Ursprünglich WIMAD.A.GEN, Explorer etc. reagiert nicht

#1 Hallo!

Ich habe hier ein Problem mit dem Rechner meines Onkels. Ursprünglich beschrieb er die Probleme so, dass er Arbeitsplatz und Systemsteuerung nicht mehr öffnen konnte und dass immer 100% Prozessorauslastung vorlag. Anschließend fand er dann mit AntiVir "TR/WIMAD.A.GEN" in einer WMA-Datei (01Track1.wma) welche höchst wahrscheinlich mit Limeware geladen wurde.
Er hat die Datei mit AntiVir gelöscht, aber die Probleme blieben.

Als ich den PC heute gestartet habe, war er eben sehr langsam und ich hab mal den Skype-Prozess beendet, da dieser die volle Prozessorauslastung bewirkte. Es ließ sich dann einigermaßen normal arbeiten, Firefox, Antivir, Spybot etc lassen sich normal starten. Nur wenn man den Explorer starten will, dann frisst auf einmal der Explorer.exe-Prozess 99% und nichts öffnet sich.
Zusätzlich aufgefallen ist mir der "CapabilityManager.exe"-Prozess der manchmal auch 99% CPU-Auslastung bewirkt.

AntiVir findet mit der intelligenten Suche nichts mehr.
Spybot läuft normal, beendet aber die Suche nicht.
Cleanup! scheint auch normal zu laufen, stoppt aber bei "Deleting Windows-Explorer Cache

Hier der Hijackthis-Log:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:18, on 29.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\vsnpstd2.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\TelefonCD\OtbStart.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Downloads\HiJackThis202.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\dumprep.exe
C:\WINDOWS\system32\dwwin.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.huddi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.1.1
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\Downloads\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [OtbStart] C:\Programme\TelefonCD\OtbStart.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1004336348-838170752-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1004336348-838170752-839522115-1003\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Spiele\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Spiele\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5496 bytes

AntiVir-Log:

Zitat

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 29. Juli 2007 10:50

Es wird nach 990526 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Peter
Computername: BLACK-BEATY

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 21.04.2007 06:11:29
AVSCAN.DLL : 7.0.4.0 41000 Bytes 21.04.2007 06:11:29
LUKE.DLL : 7.0.4.11 143400 Bytes 21.04.2007 06:11:30
LUKERES.DLL : 7.0.4.0 10792 Bytes 21.04.2007 06:11:30
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 07:15:44
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 19:58:05
ANTIVIR2.VDF : 6.39.0.177 762368 Bytes 23.07.2007 18:35:57
ANTIVIR3.VDF : 6.39.0.193 212480 Bytes 27.07.2007 13:56:09
AVEWIN32.DLL : 7.4.0.50 2650624 Bytes 26.07.2007 19:16:27
AVWINLL.DLL : 1.0.0.7 14376 Bytes 21.04.2007 06:11:29
AVPREF.DLL : 7.0.2.1 24616 Bytes 21.04.2007 06:11:29
AVREP.DLL : 7.0.0.1 155688 Bytes 21.04.2007 06:11:30
AVPACK32.DLL : 7.3.0.13 360488 Bytes 29.06.2007 17:38:31
AVREG.DLL : 7.0.1.2 31784 Bytes 21.04.2007 06:11:29
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 21.04.2007 06:11:29
AVARKT.DLL : 1.0.0.17 278568 Bytes 08.05.2007 12:37:00
NETNT.DLL : 7.0.0.0 7720 Bytes 21.04.2007 06:11:30
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 21.04.2007 06:11:25
RCTEXT.DLL : 7.0.45.0 86056 Bytes 21.04.2007 06:11:25

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: F:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 29. Juli 2007 10:50

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwwin.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CapabilityManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OtbStart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Application Launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NvMixerTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnpstd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '20' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Datenplatte>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'E:\' <Slim U2>
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Sonntag, 29. Juli 2007 12:19
Benötigte Zeit: 1:29:04 min

Der Suchlauf wurde vollständig durchgeführt.

