Backdoor.Pcclient.GV Problem

#1 Hi alle zusammen

Hatte gestern den Alarm von meinem Wächter (AVK 2006)
-- Beim Öffnen der Datei "E:\system volume information\_restore{f397a7e7-9e97-411d-8caa-cc56f4f119a0}\rp73\a0005070.exe" wurde der Virus "Backdoor.Pcclient.GV" von der Engine "BDF" entdeckt.

Binn gleich auf löschen gegangen, damit ruhe ist.
Habe jedoch später in der protokll datei gesehen das dies nicht funktioniert hat.

Seit dem sind einige suspeckte Sachen aufgetreten.

Als erstes hat meine Fierwal fast alle Pogramme bzw Prozesse gesperrt da diese angeblich verändert worden sind.

Meine AVKTray bzw AVKwCll versuchen sich permanet einzuloggen obwohl ich den dienst nur manual aufrufe.

dazu kommt ein sehr langsam reagierender PC und und gelegendliches flimmern
bzw aussetzen des Explorrers.

Habe Spybot und Scanner durcdhlaufen lassen ohne ergebnisse.

Zu dem Backdoor habe ich irgentwie nicht viel bzw gar nichts hilfreiches gefunden ------- weiß nicht mehr weiter

bitte helft mir


Logfile of HijackThis v1.99.1
Scan saved at 22:12:27, on 03.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\SLEE12.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\AntiVirenKit InternetSecurity\GUI\avkis.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\avk.exe
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\system32\taskmgr.exe
C:\HijackThis\HijackThis.exe

R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{589FC363-504A-4116-BA9D-6E8185AF7DA5}: NameServer = 195.50.140.250 195.50.140.114
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Steganos Live Encryption Engine 12 [Service] (SLEE_12_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe


Hoffe ich belästige euch nicht mit einem altbekannten Problem.

#2 Beim kurzen drüber gucken bei hijackthis fällt mir auch nichts so konkret auf. naja führe halt mal die Standard aus, vielleicht ist da etwas zu sehen:

http://board.protecus.de/t23188.htm (HijackThis hast du ja schon )

#3 OK probier ich
ist irgendwie seltsam
evtl. hilft das noch

"picolo" - 07-04-03 22:36:05 Service Pack 2
ComboFix 07-04-04 - Running from: "C:\Dokumente und Einstellungen\picolo\Desktop"


((((((((((((((((((((((((((((((( Files Created from 2007-03-03 to 2007-04-03 ))))))))))))))))))))))))))))))))))


