Gmer meldet: MBR rootkit detected

Wie bekomme ich das rootkit weg ?
Gmer meldet nur, dass ich befallen bin (siehe ganz unten), aber gibt keinerlei Anweisungen, was man jetzt machen kann !
Wäre schön, wenn mir jemand erfahrenes helfen könnte !

Danke im Voraus !


GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2009-03-05 18:05:06
Windows 6.0.6001 Service Pack 1


---- System - GMER 1.0.14 ----

SSDT 887E8660 ZwAlertResumeThread
SSDT 88E71048 ZwAlertThread
SSDT 88EB8880 ZwAllocateVirtualMemory
SSDT 884A1308 ZwAlpcConnectPort
SSDT 88EC84C8 ZwAssignProcessToJobObject
SSDT 88EC4D40 ZwCreateMutant
SSDT 88ECAE38 ZwCreateSymbolicLinkObject
SSDT A4E6A9CC ZwCreateThread
SSDT 88EC2048 ZwDebugActiveProcess
SSDT 88EB8AD8 ZwDuplicateObject
SSDT 88EB8120 ZwFreeVirtualMemory
SSDT 88EAC3B0 ZwImpersonateAnonymousToken
SSDT 88EA6048 ZwImpersonateThread
SSDT 884BAE08 ZwLoadDriver
SSDT 88EBCFB0 ZwMapViewOfSection
SSDT 88EB0050 ZwOpenEvent
SSDT A4E6A9B8 ZwOpenProcess
SSDT 8852A110 ZwOpenProcessToken
SSDT 88EBD048 ZwOpenSection
SSDT A4E6A9BD ZwOpenThread
SSDT 88EC9E80 ZwProtectVirtualMemory
SSDT 88517920 ZwResumeThread
SSDT 8858E110 ZwSetContextThread
SSDT 88EBCD18 ZwSetInformationProcess
SSDT 88EBE048 ZwSetSystemInformation
SSDT 88EB1050 ZwSuspendProcess
SSDT 8855A068 ZwSuspendThread
SSDT A4E6A9C7 ZwTerminateProcess
SSDT 88637838 ZwTerminateThread
SSDT 88542360 ZwUnmapViewOfSection
SSDT A4E6A9C2 ZwWriteVirtualMemory
SSDT 88EC9460 ZwCreateThreadEx

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!ZwQueryLicenseValue + D11 82A63B59 1 Byte [ 06 ]
.text ntkrnlpa.exe!KeSetTimerEx + 350 82AC4914 8 Bytes [ 60, 86, 7E, 88, 48, 10, E7, ... ]
.text ntkrnlpa.exe!KeSetTimerEx + 364 82AC4928 4 Bytes [ 80, 88, EB, 88 ]
.text ntkrnlpa.exe!KeSetTimerEx + 370 82AC4934 4 Bytes [ 08, 13, 4A, 88 ]
.text ntkrnlpa.exe!KeSetTimerEx + 3C4 82AC4988 4 Bytes [ C8, 84, EC, 88 ]
.text ntkrnlpa.exe!KeSetTimerEx + 428 82AC49EC 4 Bytes [ 40, 4D, EC, 88 ]
.text ...
_PAGELK C:\Windows\system32\ntkrnlpa.exe entry point in "_PAGELK" section [0x82AF84B0]

---- User code sections - GMER 1.0.14 ----

.text C:\Program Files\Klebezettel NG\klebez.exe[4088] kernel32.dll!CreateThread + 1A 77C846E2 4 Bytes [ E6, 13, 7D, 88 ]

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\Program Files\Klebezettel NG\klebez.exe[4088] @ C:\Windows\system32\shell32.dll [KERNEL32.dll!QueueUserWorkItem] [00455C24] C:\Program Files\Klebezettel NG\klebez.exe (Elektronische Haftnotizen für Windows/Hollie-Soft)
IAT C:\Program Files\Klebezettel NG\klebez.exe[4088] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!QueueUserWorkItem] [00455C24] C:\Program Files\Klebezettel NG\klebez.exe (Elektronische Haftnotizen für Windows/Hollie-Soft)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\e"CH
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\e"CH@CacheSizeInMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\e"CH@CacheStatus 2
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\e"CH@USBVersion 131072
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\e"CH@ReadSpeedKBs 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\e"CH@WriteSpeedKBs 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\e"CH@PhysicalDeviceSizeMB 57215
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\e"CH@RecommendedCacheSizeMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\e"CH@HasSlowRegions 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\e"CH@DoRetestDevice 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\e"CH@DeviceStatus 1
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\e"CH@LastTestedTime 0x00 0x00 0x00 0x00 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\û#
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\û#@CacheSizeInMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\û#@CacheStatus 2
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\û#@USBVersion 131072
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\û#@ReadSpeedKBs 609
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\û#@WriteSpeedKBs 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\û#@PhysicalDeviceSizeMB 476937
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\û#@RecommendedCacheSizeMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\û#@HasSlowRegions 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\û#@DoRetestDevice 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\û#@DeviceStatus 4
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\û#@LastTestedTime 0x16 0x85 0x11 0xEF ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@CacheSizeInMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@CacheStatus 2
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@USBVersion 131072
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@ReadSpeedKBs 807
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@WriteSpeedKBs 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@PhysicalDeviceSizeMB 476937
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@RecommendedCacheSizeMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@HasSlowRegions 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@DoRetestDevice 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@DeviceStatus 4
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@LastTestedTime 0xFB 0x7E 0x89 0x5E ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@CacheSizeInMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@CacheStatus 2
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@USBVersion 131072
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@ReadSpeedKBs 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@WriteSpeedKBs 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@PhysicalDeviceSizeMB 476937
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@RecommendedCacheSizeMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@HasSlowRegions 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@DoRetestDevice 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@DeviceStatus 1
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\:U@LastTestedTime 0x00 0x00 0x00 0x00 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\áy™"
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\áy™"@CacheSizeInMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\áy™"@CacheStatus 2
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\áy™"@USBVersion 131072
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\áy™"@ReadSpeedKBs 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\áy™"@WriteSpeedKBs 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\áy™"@PhysicalDeviceSizeMB 76316
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\áy™"@RecommendedCacheSizeMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\áy™"@HasSlowRegions 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\áy™"@DoRetestDevice 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\áy™"@DeviceStatus 1
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\áy™"@LastTestedTime 0x00 0x00 0x00 0x00 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\w“Þ;
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\w“Þ;@CacheSizeInMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\w“Þ;@CacheStatus 2
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\w“Þ;@USBVersion 131072
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\w“Þ;@ReadSpeedKBs 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\w“Þ;@WriteSpeedKBs 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\w“Þ;@PhysicalDeviceSizeMB 305234
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\w“Þ;@RecommendedCacheSizeMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\w“Þ;@HasSlowRegions 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\w“Þ;@DoRetestDevice 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\w“Þ;@DeviceStatus 1
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\w“Þ;@LastTestedTime 0x00 0x00 0x00 0x00 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\•
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\•@CacheSizeInMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\•@CacheStatus 2
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\•@USBVersion 131072
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\•@ReadSpeedKBs 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\•@WriteSpeedKBs 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\•@PhysicalDeviceSizeMB 476937
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\•@RecommendedCacheSizeMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\•@HasSlowRegions 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\•@DoRetestDevice 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\•@DeviceStatus 1
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\•@LastTestedTime 0x00 0x00 0x00 0x00 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\B®t\
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\B®t\@CacheSizeInMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\B®t\@CacheStatus 2
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\B®t\@USBVersion 131072
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\B®t\@ReadSpeedKBs 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\B®t\@WriteSpeedKBs 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\B®t\@PhysicalDeviceSizeMB 238472
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\B®t\@RecommendedCacheSizeMB 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\B®t\@HasSlowRegions 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\B®t\@DoRetestDevice 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\B®t\@DeviceStatus 1
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\B®t\@LastTestedTime 0x00 0x00 0x00 0x00 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@v!Ã!b!\21!\xb7!\xa5!\xa8!r!\x2014!\xf7!\x20ac!É!\b!\34!<!~! 19583823

