DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner

antonology · 21.04.2011, 18:58

EePC - 1005P
Win7 Starter
1024 Ram
Atom 1,6Ghz

Hallo liebe Community,

ich bin zum ersten Mal in der Not hier etwas zu posten.
Allerdings, habe ich schon von einigen anderen problemen anderer user "profitiert" und suche, eure seite nicht zum ersten mal auf.

Es fing vor drei Tagen an - da bekam ich den Antimalware-Doctor auf den PC. Auf eurer Seite wurde vorgeschlagen ihn mit mbam zu beseitigen - gesagt getan! Danach war mein Rechner aber extrem verlangsamt, also habe ich auch auf euren Ratschlag (alles aus einem therad eines anderen useres) hin manuell die enemies-names.txt und die schuldige .exe gesucht gefunden und gelöscht.

Seither geht mein rechner wieder flüssig. Aber ein problem, das gleichzeitg aufgetaucht ist, als ich den Trojaner bekam war, dass ich beim Shutdown stets einen bluescreen bekommen mit der meldung

Zitat:

DRIVER_IRQ_NOT_LESS_OR_EQUAL

mit drei zahlen a la 0000001203, 01000000038, 00000000123 (könnten die genauen zahlen hilfreich sein?

und dem hinweis, dass es an der iastor.sys liegt.

FRAGE: Kann es sein, dass mbam die iastor.sys in quarantäne steckte und ich diese leider gelöscht habe? - Weil ich die Daten aus der Quarantäne immer schnell manuell lösche

Nun taucht dieser bluescreen leider manchmal auch spontan auf. Wenn ich zB sofort nach dem startup einen sammelordner öffnen will. Dadurch hab ich den verdacht, dass es mit der Auslastung meines PCs zusammenhängen kann.

Doch grade vor ner stunde meldete mir Antivir, dass der XP.Crack.Gen sich auf meinem system befindet - das letzte mal, als es passierte, habe ich es mit einer systemwiederherstellung beheben können.
Doch bei meiner heutigen recherche las ich hier aus einem artikel von 2008, dass ich auch alle ausführbaren dateien (exe,setup) sofort löschen sollte.
Stimmt das?

Ich bin gerade dabei AVZ durchlaufen zu lassen.
Und hier HijackThis log

vielen Dank für eure Aufmerksamkeit.

Anton

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:52:24, on 21.04.2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\windows\system32\taskhost.exe
C:\windows\system32\Dwm.exe
C:\windows\Explorer.EXE
D:\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Java\jre6\bin\javaw.exe
C:\Users\antonology\Desktop\avz4\avz.exe
D:\Dokumente\unentpackte software\HiJackThis204.exe
C:\windows\system32\SearchFilterHost.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: ASUS Windows 7 Starter Helper - {D381FF29-7CFB-4D4E-B92A-C4EDDC696614} - C:\Program Files\asus\SystemSetting\StarterHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [0ESKOMO9JO] C:\windows\TEMP\Nwy.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [0ESKOMO9JO] C:\windows\TEMP\Nwy.exe (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\antonology\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{807E25DA-A2F7-4B6D-B940-5BD56A1653F5}: NameServer = 91.188.60.223,8.8.8.8
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Asus Launcher Service (AsusService) - Unknown owner - C:\Windows\System32\AsusService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\Hamachi\hamachi-2.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot\SDWinSec.exe
O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe

--
End of file - 4608 bytes

cosinus · 21.04.2011, 19:33

Poste bitte alle Logs von sämtlichen Scannern mit allen relevanten Funden!

In Zukunft keine Hijackthis-Logs mehr posten, das Tool ist mittlerweile zu fast nichts mehr zu gebrauchen!

antonology · 21.04.2011, 22:07

Sorry Arne,

habs selbst gerade erst gelesen, dass HijackThis nicht mehr gebraucht wird.

danke für die rasche antwort.
ich hab gerade gemerkt dass mein AVZ scan nicht eurer anleitung entsprach

Zitat:

http://www.trojaner-board.de/79118-a...l-toolkit.html

ich habs auch nicht geupdated gehabt. aber morgen mache ichs richtig.

trotzdem poste ich den AVZ log... und morgen den richtigen.