2007-04-03 21:47 <DIR> d-------- C:\HijackThis
2007-04-03 19:29 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-04-03 19:27 <DIR> d-------- C:\DOKUME~1\NETWOR~1\ANWEND~1\Opera
2007-04-03 02:54 83,096 --a------ C:\WINDOWS\system32\SSSensor.dll
2007-04-03 02:54 55,891 --a------ C:\WINDOWS\system32\drivers\Teefer.sys
2007-04-03 02:54 18,518 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys
2007-04-03 02:54 11,914 --a------ C:\WINDOWS\system32\drivers\wg3n.sys
2007-04-03 02:54 <DIR> d-------- C:\Programme\Sygate
2007-04-03 01:43 <DIR> d-------- C:\DOKUME~1\picolo\ANWEND~1\CyberLink
2007-04-03 01:42 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink
2007-04-03 01:41 <DIR> d-------- C:\Programme\CyberLink
2007-04-01 04:20 24,576 --------- C:\WINDOWS\system32\Change.dll
2007-04-01 04:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\IviSDK
2007-04-01 03:37 317,952 --a------ C:\WINDOWS\system32\Roboex32.dll
2007-04-01 03:37 1,323,008 --a------ C:\WINDOWS\system32\ivimci32.dll
2007-04-01 03:37 <DIR> d-------- C:\Programme\InterVideo
2007-04-01 02:44 <DIR> d-------- C:\DOKUME~1\picolo\.assistant
2007-04-01 02:37 <DIR> d-------- C:\nova-pci218c
2007-04-01 02:33 <DIR> d-------- C:\Programme\Marvell
2007-04-01 01:25 <DIR> d-------- C:\Programme\Hauppauge
2007-03-31 21:56 306,688 --a------ C:\WINDOWS\IsUninst.exe
2007-03-30 05:17 <DIR> d-------- C:\Programme\Gizmo Project
2007-03-25 01:52 <DIR> d-------- C:\shrink
2007-03-18 03:13 <DIR> d-------- C:\Programme\Yahoo!
2007-03-14 15:10 <DIR> d-------- C:\DOKUME~1\picolo\ANWEND~1\Google
2007-03-14 15:09 <DIR> d-------- C:\Programme\Google
2007-03-14 13:21 36,528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-03-14 13:21 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-03-14 13:21 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-03-14 13:21 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-03-14 13:21 115,880 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-03-14 13:21 <DIR> d-------- C:\Programme\Winamp
2007-03-13 20:34 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2007-03-13 20:34 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2007-03-13 20:34 <DIR> d-------- C:\DOKUME~1\picolo\ANWEND~1\TuneUp Software
2007-03-13 20:33 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
2007-03-10 16:47 729,088 --a------ C:\WINDOWS\iun6002.exe
2007-03-10 00:46 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-03-09 02:54 <DIR> d-------- C:\DOKUME~1\picolo\ANWEND~1\InstallShield
2007-03-09 02:23 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2007-03-09 00:47 <DIR> d-------- C:\Programme\PokerStars
2007-03-09 00:40 763 --a------ C:\WINDOWS\eReg.dat
2007-03-09 00:27 <DIR> d-------- C:\Programme\EA GAMES
2007-03-09 00:09 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-03-08 22:28 <DIR> d-------- C:\WINDOWS\system32\oodag
2007-03-08 21:57 <DIR> d-------- C:\Programme\OO Software
2007-03-08 19:17 <DIR> d-------- C:\DOKUME~1\picolo\apm
2007-03-08 19:15 <DIR> d-------- C:\Programme\abylonsoft
2007-03-08 17:09 <DIR> d-------- C:\DOKUME~1\picolo\ANWEND~1\Talkback
2007-03-06 21:48 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-03-06 21:27 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2007-03-04 17:04 <DIR> d-------- C:\DOKUME~1\picolo\ANWEND~1\Help
2007-03-04 13:24 <DIR> d-------- C:\temp
2007-03-04 13:07 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-03-04 13:07 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-03-04 13:07 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2007-03-04 13:07 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-03-04 13:07 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-03-04 13:07 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-03-03 22:16 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Elaborate Bytes
2007-03-03 20:15 <DIR> d-------- C:\Programme\DVD Shrink DE
2007-03-03 19:59 <DIR> d-------- C:\Programme\Elaborate Bytes
2007-03-03 17:49 796,672 --a------ C:\WINDOWS\GPInstall.exe
2007-03-03 16:33 <DIR> d-------- C:\Programme\JGoodies
2007-03-03 16:33 <DIR> d-------- C:\DOKUME~1\picolo\.jdiskreport
2007-03-03 16:24 <DIR> d-------- C:\DOKUME~1\picolo\ANWEND~1\SlySoft
2007-03-03 16:17 <DIR> d-------- C:\Programme\SlySoft