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit detected !!! <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior

---- EOF - GMER 1.0.14 ----

 

Wieso wendest du ein Programm an, dass du nicht kennst und nicht verstehst?

 

empfohlen wurde !
Beim lesen des ARtikels erweckte es den Anschein, dass das PRogramm rootkits findet und diese auch entfernt.
Aber in meinem Fall war es leider nicht so !
Bin leider kein Computer-Crack und hoffe hier eventuell Experten zu finden, die mir weiterhelfen können !

 

Hast du Probleme mit deinem System? Oder warum f&#252;hrst du einen Rootkitscan durch- muss doch einen Grund haben...

Gmer logs sind nicht mein Gebiet-
aber:
lasse dein system bitte mittels rsit scannen und poste das Log

 

Mein PC bootet normal (Windows Vista), dann erscheint aber eine Zeitlang ein schwarzer Bildschirm.
Bisher haben zwar weder Norton noch ANtivier irgendwelche Befälle gemeldet. Jedoch dachte ich aufgrund eines Artikels, Gmer könnte nicht schaden, um auch sicher zu gehen, dass alles OK ist.

Unten die gewünschten Scans:

Danke !

info.txt logfile of random's system information tool 1.05 2009-03-05 18:15:29

======Uninstall list======

-->C:\Program Files\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
-->MsiExec.exe /I{403EF592-953B-4794-BCEF-ECAB835C2095}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0016-0407-0000-0000000FF1CE} /uninstall {DCBECE36-8F23-4B33-925E-A1C6183C0DBD}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0018-0407-0000-0000000FF1CE} /uninstall {DCBECE36-8F23-4B33-925E-A1C6183C0DBD}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001B-0407-0000-0000000FF1CE} /uninstall {DCBECE36-8F23-4B33-925E-A1C6183C0DBD}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {3EC77D26-799B-4CD8-914F-C1565E796173}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {430971B1-C31E-45DA-81E0-72C095BAB72C}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0410-0000-0000000FF1CE} /uninstall {58FC5E37-DD28-4D4A-A549-125744C6763C}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-006E-0407-0000-0000000FF1CE} /uninstall {888B9AC7-8F5C-456B-A27A-157A6C310E52}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-00A1-0407-0000-0000000FF1CE} /uninstall {DCBECE36-8F23-4B33-925E-A1C6183C0DBD}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {BEE75E01-DD3F-4D5F-B96C-609E6538D419}
7-Zip 4.65-->MsiExec.exe /I{23170F69-40C1-2701-0465-000001000000}
Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
Ad-Aware-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Acrobat 5.0-->C:\WINDOWS\ISUN0407.EXE -f"C:\Program Files\Common Files\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Common Files\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Photoshop 7.0-->C:\WINDOWS\ISUN0407.EXE -f"C:\Program Files\Adobe\Photoshop 7.0\Uninst.isu" -c"C:\Program Files\Adobe\Photoshop 7.0\Uninst.dll"
Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
Adobe Shockwave Player 11-->C:\Windows\system32\adobe\SHOCKW~1\UNWISE.EXE C:\Windows\system32\Adobe\SHOCKW~1\Install.log
AIMP2-->C:\Program Files\AIMP2\Uninstall.exe
Any Video Converter 2.7.1-->"D:\Any Video Converter\unins000.exe"
ArchiCrypt System Doctor Version 1.2.3.2231-->"D:\ArchiCrypt System Doctor\unins000.exe"
Ask Toolbar-->"C:\Program Files\AskBarDis\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Canon MP Navigator EX 2.0-->"C:\Program Files\Canon\MP Navigator EX 2.0\Maint.exe" /UninstallRemove C:\Program Files\Canon\MP Navigator EX 2.0\uninst.ini
Canon MP630 series Benutzerregistrierung-->C:\Program Files\Canon\IJEREG\MP630 series\UNINST.EXE
Canon MP630 series MP Drivers-->"C:\Windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP630_series\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP630_series /L0x0007
Canon Utilities Easy-PhotoPrint EX-->C:\Program Files\Canon\Easy-PhotoPrint EX\uninst.exe uninst.ini
Canon Utilities My Printer-->C:\Program Files\Canon\MyPrinter\uninst.exe uninst.ini
Canon Utilities Solution Menu-->C:\Program Files\Canon\SolutionMenu\uninst.exe uninst.ini
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
CD-LabelPrint-->"C:\Program Files\Canon\CD-LabelPrint\Uninstal.exe" Canon.CDLabelPrint.Application
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
CorelDRAW Graphics Suite 11-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1C63DD23-6554-4A1F-8D0D-B5A6B49D8015}
DERIVE for Windows-->C:\derive für windows\UNDFW.EXE C:\derive für windows\INSTALL.LOG
DynaGeo 2.7i-->C:\euklid\unins000.exe
eXPert PDF 5-->MsiExec.exe /X{A6E92CAB-9E63-46DC-8ABF-0CAFF7B7CD02}
Free ******* to Mp3 Converter version 3.1-->"D:\musik\Free ******* to Mp3 Converter\unins000.exe"
Gimp 2.6.1-->"C:\Program Files\Gimp-2.0\setup\unins000.exe"
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
Google Toolbar for Internet Explorer-->MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\program files\google\googletoolbar1.dll"
Google Updater-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Inkjet Printer/Scanner Extended Survey Program-->C:\Program Files\Canon\IJPLM\SETUP.EXE -R
Intel(R) Network Connections 13.0.42.0-->MsiExec.exe /i{2223FC2F-B862-4F83-BC9E-DDF2DADF2859} ARPREMOVE=1
Intel(R) Network Connections 13.0.42.0-->MsiExec.exe /i{2223FC2F-B862-4F83-BC9E-DDF2DADF2859} ARPREMOVE=1
