Habe seit kurzem das Problem, daß der Explorer.exe (nicht IE!) abstürzt, wenn ich einen Ordner öffne - "explorer.exe hat einen Fehler verursacht ....". Programme kann ich ganz regulär starten aus dem Startmenü oder der Schnellstartleiste, aber keine Ordner mehr öffnen. Komischerweise habe ich den Fehler nur, wenn ich im User-Modus arbeite - wenn ich als Admin reingehe, geht es ganz normal.

Ich habe mir dann mal Malwarebytes runtergeladen und installiert. Dabei hat AV folgende Meldung gebracht:

"In der Datei 'C:\Programme\Malwarebytes' Anti-Malware\is-938FD.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Agent.ckm' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben"

Das Programm habe ich seitdem vorsichtshalber nicht ausgeführt.

Ich poste einfach mal zwei Log-Files von HijackThis und von combofix, der unter Rootkits irgendwas findet, was ich nicht deuten kann:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:03:05, on 13.10.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\hijackThis\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\system32\pmxinit.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrayServer] C:\Programme\magix\TrayServer.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Power DVD Player] "C:\Programme\Power DVD Player\PowerDVDPlayer.exe" hmw
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 4488 bytes

Und von ComboFix:

ComboFix 08-10-09.06 - Administrator 2008-10-10 12:36:17.3 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.1199 [GMT 2:00]
ausgeführt von:: C:\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-10 bis 2008-10-10 ))))))))))))))))))))))))))))))
.

2008-10-10 11:34 . 08-10-10 11:34 250 --a------ C:\WINNT\gmer.ini
2008-10-10 11:33 . 08-10-10 11:33 <DIR> d-------- C:\gmer
2008-10-10 11:31 . 08-10-10 11:31 747,873 --a------ C:\gmer.zip
2008-10-10 11:04 . 08-10-10 11:05 2,938,882 -ra------ C:\ComboFix.exe
2008-10-10 11:03 . 08-10-10 11:03 1,137,360 --a------ C:\fsbl.exe
2008-10-01 14:07 . 08-10-01 14:07 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
2008-09-27 17:27 . 08-09-29 21:40 54,156 --ah----- C:\WINNT\QTFont.qfn
2008-09-27 17:27 . 08-09-27 17:27 1,409 --a------ C:\WINNT\QTFont.for
2008-09-19 22:30 . 08-09-19 22:30 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0
2008-09-19 22:28 . 08-09-19 22:28 <DIR> d-------- C:\Dokumente und Einstellungen\****\.thumbnails
2008-09-19 22:27 . 08-09-19 22:31 <DIR> d-------- C:\Dokumente und Einstellungen\****\.gimp-2.4
2008-09-19 22:25 . 08-09-19 22:25 <DIR> d-------- C:\Programme\GIMP-2.0
2008-09-12 13:02 . 00-05-10 00:00 73,728 --a------ C:\WINNT\system32\epfb5cpl.dll
2008-09-12 13:02 . 99-10-12 00:00 65,536 --a------ C:\WINNT\system32\epcomdd.dll
2008-09-12 13:02 . 00-03-30 00:00 45,056 --a------ C:\WINNT\system32\essiscsi.dll
2008-09-12 13:02 . 99-09-03 00:00 36,864 --a------ C:\WINNT\system32\icmrt20a.dll
2008-09-12 13:00 . 03-06-19 12:05 12,592 --a------ C:\WINNT\system32\drivers\usbscan.sys
2008-09-12 13:00 . 03-06-19 12:05 12,592 --a--c--- C:\WINNT\system32\dllcache\usbscan.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-10 09:50 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-10 09:47 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-10-02 10:54 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\OpenOffice.org2
2008-09-28 16:15 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Any Video Converter
2008-09-27 15:27 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Apple Computer
2008-09-23 18:57 --------- d-----w C:\Programme\irfanView
2008-09-16 15:45 --------- d---a-w C:\Programme\magix
2008-09-04 18:47 --------- d-----w C:\Programme\Dev-Cpp
2008-09-03 18:27 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Dev-Cpp
2008-09-03 17:40 --------- d-----w C:\Programme\easyEclipse
2008-08-31 16:01 --------- d---a-w C:\Programme\Goya_burnR_mxcdr
2008-08-27 13:46 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Any Video Converter
2008-08-26 12:52 --------- d---a-w C:\Programme\Any Video Converter
2008-08-26 12:40 --------- d-----w C:\Programme\pcwMediaConverter_0.2.1
2008-08-10 13:50 --------- d---a-w C:\Programme\Music_Manager_2006
2008-08-10 13:49 --------- d---a-w C:\Programme\Foto_Manager_2007
2008-08-10 13:49 --------- d-----w C:\Programme\Common
2008-08-10 13:46 --------- d---a-w C:\Programme\Online_Druck_Service
2008-08-10 13:45 --------- d---a-w C:\Programme\Goya_burnR
2008-08-10 13:38 --------- d---a-w C:\Programme\Foto_Clinic_55
2008-08-06 18:22 3,072 ----a-w C:\WINNT\system32\34CoInstaller.dll
2008-07-23 14:46 73,216 ----a-w C:\WINNT\ST6UNST.EXE
2008-07-23 14:46 249,856 ------w C:\WINNT\Setup1.exe
2008-07-21 17:22 1,536 ----a-w C:\Programme\Adobe Help Center.lnk
2008-07-18 20:10 94,920 ----a-w C:\WINNT\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINNT\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINNT\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINNT\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINNT\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINNT\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINNT\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINNT\system32\wuaueng.dll
2008-07-10 10:00 251,664 ----a-w C:\WINNT\system32\es.dll
2007-04-12 11:18 271 ---h--w C:\Programme\desktop.ini
2007-04-12 11:18 22,080 ---h--w C:\Programme\folder.htt
1999-12-10 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

