuschalten. Ich habe ihn vom Strom genommen und auskuehlen lassen (er war super heiss) und spaeter auf Kuehlakkus gestellt und dann erneut gestartet. Das System fuhr hoch ... ab dem letzten Drittel des Balkens mit einer kurzen Pause und dann nur zoegerlich weiter. Es erschien dann die Windows Startseite - aber nur kurz und dann ... patsch, der Bluescreen mit der Fehlermeldung: KMODE_EXCEPTION_NOT_HANDLED ... mit dem Verweis auf einen Audiotreiber (?)... Ich habe ihn dann im abgesicherten Modus hochgefahren, die Daten auf einen Speicher geraeumt und den Stinger laufen lassen... Er hat 3 oder vier Wuermer (einen "kernel"...) gefunden und beseitigt und seither laeuft der Rechner wieder - solange das Netzwerkkabel (DSL Teldat 300 LAN) nicht eingesteckt ist. Jeder Versuch das Kabel anzustecken wird mit einem blauen Bildschirm mit der Fehlermeldung belohnt und zwar wie folgt:
STOP: 0 x 0...D1 und dann in klammer
0 x 0....
0 x 0....12
o x 0....1
0 x BFD600DC
DRIVER_IRQL_NOT_LESS_OR_EQUAL

Ich habe Mc Afee und Kaspersky laufen lassen und sie wurden fuendig:

Trojan.win32.Harnig.a c:\secure32.html
msasvc.exe
trojcimuzaj.html trojan

Der Harnig konnte angeblich beseitigt werden, den Rest bekomme ich nicht weg. Die Prozesse lassen sich nicht beenden und im system32 sind sie nicht zu loeschen.
WAS TUN ??? Ich quaele mich seit Montag mit dem Muell und war schon knapp davor das Ding (Dell LS 500 mit Win 2000 Prof SP 4, NTFS) an die Wand zu knallen... zumal mir - ca. 1 Stunde nach dem Crash - mit meinem Ersatzgeraet (Sony Vaio mit Win 2000 Prof, FAT) dasselbe passiert ist. Hier ist es noch schlimmer, denn der Rechner laesst sich auch im abgesicherten Modus nicht starten und meine Daten liegen auf c (wenn ich also die win CD drauf mach, dann sind sie weg ... und die brauch ich fuer meinen Lebensunterhalt)...

Anbei ein Scan:

Logfile of HijackThis v1.99.1
Scan saved at 15:24:59, on 22.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Nokia\Nokia D211\D211CTL.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\msasvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\AD089B20.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Funk Software\Proxy Host\PH32SVC.EXE
C:\Programme\Funk Software\Proxy Host\PHOST32.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\RFA\rfagent.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Nokia\Nokia D211\D211STRT.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart\Update_0 707_KB77012.exe
C:\WINNT\system32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\test\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = T-Online - Suche
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.btx.dtag.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Metacrawler - {2685A3D0-1459-45EE-8426-5B8CF98899A8} - C:\WINNT\Downloaded Program Files\metabar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ProxyHostTrayIcon] "C:\Programme\Funk Software\Proxy Host\PHOST32.EXE" -s
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WLAN_Cfg.exe] C:\Programme\WUSB11 WLAN Monitor\WLAN_Cfg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [rfagent] "C:\Programme\RFA\rfagent.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe "
O4 - HKLM\..\Run: [D211STRT.EXE] "C:\Programme\Nokia\Nokia D211\D211STRT.EXE"
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Photo Express Calendar Checker für Meine Spezielle Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
O4 - Global Startup: Update_0707_KB77012.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {0713E8D2-850A-101B-AFC0-4210102A8DA7} (Microsoft ProgressBar Control, version 5.0 (SP2)) - http://bin.mcafee.com/molbin/Shared/...2/ComCtl32.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2685A3D0-1459-45EE-8426-5B8CF98899A8} (Metacrawler) - http://www.metacrawler1.de/metabar/metabar.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/...5/mcinsctl.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - popfile
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A8A8105-E313-47A1-B2DA-0CAF2F183EB5}: NameServer = 217.237.151.161,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{5A8A8105-E313-47A1-B2DA-0CAF2F183EB5}: NameServer = 217.237.151.161,194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{5A8A8105-E313-47A1-B2DA-0CAF2F183EB5}: NameServer = 217.237.151.161,194.25.2.129
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Nokia D211 (D211CTL) - Nokia Corporation - C:\Programme\Nokia\Nokia D211\D211CTL.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINNT\system32\msasvc.exe
O23 - Service: Proxy Host Service (ProxyHostService) - Funk Software, Inc. - C:\Programme\Funk Software\Proxy Host\PH32SVC.EXE

Die
msasvc.exe
trojcimuzaj.html trojan
habe ich abgesicherten Modus geloescht und sie sind jetzt (nach dem Neustart) nicht mehr zu sehen unter "Prozesse". Sind sie jetzt voellig weg?

Die Uhr habe ich auch gestellt, aber sie ist - nach dem Neustart -wieder auf 2005 ....

Ev. kann mir jemand sagen, was sonst noch weg muss, damit der Netzwerkanschluss ev. wieder funktioniert ....und wie ich an die Dateien auf dem Sony rankomme ... oder ist das zuviel...

Gruss,
vita

Warum hast Du einen neuen thread eröffnet???
C:\WINNT\system32\msasvc.exe
Worm Ircbot Gen

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINNT\system32\msasvc.exe
Backdoor.SdBot (Microsoft authenticate service)

Du hast geschrieben:
"und die brauch ich fuer meinen Lebensunterhalt"
Du musst Deinen Rechner neu aufsetzen, Dein System ist kompromittiert!

Warum das so ist, gucke bitte hier:
http://www.trojaner-board.de/12154-a...sicherung.html
Sorry, ich kann dir leider keine andere Mitteilung machen, ansonsten warte auf Feedback von Undoreal!

Sorry wegen dem neuen Threat, habe da wohl was falsch verstanden.
Dafuer verstehe ich aber Deine Antwort und werde das auch so machen. Flickarbeit ist auch nicht mein Ding.
Vielen Dank fuer die Hilfe.
LG
vita

Du kannst zur Sicherheit noch einen e-scan machen, Anleitung hier:
http://www.trojaner-board.de/38066-e...ightymarc.html

Das dauert zwar eine Zeit, aber es kann nicht schaden.

Gruß Patrick

PS: Im übrigen war das mit dem neuen thread richtig, hast Du also nicht falsch verstanden!