Intel® Matrix Storage Manager-->C:\Windows\system32\imsmudlg.exe -uninstall
IrfanView (remove only)-->D:\Grafiken\IrfanView\iv_uninstall.exe
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Klebezettel NG (Version 2.7.4)-->"C:\Program Files\Klebezettel NG\unins000.exe"
LetsTrade Komponenten-->C:\Windows\fpuninst.exe -uninstall:"C:\Program Files\LetsTrade\uninst\uninst.ini"
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office 2000 SR-1 Premium-->MsiExec.exe /I{00000407-78E1-11D2-B60F-006097C998E7}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Home and Student 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL
Microsoft Office Home and Student 2007-->MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint Viewer 2007 (German)-->MsiExec.exe /X{95120000-00AF-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Works-->MsiExec.exe /I{39D0E034-1042-4905-BECB-5502909FCB7C}
Mozilla Firefox (3.0.4)-->D:\firefox303\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.19)-->D:\Thunderbird 2+\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
NAVIGON Fresh 1.4.6-->C:\Program Files\NAVIGON\NAVIGON Fresh\uninst.exe
Nero 8 Essentials-->MsiExec.exe /X{47948554-90C6-4AAC-8CFA-D23CE11C1031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Norton Internet Security-->C:\Program Files\NortonInstaller\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS\2454B0AB\16.2.0.7\InstStub.exe /X
Norton Security Scan-->MsiExec.exe /I{D4D9F101-9C35-477E-88FC-935415CD9916}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
OpenOffice.org 3.0-->MsiExec.exe /I{04B45310-A5FE-4425-BFCA-1A6D8920DE74}
palmOne-->MsiExec.exe /X{45BA7145-64B0-4B5D-BDC2-40E20FCDC6DC}
phonostar-Player Version 2.01.4-->"C:\Program Files\phonostar\unins000.exe"
Picasa 2-->"C:\Program Files\Picasa2\Uninstall.exe"
Prisma Physik Arbeitsblätter 1-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{590A57B7-8CBD-4D5A-9C2D-7EDF2C36CE9B}\setup.exe" -l0x7 -uninst
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m -nrg2709
Security Update for 2007 Microsoft Office System (KB951550)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {B243E9A5-ED77-4F1B-B338-2486FD82DC85}
Security Update for 2007 Microsoft Office System (KB951944)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {797AE457-BA17-4BBC-B501-25FB3A0103C7}
Security Update for 2007 Microsoft Office System (KB958439)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {6491B8AA-D11C-4648-A461-6234B31EB7E2}
Security Update for Microsoft Office Excel 2007 (KB958437)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {648FC016-2D6B-4A16-8D87-404533642F4B}
Security Update for Microsoft Office OneNote 2007 (KB950130)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {F1B2401C-B610-4BF2-AA1C-52C55827A8F4}
Security Update for Microsoft Office PowerPoint 2007 (KB951338)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {558B709B-821B-4FC5-90FC-9A8890641E77}
Security Update for Microsoft Office system 2007 (KB954326)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {5F7F6FFF-395D-480E-8450-64F385D82C5F}
Security Update for Microsoft Office system 2007 (KB956828)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {885E081B-72BD-4E76-8E98-30B4BE468FAC}
Security Update for Microsoft Office Word 2007 (KB956358)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {4551666D-0FD6-4C69-8A81-1C6F2E64517C}
Serif DrawPlus 8-->MsiExec.exe /I{838E3304-69BE-4537-8297-1760E36A2DA5}
Serif PagePlus 11 Ressourcen-->MsiExec.exe /I{C9A391A7-E3C0-45B3-9A8E-1D878C9A3997}
Serif PagePlus 11-->MsiExec.exe /I{0A07E5D2-DAFB-42A9-8927-05C5F8E35F1A}
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Spyware Doctor 6.0-->C:\Program Files\Spyware Doctor\unins000.exe /LOG
TrekStor DVB-T Stick-->"C:\Program Files\TrekStor DVB-T Stick\unins000.exe"
Trend Micro RUBotted-->C:\Program Files\InstallShield Installation Information\{12650598-D7B9-4FB5-91B2-2CAA641AC589}\setup.exe -runfromtemp -l0x0009 -removeonly
TuneUp Utilities 2008-->MsiExec.exe /I{5888428E-699C-4E71-BF71-94EE06B497DA}
Ulead iPhoto Express 1.0-->C:\Windows\unin0407.exe -f"C:\Program Files\Ulead iPhoto Express\DeIsL1.isu"
Ulead Photo Explorer 8.0 SE Basic-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D271DAE0-8D68-4C97-8356-A126D48A1D8C}\setup.exe" -l0x7
Ulead PhotoImpact 12-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{11AFE21E-B193-430D-B57A-DFF7815BB962}\setup.exe" -l0x7
Ulead PhotoImpact XL-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0DDDE141-9696-4E33-AB82-EF398169D7E5}\setup.exe" -l0x7
Uninstall 1.0.0.1-->"C:\Program Files\Common Files\DVDVideoSoft\unins000.exe"
Update for Microsoft Office Excel 2007 Help (KB957242)-->msiexec /package {90120000-0016-0407-0000-0000000FF1CE} /uninstall {535AFBFD-FBD1-4C17-8723-CFB7FDFB7928}
Update for Office 2007 (KB946691)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {A420F522-7395-4872-9882-C591B4B92278}
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
Winamp-->"D:\winamp\UninstWA.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}
WISO Mein Geld 2008 Professional-->MsiExec.exe /I{D8D22773-14BF-4178-A683-3DBA515C2A26}
WISO Mein Geld 2009 Professional-->MsiExec.exe /I{44061C54-0775-4AE1-B433-79BCC6431817}
WISO Monats-CD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{320FA1BC-9ACB-4691-929D-7D4E726C6562}\Setup.exe"