((((((((((((((((((((((((((((( snapshot@Fr 2008-10-10_11.20.01.82 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-10-10 09:34:36 884,736 ----a-w C:\WINNT\gmer.dll
+ 2008-04-17 19:13:02 811,008 ----a-w C:\WINNT\gmer.exe
+ 2008-10-10 09:34:36 85,969 ----a-w C:\WINNT\system32\drivers\gmer.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run]
"internat.exe"="internat.exe" [99-12-10 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run]
"PMXInit"="C:\WINNT\system32\pmxinit.exe" [01-05-23 01:00 700176]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\T rueImageMonitor.exe" [06-04-10 15:12 1127976]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHom e\TimounterMonitor.exe" [06-04-10 12:58 1845995]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [06-04-07 18:40 126976]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [06-12-28 02:02 1454080]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [08-07-21 12:35 266497]
"TrayServer"="C:\Programme\magix\TrayServer.exe" [06-10-04 16:41 86016]
"Synchronization Manager"="mobsync.exe" [03-06-19 12:05 112400 C:\WINNT\system32\mobsync.exe]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-26 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"VIDC.HFYU"= huffyuv.dll

R3 AVerA16A;AVerA16A service;C:\WINNT\system32\DRIVERS\AVerA16A.sys [08-08-06 20:22 552064]
R3 AVMCOWAN;AVMCOWAN;C:\WINNT\system32\DRIVERS\AVMCOWAN.sys [04-06-09 02:00 53120]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINNT\system32\DRIVERS\fwlanusb.sys [06-12-28 01:02 265088]
R3 Ndisusb;GeneLink Network Driver;C:\WINNT\system32\DRIVERS\genelan.sys [01-04-02 20:00 11474]
R3 powervr;powervr;C:\WINNT\system32\DRIVERS\powervr.sys [01-05-23 01:00 675280]
R3 USBHSB;GeneLink USB Driver;C:\WINNT\system32\Drivers\geneusb.sys [01-04-02 19:58 10692]
S3 avmeject;AVM Eject;C:\WINNT\system32\drivers\avmeject.sys [06-12-28 02:02 4352]
S3 cwcspud3;Crystal SoundFusion(tm)-SPuD3-Treiber;C:\WINNT\system32\drivers\cwcspud3.sys [99-11-11 16:13 19056]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\Common\Database\bin\fbserver.exe [05-11-17 15:18 1527900]
S3 FXUSBASE;Teledat USB 2 a/b (WinXP/2000);C:\WINNT\system32\DRIVERS\fxusbase.sys [04-06-09 02:00 547840]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\ Profiles\v1utfaus.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE -
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

************************************************************ **************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-10-10 12:40:10
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


C:\WINNT\system32\Perflib_Perfdata_2bc.dat 16384 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

************************************************************ **************
.
Zeit der Fertigstellung: 2008-10-10 12:43:06 - PC wurde neu gestartet [Administrator]
ComboFix-quarantined-files.txt 2008-10-10 10:43:02
ComboFix2.txt 2008-10-10 09:20:40

Vor Suchlauf: 40,329,904,128 Bytes frei
Nach Suchlauf: 40,320,241,664 Bytes frei

127 --- E O F --- 2008-10-10 09:05:26

Keiner eine Idee?