--------------------------------------------------

Tja. nach mehrmaligen versuchen scheiterte ich bei anhänge verwalten mit folgender fehlermeldung:
The connection was reset
ich probiers morgen einfach gleich mit den richtigen logs

cosinus · 21.04.2011, 22:33

AVZ will ich auch nicht sehen.
Eher Logs von Malwarebytes und OTL.

antonology · 22.04.2011, 07:51

Okay, hier ist der Report nach Da Gurus anleitung von mbam.

ich poste auch gleich den report von OTL hinterher, weil ich echt schockiert war über die enorme anzahl von 17 infizierungen.

Ach ja, etwsa ist mir noch bewusst geworden ... auch beim herunterfahren kommt statt der DRIVER_IRQ_NOT_LESS_OR_EQUAL meldung folgendes: INTERNAL_POWER_ERROR.
ebenfalls ein bluescreen mit einigen zahlen mit dabei...
aber hier mal der mbam report

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6417

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

22.04.2011 08:45:51
mbam-log-2011-04-22 (08-45-51).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 146477
Laufzeit: 5 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 4
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
c:\Windows\Temp\Nwx.exe (Trojan.Downloader) -> 2804 -> Unloaded process successfully.
c:\Windows\Temp\Nwy.exe (Trojan.Downloader) -> 2944 -> Unloaded process successfully.
c:\Windows\Temp\Nwz.exe (Trojan.Downloader) -> 1612 -> Unloaded process successfully.
c:\Windows\Temp\Nwz.exe (Trojan.Downloader) -> 3916 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\0ESKOMO9JO (Trojan.Downloader) -> Value: 0ESKOMO9JO -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\program files\relevantknowledge (Spyware.MarketScore) -> Delete on reboot.

Infizierte Dateien:
c:\Windows\Temp\Nwx.exe (Trojan.Downloader) -> Delete on reboot.
c:\Windows\Temp\Nwy.exe (Trojan.Downloader) -> Delete on reboot.
c:\Windows\Temp\Nwz.exe (Trojan.Downloader) -> Delete on reboot.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Delete on reboot.
c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\program files\relevantknowledge\MSVCP71.DLL (Spyware.MarketScore) -> Quarantined and deleted successfully.
c:\program files\relevantknowledge\MSVCR71.DLL (Spyware.MarketScore) -> Quarantined and deleted successfully.

antonology · 22.04.2011, 08:08

Und hier sind die beiden logfiles von otl;

1: OTL.txtOTL Logfile:

Code:

ATTFilter

OTL logfile created on: 4/22/2011 8:59:43 AM - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Users\antonology\Desktop
 Starter Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,014.00 Mb Total Physical Memory | 286.00 Mb Available Physical Memory | 28.00% Memory free
3.00 Gb Paging File | 2.00 Gb Available in Paging File | 75.00% Paging File free
Paging file location(s): d:\pagefile.sys 2000 2000 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 80.00 Gb Total Space | 46.27 Gb Free Space | 57.84% Space Free | Partition Type: NTFS
Drive D: | 59.03 Gb Total Space | 0.76 Gb Free Space | 1.29% Space Free | Partition Type: NTFS
 
Computer Name: ANTONOLOGY_HQ | User Name: antonology | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\antonology\Desktop\OTL.exe (OldTimer Tools)
PRC - D:\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - D:\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - D:\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Program Files\Hamachi\hamachi-2.exe (LogMeIn Inc.)
PRC - C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Program Files\CDBurnerXP\NMSAccessU.exe ()
PRC - D:\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Windows\System32\AsusService.exe ()
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Windows\System32\WerFault.exe (Microsoft Corporation)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation)
PRC - C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe (Cisco Systems, Inc.)
PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Intel Corporation)
PRC - C:\Program Files\Spybot\SDWinSec.exe (Safer Networking Ltd.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\antonology\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AntiVirSchedulerService) -- D:\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- D:\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (Hamachi2Svc) -- C:\Program Files\Hamachi\hamachi-2.exe (LogMeIn Inc.)
SRV - (NMSAccess) -- C:\Program Files\CDBurnerXP\NMSAccessU.exe ()
SRV - (AsusService) -- C:\Windows\System32\AsusService.exe ()
SRV - (WinDefend) -- C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation)
SRV - (vpnagent) -- C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe (Cisco Systems, Inc.)
SRV - (IAANTMON) Intel(R) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Intel Corporation)
SRV - (SBSDWSCService) -- C:\Program Files\Spybot\SDWinSec.exe (Safer Networking Ltd.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (sptd) -- C:\windows\System32\Drivers\sptd.sys ()
DRV - (hamachi) -- C:\Windows\System32\drivers\hamachi.sys (LogMeIn, Inc.)
DRV - (StarOpen) -- C:\windows\System32\drivers\StarOpen.sys ()
DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.)
DRV - (kbfiltr) -- C:\Windows\System32\drivers\kbfiltr.sys ( )
DRV - (RMCAST) -- C:\Windows\System32\drivers\rmcast.sys (Microsoft Corporation)
DRV - (vwifimp) -- C:\Windows\System32\drivers\vwifimp.sys (Microsoft Corporation)
DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (L1C) NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20) -- C:\Windows\System32\drivers\L1C62x86.sys (Atheros Communications, Inc.)
DRV - (AsUpIO) -- C:\Windows\System32\drivers\AsUpIO.sys ()
DRV - (btusbflt) -- C:\Windows\System32\drivers\btusbflt.sys (Broadcom Corporation.)
DRV - (vpnva) -- C:\Windows\System32\drivers\vpnva.sys (Cisco Systems, Inc.)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://eeepc.asus.com [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://eeepc.asus.com [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.ixquick.de"
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
 
FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/04/16 10:11:43 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/04/16 10:11:37 | 000,000,000 | ---D | M]
 
[2010/04/25 14:26:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\antonology\AppData\Roaming\mozilla\Extensions
[2011/04/03 08:29:30 | 000,000,000 | ---D | M] (No name found) -- C:\Users\antonology\AppData\Roaming\mozilla\Firefox\Profiles\p541g0qh.default\extensions
[2011/04/20 11:14:53 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Users\antonology\AppData\Roaming\mozilla\Firefox\Profiles\p541g0qh.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2011/04/02 22:08:42 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\antonology\AppData\Roaming\mozilla\Firefox\Profiles\p541g0qh.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010/05/12 17:40:48 | 000,001,042 | ---- | M] () -- C:\Users\antonology\AppData\Roaming\Mozilla\Firefox\Profiles\p541g0qh.default\searchplugins\icqplugin.xml
[2010/05/08 13:09:02 | 000,001,595 | ---- | M] () -- C:\Users\antonology\AppData\Roaming\Mozilla\Firefox\Profiles\p541g0qh.default\searchplugins\ixquick---deutsch.xml
[2011/04/16 10:11:42 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\mozilla firefox\extensions
File not found (No name found) -- 
[2011/03/18 19:53:24 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2010/01/01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
 