======Security center information======

AS: Windows Defender

System event log

Computer Name: Arbeitszimmer
Event Code: 537
Message: Auf diesem Computer konnte kein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) gefunden werden. TBS konnte nicht gestartet werden.
Record Number: 97546
Source Name: Microsoft-Windows-TBS
Time Written: 20090305164159.188789-000
Event Type: Informationen
User: NT-AUTORITÄT\LOKALER DIENST

Computer Name: Arbeitszimmer
Event Code: 7036
Message: Dienst "Windows Update" befindet sich jetzt im Status "Ausgeführt".
Record Number: 97547
Source Name: Service Control Manager
Time Written: 20090305164206.000000-000
Event Type: Informationen
User:

Computer Name: Arbeitszimmer
Event Code: 7036
Message: Dienst "TuneUp Drive Defrag-Dienst" befindet sich jetzt im Status "Ausgeführt".
Record Number: 97548
Source Name: Service Control Manager
Time Written: 20090305164526.000000-000
Event Type: Informationen
User:



Problemsignatur:
P1:
P2:
P3:
P4:
P5:
P6:
P7:
P8:
P9:
P10:

Angehängte Dateien:
C:\Windows\Minidump\Mini030509-01.dmp
C:\Users\AppData\Local\Temp\WER-138965-0.sysdata.xml
C:\Users\AppData\Local\Temp\WER9645.tmp.version.txt

Diese Dateien befinden sich möglicherweise hier:
C:\ProgramData\Microsoft\Windows\WER\ReportArchive\Report0c50a1e9
Record Number: 11179
Source Name: Windows Error Reporting
Time Written: 20090305164245.000000-000
Event Type: Informationen
User:

Security event log

Computer Name: Arbeitszimmer
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 14563
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090305171520.937789-000
Event Type: Überwachung gescheitert
User:

Computer Name: Arbeitszimmer
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 14564
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090305171520.958789-000
Event Type: Überwachung gescheitert
User:

Computer Name: Arbeitszimmer
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 14565
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090305171520.978789-000
Event Type: Überwachung gescheitert
User:

Computer Name: Arbeitszimmer
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 14566
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090305171521.002789-000
Event Type: Überwachung gescheitert
User:

Computer Name: Arbeitszimmer
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 14567
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090305171521.025789-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Intel\DMIX;C:\Program Files\Common Files\Ulead Systems\MPEG;C:\Program Files\Common Files\Ulead Systems\DVD
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=1706
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE

-----------------EOF-----------------


Logfile of random's system information tool 1.05 (written by random/random)
Run at 2009-03-05 18:14:55
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 449 GB (76%) free of 590 GB
Total RAM: 3069 MB (39% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:15:24, on 05.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Klebezettel NG\klebez.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\phonostar\ps_agent.exe
C:\Program Files\phonostar\ps_timer.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\palmOne\Hotsync.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\TuneUp Utilities 2008\OneClick.exe
C:\Program Files\TuneUp Utilities 2008\RegistryCleaner.exe
F:\autostart.exe
C:\Users\\AppData\Local\Temp\Temp3_gmer1014.zip\gmer.exe
D:\Thunderbird 2+\thunderbird.exe
D:\firefox303\firefox.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\avira\antivir personaledition classic\avcenter.exe
c:\avira\antivir personaledition classic\avscan.exe
D:\downloads\RSIT.exe
C:\Program Files\trend micro\

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\IPSBHO.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Klebezettel NG] "C:\Program Files\Klebezettel NG\klebez.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Program Files\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Program Files\phonostar\ps_timer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) (HKCU)
O13 - Gopher Prefix:
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www1.uploadserver.info/premium/uploader/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E4C5901-7903-4AEC-B814-9BC0E680EACD}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\adaware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: Trend Micro RUBotted Service (RUBotted) - Trend Micro Inc. - C:\Program Files\Trend Micro\RUBotted\TMRUBotted.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 9695 bytes

