Hallo,

ich schätze mal, das mein Rechner wohl etwas abbekommen hat...
Nachdem der AntiVir Classic 7 nicht mehr ordentlich arbeiten wollte (Totalstreik) habe ich mir den F-Secure Antivirus 2007 gezogen und der hat mich prompt auf die Datei "C:\windows\system32\asmgytmebs.exe" hingewiesen. Diese wollte irgendwelche Änderungen am System durchführen, was ich aber unterbunden habe.
Bei meiner Recherche im Netz über Google & Co. habe ich nichts gefunden, weshalb ich jetzt hier anfrage. Ich habe im Regeditor einen passenden Schlüssel gefunden unter "HKUsers\S...\Software\Microsoft\Windows\ShellNoRoam\MUICache\"
Merkwürdig erscheint mir, dass ich die Datei im angegebenen Ordner nicht finden kann und keinerlei Beschreibung dazu angegeben ist, weder bei den Programmen in F-Secure (sonst: Hersteller, etc.) noch in der Registry.

Diverse Scans mit AVGAntispy, SpybotS&D, BitDefenderAntispy, HijackThis haben nichts ergeben. Sie finden zwar ab und an mal einen Schädling, aber mein Problem bleibt unverändert bestehen. Der Rechner hängt sich ab und an einfach auf und läuft generell nicht sonderlich schnell. Vor allem das Internet bereitet keine sonderliche Freude...

Vielen Dank für Eure Hilfe

noch kurz mal mein System, wer weiß ob's hilft:

OS: XP Home SP2
Browser: Opera 9.02
Mail: MS Outlook
Grafik: Ati Radeon
CPU: Intel Centrino

Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.

Hallo,

Danke erstmal für die schnelle Antwort. Der Ewido-Scanner ist jetzt zum AVGSpyWare geworden und den habe ich schon erfolglos ausgeführt. Der Tipp mit dem F-Secure Blacklight war gut, der hat den Prozess direkt gefunden. Ich habe zunächst NICHT die Option der Umbenennung wargenommen. Sollte ich das beim nächsten Scan tun?
hier das log:

11/23/06 23:14:19 [Info]: BlackLight Engine 1.0.47 initialized
11/23/06 23:14:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/23/06 23:14:20 [Note]: 7019 4
11/23/06 23:14:20 [Note]: 7005 0
11/23/06 23:14:25 [Note]: 7006 0
11/23/06 23:14:25 [Note]: 7011 1280
11/23/06 23:14:25 [Note]: 7024 7
11/23/06 23:14:25 [Info]: Hidden process: C:\windows\system32\asmgytmebs.exe
11/23/06 23:14:25 [Note]: FSRAW library version 1.7.1020
11/23/06 23:17:08 [Info]: Hidden file: c:\WINDOWS\Prefetch\ASMGYTMEBS.EXE-0678EEAA.pf
11/23/06 23:17:08 [Note]: 10002 1
11/23/06 23:17:28 [Info]: Hidden file: c:\WINDOWS\system32\asmgytmebs.dat
11/23/06 23:17:28 [Note]: 10002 1
11/23/06 23:17:28 [Info]: Hidden file: C:\windows\system32\asmgytmebs.exe
11/23/06 23:17:28 [Note]: 10002 1
11/23/06 23:17:29 [Info]: Hidden file: c:\WINDOWS\system32\asmgytmebs_nav.dat
11/23/06 23:17:29 [Note]: 10002 1
11/23/06 23:17:29 [Info]: Hidden file: c:\WINDOWS\system32\asmgytmebs_navps.dat
11/23/06 23:17:29 [Note]: 10002 1
11/23/06 23:19:59 [Note]: 7007 0

Sehr fraglich, ob sich eine Bereinigung hier lohnt. Da sind mehrere versteckte Objekte gefunden worden, Rootkits sicher zu entfernen ist quasi unmöglich.
Das einzig sichere bei Rootkitbefall ist ein Flachmachen das Systems (Formatierung der Systempartition) und anschließendes Neuaufsetzen.

Wird übrigens auch vom Blacklight Hersteller F-Secure empfohlen:

Zitat:

Formatting all hard disks and re-installing the computer is the only foolproof way to eliminate this risk.

Generell muss ich cosinus Recht geben, platt machen und System neu aufziehen ist mit Sicherheit das Beste. Aaber in meinem Falle ist das im Moment nicht möglich. Ich sitze im Ausland und habe den Berg Installations-CDs natürlich vorbildlich zu Hause im Schrank gehortet. Sehr clever!
Ich bräuchte jetzt eine Lösung bis Weihnachten, also etwa für einen Monat. Danach wird der Rechner definitiv platt gemacht, aber ich brauche ihn hier zum Arbeiten...

Vielen Dank