Hosts file not found
O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)
O2 - BHO: (ASUS Windows 7 Starter Helper) - {D381FF29-7CFB-4D4E-B92A-C4EDDC696614} - C:\Program Files\asus\SystemSetting\StarterHelper.dll (ASUSTeK Computer Inc.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] D:\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\antonology\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Translate this web page with Babylon - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)
O8 - Extra context menu item: Translate with Babylon - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)
O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)
O9 - Extra 'Tools' menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKCU Winlogon: Shell - (Explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O30 - LSA: Authentication Packages - (efccbx.dll) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/04/22 08:52:14 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Users\antonology\Desktop\OTL.exe
[2011/04/22 08:27:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011/04/22 08:27:34 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbamswissarmy.sys
[2011/04/22 08:27:28 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbam.sys
[2011/04/22 08:18:24 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip
[2011/04/22 08:18:22 | 000,000,000 | ---D | C] -- C:\Program Files\7-Zip
[2011/04/21 19:05:47 | 000,000,000 | ---D | C] -- C:\avz
[2011/04/20 15:16:04 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Yahoo!
[2011/04/20 15:10:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Yahoo! Messenger
[2011/04/20 15:10:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Yahoo!
[2011/04/20 10:58:41 | 000,000,000 | ---D | C] -- C:\Users\antonology\Desktop\Super RMN Bros2
[2011/04/20 10:54:47 | 000,000,000 | -HSD | C] -- C:\found.000
[2011/04/19 12:38:16 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Intel Corporation
[2011/04/19 12:34:00 | 000,000,000 | R--D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel
[2011/04/19 10:06:29 | 000,000,000 | ---D | C] -- C:\Users\antonology\Desktop\BG2 Patches und updates
[2011/04/19 09:50:25 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools
[2011/04/18 18:43:37 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Malwarebytes
[2011/04/18 18:42:56 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011/04/18 18:42:55 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2011/04/18 10:50:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ICQ7.4
[2011/04/18 10:23:00 | 000,000,000 | ---D | C] -- C:\Program Files\ICQ7.4
[2011/04/17 19:11:07 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\ICQ
[2011/04/16 11:15:44 | 008,392,346 | ---- | C] (BioWare Corp.) -- C:\Users\antonology\Desktop\BGII-ThroneofBhaal_Patch_26498_ENGLISH.exe
[2011/04/08 16:47:07 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2011/04/07 21:34:25 | 000,000,000 | ---D | C] -- C:\Users\antonology\Desktop\superrmbbros
[2011/04/07 21:28:06 | 000,000,000 | ---D | C] -- C:\Users\antonology\Desktop\Lettres de Motivation
[2011/04/05 20:13:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hamachi
[2011/04/05 20:13:17 | 000,000,000 | ---D | C] -- C:\Program Files\Hamachi
[2011/04/05 19:08:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Baldur's Gate
[2011/04/05 18:55:57 | 000,306,688 | ---- | C] (InstallShield Software Corporation) -- C:\windows\IsUninst.exe
[2011/04/04 19:32:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Xenocide
[2011/04/04 19:29:37 | 000,000,000 | ---D | C] -- C:\windows\System32\directx
[2011/04/04 19:29:17 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft XNA
[2011/04/03 16:08:09 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Archibald's Adventures
[2011/04/03 16:08:00 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Archibald Crazy Adventures
[2011/04/03 00:00:45 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Jewel Quest IV
[2011/04/02 22:07:42 | 000,000,000 | ---D | C] -- C:\Program Files\DVDVideoSoft
[2011/04/02 22:07:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft
[2011/04/02 22:06:50 | 000,000,000 | ---D | C] -- C:\Program Files\YT to mp3
[2011/04/01 19:14:34 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\iWin
[2011/04/01 19:12:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Jewel Quest III
[2011/03/29 16:23:50 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Abra Academy
[2011/03/29 16:22:16 | 000,000,000 | ---D | C] -- C:\ProgramData\BigFishGamesCache
[2011/03/29 16:22:04 | 000,000,000 | ---D | C] -- C:\Program Files\bfgclient
[2011/03/29 16:21:32 | 000,000,000 | ---D | C] -- C:\BigFishGamesCache
[2011/03/27 21:03:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Catan
[2009/10/06 15:08:27 | 000,013,880 | ---- | C] ( ) -- C:\windows\System32\drivers\kbfiltr.sys
[1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/04/22 09:03:20 | 000,001,138 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-3270439410-2971256653-2768509937-1000UA.job
[2011/04/22 09:02:26 | 000,009,696 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011/04/22 09:02:26 | 000,009,696 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011/04/22 08:54:28 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat
[2011/04/22 08:54:22 | 146,812,160 | ---- | M] () -- C:\windows\MEMORY.DMP
[2011/04/22 08:54:19 | 797,581,312 | -HS- | M] () -- C:\hiberfil.sys
[2011/04/22 08:52:24 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\antonology\Desktop\OTL.exe
[2011/04/22 08:27:37 | 000,000,983 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011/04/21 22:30:48 | 001,110,476 | ---- | M] () -- C:\Users\antonology\Desktop\7z920.exe
[2011/04/21 19:21:30 | 000,731,136 | ---- | M] () -- C:\Users\antonology\Desktop\avenger.exe