======Scheduled tasks folder======

C:\Windows\tasks\1-Click Maintenance.job
C:\Windows\tasks\Norton Security Scan.job
C:\Windows\tasks\User_Feed_Synchronization-{8AECD8F6-2790-4ABA-910B-870BE67AD4FF}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2008-06-11 61816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
AskBar BHO - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2008-08-26 279944]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]
Symantec NCO BHO - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll [2008-12-12 344944]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
Symantec Intrusion Prevention - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\IPSBHO.DLL [2008-10-08 107896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - c:\program files\google\googletoolbar1.dll [2008-10-08 2427968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll [2008-11-20 657904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\program files\google\googletoolbar1.dll [2008-10-08 2427968]
{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Norton Toolbar - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll [2008-12-12 344944]
{3041d03e-fd4b-44e0-b742-2d9b88305f98} - Ask Toolbar - C:\Program Files\AskBarDis\bar\bin\askBar.dll [2008-08-26 279944]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184]
"IAAnotif"=C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe [2008-05-07 178712]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-05-07 6139904]
"Skytel"=C:\Windows\Skytel.exe [2007-11-20 1826816]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2008-06-09 13543968]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2008-06-09 92704]
"avgnt"=C:\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"CanonMyPrinter"=C:\Program Files\Canon\MyPrinter\BJMyPrt.exe [2008-03-17 1848648]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-21 1233920]
"Klebezettel NG"=C:\Program Files\Klebezettel NG\klebez.exe [2008-12-31 4148224]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-21 202240]
"PhonostarAgent"=C:\Program Files\phonostar\ps_agent.exe [2008-07-14 98304]
"PhonostarTimer"=C:\Program Files\phonostar\ps_timer.exe [2008-09-19 126976]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
Acrobat Assistant.lnk - C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
HotSync Manager.lnk - C:\Program Files\palmOne\Hotsync.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdauxservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdcoreservice]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89880c5b-955b-11dd-b052-806e6f6e6963}]
shell\AutoRun\command - F:\autostart.exe


======List of files/folders created in the last 1 months======

2009-03-05 18:14:55 ----D---- C:\rsit
2009-03-05 16:19:30 ----A---- C:\Windows\gmer.ini
2009-03-05 16:19:16 ----A---- C:\Windows\gmer_uninstall.cmd
2009-03-05 16:19:16 ----A---- C:\Windows\gmer.dll
2009-02-28 10:52:16 ----A---- C:\Windows\system32\wmp.dll
2009-02-28 10:52:16 ----A---- C:\Windows\system32\spwmp.dll
2009-02-28 10:52:15 ----A---- C:\Windows\system32\wmploc.DLL
2009-02-28 10:52:15 ----A---- C:\Windows\system32\dxmasf.dll
2009-02-26 22:22:27 ----A---- C:\Windows\system32\EncDec.dll
2009-02-26 22:22:26 ----A---- C:\Windows\system32\psisdecd.dll
2009-02-26 17:15:58 ----A---- C:\Windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-02-26 17:15:58 ----A---- C:\Windows\system32\infocardapi.dll
2009-02-26 17:15:56 ----A---- C:\Windows\system32\PresentationHostProxy.dll
2009-02-26 17:15:56 ----A---- C:\Windows\system32\icardres.dll
2009-02-26 17:15:56 ----A---- C:\Windows\system32\icardagt.exe
2009-02-26 17:15:54 ----A---- C:\Windows\system32\PresentationNative_v0300.dll
2009-02-26 17:15:51 ----A---- C:\Windows\system32\PresentationHost.exe
2009-02-24 17:56:04 ----D---- C:\Users\AppData\Roaming\phonostar-Player
2009-02-24 17:56:02 ----D---- C:\Program Files\phonostar
2009-02-23 14:36:56 ----D---- C:\Users\AppData\Roaming\Any Video Converter
2009-02-18 15:58:31 ----D---- C:\Program Files\Klett
2009-02-12 16:44:30 ----D---- C:\Users\AppData\Roaming\OpenOffice.org
2009-02-12 16:37:43 ----D---- C:\Program Files\OpenOffice.org 3
2009-02-11 14:11:16 ----A---- C:\Windows\system32\mshtml.dll
2009-02-11 14:11:15 ----A---- C:\Windows\system32\urlmon.dll
2009-02-11 14:11:15 ----A---- C:\Windows\system32\ieframe.dll
2009-02-11 14:11:14 ----A---- C:\Windows\system32\wininet.dll
2009-02-11 14:11:14 ----A---- C:\Windows\system32\mstime.dll
2009-02-11 14:11:14 ----A---- C:\Windows\system32\msfeeds.dll
2009-02-11 14:11:13 ----A---- C:\Windows\system32\jsproxy.dll
2009-02-11 14:11:13 ----A---- C:\Windows\system32\iertutil.dll
2009-02-09 16:10:09 ----A---- C:\Windows\system32\Tbutl04.dll
2009-02-09 16:10:09 ----A---- C:\Windows\system32\Tbutl03.dll
2009-02-09 16:10:09 ----A---- C:\Windows\system32\Tbsql03.dll
2009-02-09 16:10:09 ----A---- C:\Windows\system32\Tbqry03.dll
2009-02-09 16:10:09 ----A---- C:\Windows\system32\Tbmds04.dll
2009-02-09 16:10:09 ----A---- C:\Windows\system32\Tbmds03.dll
2009-02-09 16:10:09 ----A---- C:\Windows\system32\Tblib.dll
2009-02-09 16:10:09 ----A---- C:\Windows\system32\Tbgui03.dll
2009-02-09 16:10:09 ----A---- C:\Windows\system32\Tbflt04.dll
2009-02-09 16:10:09 ----A---- C:\Windows\system32\tbdcprnt.dll
2009-02-09 16:10:09 ----A---- C:\Windows\system32\TBDC.DLL
2009-02-09 16:10:09 ----A---- C:\Windows\system32\Tbdbf04.dll
2009-02-09 16:10:09 ----A---- C:\Windows\system32\Tbbas04.dll
2009-02-09 16:10:09 ----A---- C:\Windows\system32\PolyImage2.dll
2009-02-09 16:10:09 ----A---- C:\Windows\system32\ODBCINST.DLL
2009-02-09 16:10:09 ----A---- C:\Windows\system32\Odbc.dll
2009-02-09 16:10:08 ----D---- C:\Program Files\Common Files\click2learn
2009-02-06 14:13:04 ----A---- C:\Windows\system32\dfshim.dll
2009-02-06 14:13:00 ----A---- C:\Windows\system32\mscoree.dll
2009-02-06 14:12:55 ----A---- C:\Windows\system32\netfxperf.dll
2009-02-06 14:11:50 ----A---- C:\Windows\system32\mscorier.dll
2009-02-06 14:11:18 ----A---- C:\Windows\system32\mscories.dll
2009-02-06 00:30:45 ----D---- C:\Program Files\MozBackup