8162 Verzeichnisse wurden überprüft
421485 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
421485 Dateien ohne Befall
2836 Archive wurden durchsucht
1 Warnungen
1 Hinweise
0 Versteckte Objekte wurden gefunden

Combofix-Log:

Zitat

"Peter" - 2007-07-29 13:57:53 - ComboFix 07-07-24 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-06-28 to 2007-07-29 )))))))))))))))))))))))))))))))


2007-07-29 13:34 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-24 19:57 <DIR> d-------- C:\WINDOWS\Prefetch
2007-07-24 19:37 <DIR> dr------- C:\DOKUME~1\DEFAUL~1\Eigene Dateien
2007-07-24 19:20 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2007-07-24 19:20 13,824 --a------ C:\WINDOWS\system32\irclass.dll
2007-07-09 13:04 <DIR> d-------- C:\Programme\DAEMON Tools
2007-07-09 13:02 682,232 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-07-03 12:10 <DIR> d-------- C:\SAVE
2007-07-03 11:58 231,936 --a------ C:\WINDOWS\system32\SNWValid.dll
2007-07-03 11:58 1,022,976 --a------ C:\WINDOWS\system32\SierraNW.dll
2007-07-03 11:58 <DIR> d-------- C:\SIERRA
2007-07-03 11:58 <DIR> d-------- C:\Programme\Sierra On-Line
2007-07-03 11:55 <DIR> d-------- C:\DOKUME~1\Peter\WINDOWS
2007-07-02 14:25 29,696 --a------ C:\WINDOWS\mickey32.dll
2007-07-02 14:25 232,784 --a------ C:\WINDOWS\Matrix Code.scr
2007-07-02 14:25 2,285,222 --a------ C:\WINDOWS\Matrix Code.exe
2007-07-01 17:54 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-07-01 17:54 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-07-01 17:54 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-07-01 17:54 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll
2007-07-01 17:54 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-07-01 17:54 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2007-07-01 17:54 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-07-01 17:54 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-07-01 17:54 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-07-01 17:54 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-07-01 17:53 <DIR> d-------- C:\DOKUME~1\Peter\ANWEND~1\Activision


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-29 10:51:07 -------- d-----w C:\DOKUME~1\Peter\ANWEND~1\Skype
2007-07-29 09:21:39 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-07-26 07:41:34 -------- d-----w C:\Programme\BitTorrent
2007-07-23 17:10:07 -------- d-----w C:\DOKUME~1\Peter\ANWEND~1\LimeWire
2007-07-09 13:24:20 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-07-05 14:37:42 -------- d-----w C:\Programme\ICQ6
2007-06-17 10:07:37 -------- d-----w C:\DOKUME~1\Peter\ANWEND~1\ICQ
2007-06-14 19:58:10 -------- d-----w C:\Programme\ICQLite
2007-05-26 11:05:14 65,160 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-26 11:05:14 393,928 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-05-06 08:31:55 4,212 ---ha-w C:\WINDOWS\system32\zllictbl.dat
2007-04-12 17:36:43 16,752 ----a-w C:\DOKUME~1\Peter\ANWEND~1\GDIPFONTCACHEV1.DAT
2002-12-31 12:00:00 73,728 --sha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 04:48]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 18:12]
"nwiz"="nwiz.exe" [2005-05-25 16:02 C:\WINDOWS\system32\nwiz.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-21 08:11]
"Zone Labs Client"="D:\Downloads\ZoneAlarm\zlclient.exe" [2005-11-15 00:51]
"MsgCenterExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" []
"@"="" []
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17]
"OtbStart"="C:\Programme\TelefonCD\OtbStart.EXE" [1999-09-16 20:52]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 14:00]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-02-23 00:31]
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" []
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 00:29]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0 nwprovau



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{163a8029-c2ad-11db-b2c3-806d6172696f}]
AutoRun\command- E:\ASUSACPI.exe

*Newly Created Service* - CATCHME

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-29 13:58:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-29 13:58:44
C:\ComboFix2.txt ... 2007-07-29 13:43

--- E O F ---

Hoffentlich kann mir jemand weiterhelfen, ich habe leider keine Erfahrung bei der Behebung solcher Probleme.

mfg Bachi

#2 Hallo,

stelle Antivir wie folgt ein:
http://board.protecus.de/t23979.htm
Scanne alle Festplatten u. alle Dateien, poste den Report.

Was passiert wenn Du den CapabilityManager.exe im Taskmonitor beendest?
Hast Du ihn schon Online überprüfen lassen?
(http://www.virustotal.com/flash/index_en.html)

Scanne mit t ewido und poste den scanreport
http://virus-protect.org/onlinescan.html

Nenne die HJ.exe um auf test.com und mache danach ein neues HJ-Log.
Der genannte Trojaner installiert sich über Exploits in das DRM und wird
über limwire verbreitet. Er lädt/installiert dann andere Trojaner/Backdoors...

Eventuell (wenn nichts hilft) über die Systemwiederherstellung auf einen früheren (funktionsfähigen) Stand zurück gehen!
Auf die Schnelle finde ich leider nichts...

chris