[2011/04/21 19:20:12 | 004,325,821 | ---- | M] () -- C:\Users\antonology\Desktop\ComboFix.exe
[2011/04/21 19:05:22 | 006,175,589 | ---- | M] () -- C:\Users\antonology\Desktop\avz4.zip
[2011/04/21 19:01:05 | 000,001,086 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-3270439410-2971256653-2768509937-1000Core.job
[2011/04/21 18:43:32 | 000,137,752 | ---- | M] () -- C:\Users\antonology\Desktop\28th.jpg
[2011/04/21 14:21:54 | 000,002,634 | ---- | M] () -- C:\nuhr.m3u
[2011/04/20 13:58:15 | 000,059,194 | ---- | M] () -- C:\Users\antonology\Desktop\11_Geheimnis_eines_langen_Lebens__2.pdf
[2011/04/20 10:20:54 | 014,305,258 | ---- | M] () -- C:\Users\antonology\Desktop\Super_RMN_Bros2_ss.zip
[2011/04/16 11:20:42 | 008,392,346 | ---- | M] (BioWare Corp.) -- C:\Users\antonology\Desktop\BGII-ThroneofBhaal_Patch_26498_ENGLISH.exe
[2011/04/16 10:11:46 | 000,001,096 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2011/04/08 21:28:11 | 000,646,482 | ---- | M] () -- C:\windows\System32\perfh007.dat
[2011/04/08 21:28:11 | 000,609,806 | ---- | M] () -- C:\windows\System32\perfh009.dat
[2011/04/08 21:28:11 | 000,127,608 | ---- | M] () -- C:\windows\System32\perfc007.dat
[2011/04/08 21:28:11 | 000,104,782 | ---- | M] () -- C:\windows\System32\perfc009.dat
[2011/04/03 14:36:05 | 000,137,656 | ---- | M] (Avira GmbH) -- C:\windows\System32\drivers\avipbb.sys
[2011/04/03 14:36:05 | 000,061,960 | ---- | M] (Avira GmbH) -- C:\windows\System32\drivers\avgntflt.sys
[2011/04/02 22:07:09 | 000,001,061 | ---- | M] () -- C:\Users\antonology\Desktop\YT to mp3.lnk
[2011/03/23 13:45:56 | 000,000,118 | -H-- | M] () -- C:\Users\antonology\Desktop\.~lock.Lettre de Motivation - Office de Tourisme.odt#
[1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/04/22 08:27:37 | 000,000,983 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011/04/22 07:17:16 | 146,812,160 | ---- | C] () -- C:\windows\MEMORY.DMP
[2011/04/21 22:30:25 | 001,110,476 | ---- | C] () -- C:\Users\antonology\Desktop\7z920.exe
[2011/04/21 19:20:51 | 000,731,136 | ---- | C] () -- C:\Users\antonology\Desktop\avenger.exe
[2011/04/21 19:16:17 | 004,325,821 | ---- | C] () -- C:\Users\antonology\Desktop\ComboFix.exe
[2011/04/21 19:01:40 | 006,175,589 | ---- | C] () -- C:\Users\antonology\Desktop\avz4.zip
[2011/04/21 18:43:31 | 000,137,752 | ---- | C] () -- C:\Users\antonology\Desktop\28th.jpg
[2011/04/20 13:58:16 | 000,059,194 | ---- | C] () -- C:\Users\antonology\Desktop\11_Geheimnis_eines_langen_Lebens__2.pdf
[2011/04/20 09:58:37 | 014,305,258 | ---- | C] () -- C:\Users\antonology\Desktop\Super_RMN_Bros2_ss.zip
[2011/04/18 21:32:48 | 000,002,634 | ---- | C] () -- C:\nuhr.m3u
[2011/04/02 22:07:09 | 000,001,061 | ---- | C] () -- C:\Users\antonology\Desktop\YT to mp3.lnk
[2011/03/23 13:45:56 | 000,000,118 | -H-- | C] () -- C:\Users\antonology\Desktop\.~lock.Lettre de Motivation - Office de Tourisme.odt#
[2011/02/20 23:53:59 | 000,080,384 | ---- | C] () -- C:\windows\gamedelete.exe
[2011/01/11 14:00:29 | 000,001,595 | ---- | C] () -- C:\windows\wininit.ini
[2010/09/14 22:09:49 | 000,000,000 | ---- | C] () -- C:\windows\System32\Access.dat
[2010/07/27 09:33:21 | 000,000,041 | ---- | C] () -- C:\windows\DAVILEX.INI
[2010/07/15 18:23:43 | 000,000,034 | ---- | C] () -- C:\windows\cdplayer.ini
[2010/06/13 00:57:13 | 000,000,036 | ---- | C] () -- C:\Users\antonology\AppData\Local\housecall.guid.cache
[2010/06/09 15:56:27 | 000,000,056 | -H-- | C] () -- C:\windows\System32\ezsidmv.dat
[2010/05/02 22:22:41 | 000,000,320 | ---- | C] () -- C:\windows\WinSchach.ini
[2010/04/25 18:40:38 | 000,000,000 | ---- | C] () -- C:\Users\antonology\AppData\Roaming\wklnhst.dat
[2010/04/24 20:23:06 | 000,007,168 | ---- | C] () -- C:\windows\System32\drivers\StarOpen.sys
[2010/04/21 20:16:06 | 000,038,703 | ---- | C] () -- C:\windows\Ascd_tmp.ini
[2009/11/11 02:02:27 | 000,219,136 | ---- | C] () -- C:\windows\System32\AsusService.exe
[2009/11/11 02:02:27 | 000,021,864 | ---- | C] () -- C:\windows\AsAcpiSvrLang.ini
[2009/11/11 02:00:14 | 000,013,931 | ---- | C] () -- C:\windows\System32\RaCoInst.dat
[2009/11/11 01:49:39 | 000,131,368 | ---- | C] () -- C:\ProgramData\FullRemove.exe
[2009/11/11 01:42:59 | 000,011,448 | ---- | C] () -- C:\windows\System32\drivers\AsUpIO.sys
[2009/11/11 01:42:49 | 000,001,769 | ---- | C] () -- C:\windows\Language_trs.ini
[2009/07/26 03:28:45 | 000,646,482 | ---- | C] () -- C:\windows\System32\perfh007.dat
[2009/07/26 03:28:45 | 000,295,922 | ---- | C] () -- C:\windows\System32\perfi007.dat
[2009/07/26 03:28:45 | 000,127,608 | ---- | C] () -- C:\windows\System32\perfc007.dat
[2009/07/26 03:28:45 | 000,038,104 | ---- | C] () -- C:\windows\System32\perfd007.dat
[2009/07/14 06:57:37 | 000,067,584 | --S- | C] () -- C:\windows\bootstat.dat
[2009/07/14 06:33:53 | 000,369,472 | ---- | C] () -- C:\windows\System32\FNTCACHE.DAT
[2009/07/14 04:05:48 | 000,609,806 | ---- | C] () -- C:\windows\System32\perfh009.dat
[2009/07/14 04:05:48 | 000,291,294 | ---- | C] () -- C:\windows\System32\perfi009.dat
[2009/07/14 04:05:48 | 000,104,782 | ---- | C] () -- C:\windows\System32\perfc009.dat
[2009/07/14 04:05:48 | 000,031,548 | ---- | C] () -- C:\windows\System32\perfd009.dat
[2009/07/14 04:05:05 | 000,000,741 | ---- | C] () -- C:\windows\System32\NOISE.DAT
[2009/07/14 04:04:11 | 000,215,943 | ---- | C] () -- C:\windows\System32\dssec.dat
[2009/07/14 01:55:01 | 000,043,131 | ---- | C] () -- C:\windows\mib.bin
[2009/07/14 01:51:43 | 000,073,728 | ---- | C] () -- C:\windows\System32\BthpanContextHandler.dll
[2009/07/14 01:42:10 | 000,064,000 | ---- | C] () -- C:\windows\System32\BWContextHandler.dll
[2009/06/10 23:26:10 | 000,673,088 | ---- | C] () -- C:\windows\System32\mlang.dat
[2009/04/02 14:30:14 | 000,010,296 | ---- | C] () -- C:\windows\System32\drivers\ASUSHWIO.SYS
 