======List of files/folders modified in the last 1 months======

2009-03-05 18:15:23 ----D---- C:\Program Files\Trend Micro
2009-03-05 18:15:15 ----D---- C:\Windows\Temp
2009-03-05 17:39:20 ----D---- C:\Windows\Minidump
2009-03-05 17:39:20 ----D---- C:\Windows
2009-03-05 17:02:17 ----SHD---- C:\System Volume Information
2009-03-05 16:46:46 ----D---- C:\Windows\system32\Tasks
2009-03-05 16:19:16 ----D---- C:\Windows\system32\drivers
2009-03-05 16:01:01 ----SHD---- C:\Windows\Installer
2009-03-05 16:00:59 ----D---- C:\Program Files\Common Files\microsoft shared
2009-03-04 21:36:41 ----D---- C:\Windows\tracing
2009-03-04 21:07:35 ----D---- C:\Windows\Prefetch
2009-03-04 20:13:38 ----D---- C:\ProgramData\Google Updater
2009-03-01 20:22:55 ----D---- C:\ProgramData\CanonIJPLM
2009-02-28 18:21:34 ----D---- C:\Windows\System32
2009-02-28 18:21:34 ----D---- C:\Program Files\Windows Media Player
2009-02-28 11:31:33 ----D---- C:\Windows\Microsoft.NET
2009-02-28 11:31:08 ----RSD---- C:\Windows\assembly
2009-02-28 10:58:19 ----D---- C:\Windows\winsxs
2009-02-28 10:51:27 ----D---- C:\Windows\system32\catroot
2009-02-26 22:23:14 ----D---- C:\Windows\ehome
2009-02-26 22:22:55 ----D---- C:\Program Files\Windows Mail
2009-02-26 22:22:04 ----D---- C:\Windows\system32\catroot2
2009-02-26 20:09:58 ----D---- C:\Windows\rescache
2009-02-26 19:54:16 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-02-26 19:51:46 ----D---- C:\Program Files\Microsoft Silverlight
2009-02-26 19:47:46 ----D---- C:\Windows\system32\de-DE
2009-02-26 17:19:29 ----D---- C:\Windows\system32\XPSViewer
2009-02-26 17:19:29 ----D---- C:\Windows\system32\wbem
2009-02-26 17:19:29 ----D---- C:\Windows\system32\en-US
2009-02-25 20:01:06 ----D---- C:\Windows\inf
2009-02-24 17:56:02 ----RD---- C:\Program Files
2009-02-22 21:34:08 ----D---- C:\
2009-02-20 14:59:48 ----D---- C:\Program Files\Norton Security Scan
2009-02-12 16:38:25 ----RSD---- C:\Windows\Fonts
2009-02-11 16:02:01 ----D---- C:\Windows\Debug
2009-02-09 16:10:08 ----D---- C:\Program Files\Common Files
2009-02-09 16:10:04 ----HD---- C:\Program Files\InstallShield Installation Information
2009-02-07 11:23:03 ----A---- C:\Windows\ODBCINST.INI
2009-02-07 11:23:03 ----A---- C:\Windows\ODBC.INI
2009-02-07 11:22:59 ----A---- C:\Windows\vbaddin.ini
2009-02-07 11:22:46 ----A---- C:\Windows\win.ini
2009-02-07 11:21:41 ----D---- C:\Windows\ShellNew
2009-02-06 23:30:21 ----AD---- C:\ProgramData\TEMP
2009-02-06 16:00:19 ----D---- C:\ProgramData\Microsoft Help
2009-02-06 14:19:40 ----D---- C:\Program Files\Spyware Doctor
2009-02-06 00:49:03 ----D---- C:\Windows\Tasks
2009-02-06 00:49:03 ----D---- C:\Windows\system32\spool
2009-02-06 00:49:03 ----D---- C:\Users\AppData\Roaming\winamp
2009-02-06 00:49:03 ----D---- C:\Users\AppData\Roaming\KlebezettelNG
2009-02-06 00:49:03 ----D---- C:\Users\AppData\Roaming\ArchiCrypt System Doctor
2009-02-06 00:49:02 ----D---- C:\Windows\registration