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-03 03:15 -------- d-------- C:\Programme\steganos safe 8
2007-04-03 01:41 -------- d--h----- C:\Programme\installshield installation information
2007-04-01 01:25 -------- d---s---- C:\Programme\xfire
2007-04-01 01:25 -------- d-------- C:\DOKUME~1\picolo\ANWEND~1\xfire
2007-03-31 20:07 -------- d-------- C:\DOKUME~1\picolo\ANWEND~1\azureus
2007-03-30 06:02 -------- d-------- C:\Programme\mozilla thunderbird
2007-03-29 00:27 -------- d-------- C:\DOKUME~1\picolo\ANWEND~1\hamachi
2007-03-27 22:17 -------- d-------- C:\DOKUME~1\picolo\ANWEND~1\teamspeak2
2007-03-25 15:23 74996 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 15:23 415470 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-13 20:33 -------- d-------- C:\Programme\Gemeinsame Dateien\wise installation wizard
2007-03-09 00:11 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2007-03-03 20:34 -------- d-------- C:\DOKUME~1\picolo\ANWEND~1\thunderbird
2007-03-03 16:20 40 ---hs---- C:\DOKUME~1\picolo\ANWEND~1\.zreglib
2007-03-01 02:35 -------- d-------- C:\DOKUME~1\picolo\ANWEND~1\ulead systems
2007-03-01 02:28 -------- d-------- C:\Programme\Gemeinsame Dateien\ulead systems
2007-03-01 02:28 -------- d-------- C:\Programme\Gemeinsame Dateien\sony digital images
2007-03-01 02:25 -------- d-------- C:\Programme\smartsound software
2007-03-01 02:24 -------- d-------- C:\Programme\quicktime
2007-03-01 02:24 -------- d-------- C:\Programme\Gemeinsame Dateien\installshield
2007-03-01 02:23 -------- d-------- C:\Programme\windows media-komponenten
2007-03-01 02:21 -------- d-------- C:\Programme\ulead systems
2007-02-24 07:28 4608 --a------ C:\WINDOWS\system32\w95inf32.dll
2007-02-24 07:28 2272 --a------ C:\WINDOWS\system32\w95inf16.dll
2007-02-24 05:12 -------- d-------- C:\Programme\daemon tools
2007-02-24 05:09 646392 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-02-23 20:16 -------- d-------- C:\Programme\mp3player
2007-02-23 16:00 68960 --a------ C:\WINDOWS\system32\drivers\Pcatip.sys
2007-02-23 16:00 47360 --a------ C:\WINDOWS\system32\drivers\Pcouffin.sys
2007-02-23 16:00 -------- d-------- C:\Programme\vso
2007-02-23 15:39 -------- d-------- C:\Programme\smart projects
2007-02-18 07:13 359808 --a------ C:\WINDOWS\system32\drivers\tcpip.sys
2007-02-15 16:24 -------- d-------- C:\DOKUME~1\picolo\ANWEND~1\vlc
2007-02-15 16:20 -------- d-------- C:\Programme\videolan
2007-02-15 03:44 -------- d-------- C:\Programme\java
2007-02-15 03:43 -------- d-------- C:\Programme\Gemeinsame Dateien\java
2007-02-15 03:43 -------- d-------- C:\Programme\azureus
2007-02-09 16:16 -------- d-------- C:\Programme\d-lusion
2007-02-08 21:09 -------- d-------- C:\Programme\microsoft.net
2007-02-08 21:09 -------- d-------- C:\Programme\microsoft works
2007-02-06 01:45 10578 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2007-02-06 01:45 -------- d-------- C:\Programme\hamachi
2007-02-04 21:54 -------- d-------- C:\Programme\alcohol soft
2007-02-03 20:34 -------- d-------- C:\Programme\dvd decrypter
2007-01-30 00:21 3408 --a------ C:\WINDOWS\mozver.dat
2007-01-30 00:21 107132 --a------ C:\WINDOWS\uninstallthunderbird.exe
2007-01-29 23:54 52858 --a------ C:\WINDOWS\system32\interceptor.sys
2007-01-29 23:42 451072 --a------ C:\WINDOWS\radeon omega drivers v3.8.330 uninstall.exe
2007-01-29 23:12 27262976 --a------ C:\VIRTPART.DAT
2007-01-29 22:33 0 -rahs---- C:\MSDOS.SYS
2007-01-29 22:33 0 -rahs---- C:\IO.SYS
2007-01-29 22:33 0 --a------ C:\CONFIG.SYS
2007-01-29 22:33 0 --a------ C:\AUTOEXEC.BAT
2007-01-29 22:31 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat
2007-01-29 22:24 62 --ahs---- C:\DOKUME~1\picolo\ANWEND~1\desktop.ini