========== LOP Check ==========
 
[2011/03/29 16:23:50 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Abra Academy
[2011/04/03 16:13:05 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Archibald's Adventures
[2010/04/25 19:11:41 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Asus
[2010/12/07 20:55:12 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Babylon
[2010/12/07 11:19:53 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\BitTorrent
[2010/06/05 18:16:33 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Canneverbe Limited
[2010/05/15 18:32:12 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\ChessBase
[2010/04/30 10:13:20 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\DAEMON Tools Lite
[2011/03/01 21:19:11 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Dropbox
[2011/04/02 22:08:39 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\DVDVideoSoftIEHelpers
[2010/09/14 23:05:55 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Free Download Manager
[2011/02/05 13:54:03 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\GetRightToGo
[2010/08/09 22:47:14 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\GSplit
[2011/03/22 12:08:48 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\gtk-2.0
[2011/04/18 11:04:40 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\ICQ
[2010/12/06 22:33:03 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\iWin
[2010/06/10 11:57:54 | 000,000,000 | -HSD | M] -- C:\Users\antonology\AppData\Roaming\lowsec
[2010/09/30 17:25:34 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\LucasArts
[2010/08/06 18:35:25 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Nokia
[2010/09/15 10:11:58 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\OpenCandy
[2010/04/30 13:29:12 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\OpenOffice.org
[2010/08/06 18:35:31 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\PC Suite
[2010/06/10 18:16:22 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Simply Super Software
[2010/04/26 14:57:57 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Template
[2010/11/27 22:02:17 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Tunngle
[2010/07/23 14:05:27 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Uniblue
[2011/04/22 08:49:27 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 159 bytes -> C:\ProgramData\TEMP:5BC73C48
@Alternate Data Stream - 150 bytes -> C:\ProgramData\TEMP:AB689DEA
@Alternate Data Stream - 143 bytes -> C:\ProgramData\TEMP:9F38BF31
@Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:706B1D1A
@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:D1B5B4F1