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Avira\AntiVir PersonalEdition Classic\avgio.sys [2007-02-27 11840]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2008-11-10 75072]
R1 BHDrvx86;Symantec Heuristics Driver; C:\Windows\System32\Drivers\NIS\1002000.007\BHDrvx86.sys [2008-12-12 255536]
R1 ccHP;Symantec Hash Provider; C:\Windows\System32\Drivers\NIS\1002000.007\ccHPx86.sys [2008-10-08 362544]
R1 eeCtrl;Symantec Eraser Control driver; \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [2009-02-25 371248]
R1 IDSVix86;IDSVix86; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\ipsdefs\20090303.001\IDSvix86.sys [2009-01-29 292912]
R1 SRTSP;Symantec Real Time Storage Protection; C:\Windows\System32\Drivers\NIS\1002000.007\SRTSP.SYS [2008-12-12 306736]
R1 SRTSPX;Symantec Real Time Storage Protection (PEL); C:\Windows\System32\Drivers\NIS\1002000.007\SRTSPX.SYS [2008-12-12 43696]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 SymIM;Symantec Network Security Intermediate Filter Driver; C:\Windows\system32\DRIVERS\SymIMv.sys [2008-12-12 25136]
R1 SYMTDI;SYMTDI; C:\Windows\System32\Drivers\NIS\1002000.007\SYMTDI.SYS [2008-12-12 198192]
R3 avgntflt;avgntflt; \??\C:\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [2008-05-20 52032]
R3 e1express;Intel(R) PRO/1000 PCI Express Network Connection Driver; C:\Windows\system32\DRIVERS\e1e6032.sys [2008-02-06 218752]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv; \??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-02-25 101936]
R3 gmer;gmer; C:\Windows\System32\DRIVERS\gmer.sys [2009-03-05 85713]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-05-07 2134424]
R3 NAVENG;NAVENG; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090305.002\NAVENG.SYS [2009-02-19 89104]
R3 NAVEX15;NAVEX15; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090305.002\NAVEX15.SYS [2009-02-19 876144]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2008-06-09 7522624]
R3 SYMDNS;SYMDNS; C:\Windows\System32\Drivers\NIS\1002000.007\SYMDNS.SYS [2008-12-12 12976]
R3 SymEvent;SymEvent; \??\C:\Windows\system32\Drivers\SYMEVENT.SYS [2008-10-08 124464]
R3 SYMFW;SYMFW; C:\Windows\System32\Drivers\NIS\1002000.007\SYMFW.SYS [2008-12-12 89904]
R3 SYMNDISV;SYMNDISV; C:\Windows\System32\Drivers\NIS\1002000.007\SYMNDISV.SYS [2008-12-12 40496]
R3 SYMREDRV;SYMREDRV; C:\Windows\System32\Drivers\NIS\1002000.007\SYMREDRV.SYS [2008-12-12 24624]
R3 TMPassthruMP;TMPassthruMP; C:\Windows\system32\DRIVERS\TMPassthru.sys [2008-03-02 206608]
R3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-21 35328]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
S1 Uim_IM;UIM Drive Backup Image Plugin; C:\Windows\System32\Drivers\Uim_IM.sys [2008-06-28 130688]
S1 UimBus;Universal Image Mounter Controller; C:\Windows\system32\DRIVERS\UimBus.sys [2008-06-28 33072]
S3 AF15BDA;TrekStor DVB-T Stick; C:\Windows\system32\DRIVERS\AF15BDA.sys [2007-03-20 300544]
S3 BCASPROT;Advanced System Protector; \??\C:\Program Files\Systweak\Advanced System Protector\sasprot32.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 IKFileSec;File Security Driver; C:\Windows\system32\drivers\ikfilesec.sys [2008-11-20 40840]
S3 IKSysFlt;System Filter Driver; C:\Windows\system32\drivers\iksysflt.sys [2008-11-20 66952]
S3 IKSysSec;System Security Driver; C:\Windows\system32\drivers\iksyssec.sys [2008-11-20 81288]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S3 PalmUSBD;PalmUSBD; C:\Windows\system32\drivers\PalmUSBD.sys [2008-10-26 16694]
S3 TMPassthru;Trend Micro Passthru Ndis Service; C:\Windows\system32\DRIVERS\TMPassthru.sys [2008-03-02 206608]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2008-01-21 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aawservice;Lavasoft Ad-Aware Service; D:\adaware\aawservice.exe [2008-11-11 611664]
R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-23 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-23 151297]
R2 gusvc;Google Updater Service; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-11-20 168432]
R2 IAANTMON;Intel(R) Matrix Storage Event Monitor; C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe [2008-05-07 354840]
R2 IJPLMSVC;Inkjet Printer/Scanner Extended Survey Program; C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE [2008-01-22 103808]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe [2008-02-18 877864]
R2 Norton Internet Security;Norton Internet Security; C:\Program Files\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe [2008-12-12 115560]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2008-06-09 196608]
R2 PLFlash DeviceIoControl Service;PLFlash DeviceIoControl Service; C:\Windows\system32\IoctlSvc.exe [2006-12-19 81920]
R2 RUBotted;Trend Micro RUBotted Service; C:\Program Files\Trend Micro\RUBotted\TMRUBotted.exe [2008-11-06 582992]
R2 UxTuneUp;@%SystemRoot%\System32\uxtuneup.dll,-4096; C:\Windows\System32\svchost.exe [2008-01-21 21504]
R3 TuneUp.Defrag;@%SystemRoot%\System32\TuneUpDefragService.exe,-1; C:\Windows\System32\TuneUpDefragService.exe [2008-11-10 355584]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe [2008-02-28 529704]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2007-08-24 443776]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 sdAuxService;PC Tools Auxiliary Service; C:\Program Files\Spyware Doctor\pctsAuxs.exe [2008-06-13 356920]
S3 sdCoreService;PC Tools Security Service; C:\Program Files\Spyware Doctor\pctsSvc.exe [2008-11-20 1079176]

-----------------EOF-----------------

 

Ich wollte Gmer nocheinmal drüber laufen lassen. Jetzt stürzt es regelmäßig beim scannen ab !