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NVMixerTray"="\"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe\""
"AtiPTA"="atiptaxx.exe"
"AVKTray"="\"C:\\Programme\\AntiVirenKit InternetSecurity\\AVKTray\\AVKTray.exe\""
"SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"SAFE8"="\"C:\\Programme\\Steganos Safe 8\\SAFE8.exe\" -firstboot"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^abylon SHREDDER.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\abylon SHREDDER.lnk"
"backup"="C:\\WINDOWS\\pss\\abylon SHREDDER.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\ABYLON~1\\SAWipe\\SAWipe.EXE /ACTIVATEUSR"
"item"="abylon SHREDDER"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Acrobat - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Acrobat - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\WINDOWS\\Installer\\{AC76BA86-1033-F400-7760-000000000002}\\SC_Acrobat.exe "
"item"="Adobe Acrobat - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Acrotray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AnyDVD"
"hkey"="HKCU"
"command"="C:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NMBgMonitor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKCU"
"command"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostStartTrayApp]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GhostStartTrayApp"
"hkey"="HKLM"
"command"="C:\\Programme\\Symantec\\Norton Ghost 2003\\GhostStartTrayApp.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SAFE8]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SAFE8"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Steganos Safe 8\\SAFE8.exe\" -boot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_05\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"apmSAWCtrl"=dword:00000002
"Bonjour Service"=dword:00000002


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0

hklm\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
UxTuneUp


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3dccde54-afdd-11db-b945-806d6172696f}]
Shell\AutoRun\command G:\setup.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-03 22:37:21
C:\ComboFix-quarantined-files.txt ... 07-04-03 22:37

DATFIND:::

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F800-F53D

Verzeichnis von C:\WINDOWS\system32

05.04.2007 21:23 26.190 OODBS.lor
05.04.2007 08:37 62.344 perfc009.dat
05.04.2007 08:37 401.064 perfh009.dat
05.04.2007 08:37 74.996 perfc007.dat
05.04.2007 08:37 415.470 perfh007.dat
05.04.2007 08:37 963.896 PerfStringBackup.INI
03.04.2007 00:43 2.206 wpa.dbl
17.03.2007 21:56 267.800 FNTCACHE.DAT
17.03.2007 21:42 16.832 amcompat.tlb
17.03.2007 21:42 23.392 nscompat.tlb
09.03.2007 02:25 43.520 CmdLineExt03.dll
06.03.2007 21:48 664 d3d9caps.dat
06.03.2007 21:27 552 d3d8caps.dat
01.03.2007 02:24 3.058 qtplugin.log
24.02.2007 07:28 2.272 w95inf16.dll
24.02.2007 07:28 4.608 w95inf32.dll
15.02.2007 03:44 5.618 jupdate-1.5.0_05-b05.log
30.01.2007 00:23 34.064 lhacm.acm
29.01.2007 23:54 52.858 interceptor.sys
29.01.2007 22:36 386 $winnt$.inf
29.01.2007 22:33 2.951 CONFIG.NT
29.01.2007 22:33 488 logonui.exe.manifest
29.01.2007 22:33 488 WindowsLogon.manifest
29.01.2007 22:33 749 ncpa.cpl.manifest
29.01.2007 22:33 749 cdplayer.exe.manifest
29.01.2007 22:33 749 wuaucpl.cpl.manifest
29.01.2007 22:33 749 nwc.cpl.manifest
29.01.2007 22:33 749 sapi.cpl.manifest
29.01.2007 22:31 21.740 emptyregdb.dat
29.01.2007 22:29 0 h323log.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F800-F53D

Verzeichnis von C:\DOKUME~1\picolo\LOKALE~1\Temp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F800-F53D