< End of report >

--- --- ---

antonology · 22.04.2011, 08:22

und hier 2.) Extras.txtOTL EXTRAS Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 4/22/2011 8:59:43 AM - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Users\antonology\Desktop
 Starter Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,014.00 Mb Total Physical Memory | 286.00 Mb Available Physical Memory | 28.00% Memory free
3.00 Gb Paging File | 2.00 Gb Available in Paging File | 75.00% Paging File free
Paging file location(s): d:\pagefile.sys 2000 2000 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 80.00 Gb Total Space | 46.27 Gb Free Space | 57.84% Space Free | Partition Type: NTFS
Drive D: | 59.03 Gb Total Space | 0.76 Gb Free Space | 1.29% Space Free | Partition Type: NTFS
 
Computer Name: ANTONOLOGY_HQ | User Name: antonology | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\windows\winhlp32.exe (Microsoft Corporation)
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- Reg Error: Key error.
htmlfile [opennew] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
http [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Program Files\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Program Files\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Program Files\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- Reg Error: Key error.
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- Reg Error: Key error.
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
"DisableUnicastResponsesToMulticastBroadcast" = 0
"DefaultOutboundAction" = 0
"DefaultInboundAction" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
"DefaultOutboundAction" = 0
"DefaultInboundAction" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
"DefaultOutboundAction" = 0
"DefaultInboundAction" = 0
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer
"{192A107E-C6B9-41B9-BDBF-38E3AA226054}" = OpenOffice.org 3.2
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions
"{2624B969-7135-4EB1-B0F6-2D8C397B45F7}_is1" = Media Player Classic - Home Cinema v. 1.3.1249.0
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{28006915-2739-4EBE-B5E8-49B25D32EB33}" = Atheros Client Installation Program
"{287ECFA4-719A-2143-A09B-D6A12DE54E40}" = Acrobat.com
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver
"{3898934B-05AE-41CD-96BE-70DA9BFBCE1F}" = Microsoft XNA Framework Redistributable 3.0
"{491DFBAA-77EF-4B06-8676-2FC66EEE049A}" = LogMeIn Hamachi
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4CBABDFD-49F8-47FD-BE7D-ECDE7270525A}" = Windows Live PIMT Platform
"{4F4182DA-3D58-41E3-913D-480F8DA5C863}" = Fritz 12
"{587178E7-B1DF-494E-9838-FA4DD36E873C}" = ASUSUpdate for Eee PC
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{5F64E152-51C1-47B4-BEA8-007D73C7460F}" = Cisco AnyConnect VPN Client
"{61AD15B2-50DB-4686-A739-14FE180D4429}" = Windows Live ID Sign-in Assistant
"{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6C44DEFF-8638-49A4-B748-CA59B43F3265}" = Fritz 12
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{71C0E38E-09F2-4386-9977-404D4F6640CD}" = Hotkey Service
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{84C2B80B-64A2-4B22-93EC-F30C3D6BF7D8}" = Boingo Wi-Fi
"{873E4648-6F6E-47F6-A7B2-A6F8DFABDCE6}" = Windows Live Messenger
"{88F08F98-12BC-4613-81A2-8F9B88CFC73E}" = Super Hybrid Engine
"{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT
"{8FC4F1DD-F7FD-4766-804D-3C8FF1D309B0}" = Ralink RT2860 Wireless LAN Card
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"{9509674F-3972-11DE-806D-005056806466}" = Google Earth
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9E48FF52-082C-4CC2-BB67-6E10D09C0431}" = Windows Live UX Platform Language Pack
"{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR
"{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}" = Windows Live Photo Common
"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.4.3 MUI
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{C2AB7DC4-489E-4BE9-887A-52262FBADBE0}" = Windows Live Photo Common
"{C9EAEE6B-741F-421D-B9CE-9FA300DA92AD}_is1" = Super Mario Bros. X version 1.3
"{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform
"{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform
"{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1
"{EB4DF488-AAEF-406F-A341-CB2AAA315B90}" = Windows Live Messenger
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F58C1D44-4AC9-48E8-9049-7A6CDFCB415C}" = LocaleMe
"{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials
"7-Zip" = 7-Zip 9.20
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ASUS VIBE" = ASUS VIBE
"Audiograbber" = Audiograbber 1.83 SE 
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"B41C7C96D83162A676DA7365ADEFD6C1AF62A4EE" = Windows Driver Package - Broadcom Bluetooth  (07/17/2009 6.2.0.9403)
"B5C82F3814F82FB37F1513B3185399BD88892B08" = Windows Driver Package - Broadcom Bluetooth  (07/29/2009 6.1.7100.0)
"Babylon" = Babylon
"Baldur's Gate" = Baldur's Gate
"BF20603967CFDCB2BBF91950E8A56DFBC5C833FE" = Windows Driver Package - Broadcom HIDClass  (07/28/2009 6.2.0.9800)
"BFGC" = Big Fish Games Client
"BitTorrent" = BitTorrent
"Catan - Staedte und Ritter" = Catan - Städte und Ritter
"CBLight 2009" = CBLight 2009
"CCleaner" = CCleaner
"DivX Setup.divx.com" = DivX-Setup
"Eee Docking_is1" = Eee Docking 3.3.0
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4.7
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.9.35.324
"Grand Theft Auto" = Grand Theft Auto
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"JDownloader" = JDownloader
"Jewel Quest III" = Jewel Quest III (nur deinstallation)
"Jewel Quest: Heritage" = Jewel Quest: Heritage (nur deinstallation)
"LogMeIn Hamachi" = LogMeIn Hamachi
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Mozilla Firefox 4.0 (x86 en-US)" = Mozilla Firefox 4.0 (x86 en-US)
"MP4 Media Player_is1" = MP4 Media Player 1.0
"RPG Maker 2000  Yu-Gi-Oh!-Das Spiel des Schattens" = RPG Maker 2000 -  Untitled
"SystemSetting_is1" = SystemSetting
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.1.7
"Winamp" = Winamp
"WinGimp-2.0_is1" = GIMP 2.6.7
"WinLiveSuite" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"Yahoo! Messenger" = Yahoo! Messenger
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
"Leela lite 0.3.16" = Leela lite - the Go Program
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 3/30/2011 6:00:39 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Program Files\Common
 Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei
 "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3.
Der
 Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs
 im assemblyIdentity-Element ist ungültig.
 