Scannen mit einem blauen Bidlschirm ab (um Schaden zu verhindern müsste der PC neu gestartet werden). DAraufhin konnte ich nicht booten. Nocheinmal aus und einschalten, dann konnte ich mit der letzten bekannten lauffähigen Konfiguration booten.

gefunden: Meine Systemwiederherstellung fkt. nicht. Er versucht es zwar, meldet aber nach dem Booten, dass System nicht wiederhergestellt werden konnte.
Ich hoffe, dass ich mit meinem "Laienproblem" nicht nerve !

 

bitte nutzte den Ändern Button... dann musst du nciht immer ein neues Post erstellen

und keine Sorge... bin nicht so schnell genervt

Was verstehst du unter:

Zum Logfile:

1. ist dir diese Datei ein Begriff?

Code:

F:\autostart.exe

falls nicht lasse sie auf Jotti scannen und poste hier das Ergebnis

2.Bitte fixe mit HJT folgendes:
fixen: scannen, anschliessend gewünschte Einträge mit Haken versehen und anschl.fixen

Code:

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) (HKCU)

Falls etwas nach dem fixen nicht mehr funktioniert, kannst du die gefixten Einträge wiederherstellen- hierzu muss jedoch HJT in einem separaten Ordner laufen.(Bsp C:\HJT\

3. anschliessend:
lasse bitte dein System mit >Malwarebytes Anti-Malware< Scannen- lasse vorerst nichts beheben, und poste hier das log

 

Normal booten: Anfangs war eine Grafik von Microsoft (unterer Bildschirm), so dass man sah, das System bootet, dann kam die Eingabeaufforderung (Passwort). Jetzt ist zwischendurch der Bildschirm schwarz und man wartet ein bisschen.
DIe autostart.exe ist von einer DVD (mein DVD Laufwerk), mit dem fixen bekomme ich nicht hin und malwarbyte scant gerade.
Gr&#252;&#223;e !


Fixen f&#252;hrt zu einer Fehlermeldung !


Lasse Malwar... laufen. Dauert etwas.
Meine kleine Tochter ist krank. Daher muss ich mal zu meiner genervten Frau. PC l&#228;uft Gott sei Dank noch.
Werde mich am WE wieder an die Arbeit machen und Deine Auftr&#228;ge durcharbeiten. Bin mal gespannt, ob ich etwas erreichen kann. Konntest Du an den Log Files irgendetwas Auff&#228;lliges erkennen.
Kann ich unbesorgt mich weiter online aufhalten ?

Danke, dass Du Dich von Laien nicht nerven l&#228;sst. Man hat teilweise den Eindruck, dass nur Experten Experten helfen k&#246;nnen und Laien am Rande zugucken m&#252;ssen.

Also danke f&#252;r die Zeit, die Du Dir nimmst. Ich wei&#223; es zu sch&#228;tzen !

Gr&#252;&#223;e !

 

1. HJT laden, ausf&#252;hren und fixen:
http://www.chip.de/downloads/HijackThis_13011934.html

2. http://virus-protect.org/artikel/tools/mbr.html
ausf&#252;hren und log posten

 

Hallo Nikos7

Dein Java Runtime Environment (JRE) ist veraltet. Bitte deinstallieren und von http://www.java.com/de/download/manual.jsp das JRE 6.0 Update 12 herunterladen und installieren.

Ich möchte dich außerdem bitten, beim nächsten mal, wenn du wieder so ein elend langes Log hast, dieses entweder als Textdatei an deinen Beitrag anzuhängen, oder es aber in eine Codezeile zu setzen. Dazu markierst du den gesamten Text des Logs und klickst dann auf das folgende Symbol:

Ich hab nämlich keine Lust, mich hier totzuscrollen.

Gruß
Nevok

 

Naja, wenn das Log in Codezeilen steht, musst du zus&#228;tzlich horizontal scrollen.

 

Bin nicht so erfahren aber lernfähig !
Danke für den Hinweis ! Muss ich das vor dem Neuinstallieren deinstallieren ?
...aber erstmal muss ich das Rootkit loswerden !

 

deinstallieren und die neue Version installieren

 

>>>MBR rootkit detected<<<
<<<rootkit-like behavior>>>

Da w&#252;rde ich kurzen Prozess machen und den MBR reparieren.
XP-CD einlegen, Wiederherstellungskonsole starten.
fixmbr ausf&#252;hren.
Was da Gmer im Endeffekt gefunden hat, ist aus der Meldung nicht ersichtlich. M&#246;glicherweise ist da nur ein Bitfehler.
Auf DR0 sector 62 k&#246;nnte eine Kopie des MBR liegen. Nur so eine Vermutung.

Um sicherzugehen, mal mit einer aktuellen Avira-Rettungs-CD die Festplatte untersuchen lassen.
http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html

 

Kann man da auch kurzen Prozeß machen ? Gibt es da auch fixmbr ?
Kann es auch sein, dass gmer eine Fehlermeldung ausgegeben hat ?
Seltsamerweise kann ich gmer jetzt nicht mehr laufen lassen !

 

Bei Vista geht das so http://support.microsoft.com/kb/927392/de
Wenn deine Vista-DVD keine Reparaturfunktion hat, kannst du dir diese CD daf&#252;r runterladen.
http://www.drwindows.de/windows-news/3743-vista-recovery-cds-zum-kostenlosen-download.html
Die ist auch f&#252;r andere Dinge brauchbar, zum Beispiel Zugriff auf die Systemwiederherstellung.

 

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1821
Windows 6.0.6001 Service Pack 1

06.03.2009 17:05:27
mbam-log-2009-03-06 (17-05-27).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|J:\|K:\|L:\|)
Durchsuchte Objekte: 633200
Laufzeit: 10 hour(s), 2 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


....nichts gefunden. Bleibt also nur das Problem des Rootkits.
Werde den Tipp des vorangegangenen Postings mal ausprobieren. Mal sehen, ob es klappt ! Melde mich dann (falls es noch geht :)))

Grüße !