Verzeichnis von C:\WINDOWS

05.04.2007 21:24 0 0.log
05.04.2007 21:24 2.048 bootstat.dat
05.04.2007 21:23 14.668 WindowsUpdate.log
05.04.2007 19:06 15.956 SchedLgU.Txt
05.04.2007 08:37 48.347 iis6.log
05.04.2007 08:37 6.625 comsetup.log
05.04.2007 08:37 5.326 ntdtcsetup.log
05.04.2007 08:37 4.507 imsins.log
05.04.2007 08:37 12.731 tsoc.log
05.04.2007 08:37 622 tabletoc.log
05.04.2007 08:37 1.771 ocmsn.log
05.04.2007 08:37 1.926 MedCtrOC.log
05.04.2007 08:37 20.360 ocgen.log
05.04.2007 08:37 1.344 msgsocm.log
05.04.2007 08:37 17.774 FaxSetup.log
05.04.2007 08:37 3.753 netfxocm.log
05.04.2007 08:37 10.844 msmqinst.log
05.04.2007 08:34 1.891 imsins.BAK
05.04.2007 06:39 227 system.ini
05.04.2007 06:39 573 win.ini
05.04.2007 05:19 216 wiadebug.log
05.04.2007 04:11 5.395 setupapi.log
05.04.2007 01:23 50 wiaservc.log
05.04.2007 00:13 69 NeroDigital.ini
01.04.2007 04:01 0 setupact.log
10.03.2007 16:47 22.435 DesertCombat Setup Log.txt
10.03.2007 16:45 729.088 iun6002.exe
10.03.2007 15:59 763 eReg.dat
08.03.2007 19:17 157 SAWReg.ini
03.03.2007 17:49 796.672 GPInstall.exe
01.03.2007 02:24 316.640 WMSysPr9.prx
08.02.2007 21:12 400 ODBC.INI
07.02.2007 21:05 754 WORDPAD.INI
30.01.2007 00:26 9.325 EPSTPLOG.TXT
30.01.2007 00:26 14.062 EPSTPLOG.BAK
30.01.2007 00:21 107.132 UninstallThunderbird.exe
30.01.2007 00:21 3.408 mozver.dat
29.01.2007 23:42 451.072 Radeon Omega Drivers v3.8.330 Uninstall.exe
29.01.2007 22:37 829 OEWABLog.txt
29.01.2007 22:37 8.192 REGLOCS.OLD
29.01.2007 22:33 0 control.ini
29.01.2007 22:33 4.161 ODBCINST.INI
29.01.2007 22:33 749 WindowsShell.Manifest
29.01.2007 22:31 36 vb.ini
29.01.2007 22:31 37 vbaddin.ini
29.01.2007 22:27 0 Sti_Trace.log
29.01.2007 22:24 0 setuperr.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F800-F53D

Verzeichnis von C:\WINDOWS\Temp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F800-F53D

Verzeichnis von C:\WINDOWS\Downloaded Program Files

29.01.2007 22:33 65 desktop.ini
06.12.2006 17:27 1.249 erma.inf
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
25.07.2002 18:05 172.032 isusweb.dll
5 Datei(en) 394.530 Bytes
0 Verzeichnis(se), 9.636.593.664 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F800-F53D

Verzeichnis von C:\

05.04.2007 21:43 0 sys.txt
05.04.2007 21:42 491 down.txt
05.04.2007 21:42 117 tmp.txt
05.04.2007 21:42 2.485 windows.txt
05.04.2007 21:41 4.784 system.txt
05.04.2007 21:40 134 systemtemp.txt
05.04.2007 21:39 104.757 system32.txt
05.04.2007 21:23 1.609.801.728 pagefile.sys
05.04.2007 06:39 211 boot.ini
05.04.2007 06:36 16.084 ComboFix.txt
05.04.2007 06:36 359 ComboFix-quarantined-files.txt
03.04.2007 22:37 16.720 ComboFix2.txt
29.01.2007 23:12 27.262.976 VIRTPART.DAT
29.01.2007 22:33 0 MSDOS.SYS
29.01.2007 22:33 0 CONFIG.SYS
29.01.2007 22:33 0 AUTOEXEC.BAT
29.01.2007 22:33 0 IO.SYS

20 Datei(en) 1.637.514.546 Bytes
0 Verzeichnis(se), 9.636.589.568 Bytes frei



vielen dank schon mal

denn die props werden immer mehr : pc hängt sich jetzt gerne mal komplett auf
Die AVK... exen spielen immer mal wieder verrückt

Meine Sygate --blockt ständig irgend etwas oder hängt sich auf.

Spiele laufen immer langsamer

Windos b-Fierwal schaltet sich einfach wieder an

Windos Ordneransichten sind auf einmahl wieder in der uhreinstellung
Opera hängt sich auf und will ab und zu gar nicht mehr

usw usw