Error - 3/30/2011 6:03:37 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\Spybot\DelZip179.dll".
 Fehler in Manifest- oder Richtliniendatei "c:\program files\Spybot\DelZip179.dll"
 in Zeile 8.  Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist
 ungültig.
 
Error - 4/2/2011 6:20:56 PM | Computer Name = antonology_hq | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: JewelQuestHeritage.exe, Version: 
1.0.0.9, Zeitstempel: 0x4b1f575e  Name des fehlerhaften Moduls: JewelQuestHeritage.exe,
 Version: 1.0.0.9, Zeitstempel: 0x4b1f575e  Ausnahmecode: 0xc0000005  Fehleroffset: 
0x000d4c8b  ID des fehlerhaften Prozesses: 0x9ac  Startzeit der fehlerhaften Anwendung:
 0x01cbf181710e5fcb  Pfad der fehlerhaften Anwendung: d:\Program Files\Jewel Quest
 IV\JewelQuestHeritage.exe  Pfad des fehlerhaften Moduls: d:\Program Files\Jewel Quest
 IV\JewelQuestHeritage.exe  Berichtskennung: 79fdc2aa-5d77-11e0-b548-e0cb4e3956d5
 
Error - 4/3/2011 4:46:27 AM | Computer Name = antonology_hq | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: JewelQuestHeritage.exe, Version: 
1.0.0.9, Zeitstempel: 0x4b1f575e  Name des fehlerhaften Moduls: JewelQuestHeritage.exe,
 Version: 1.0.0.9, Zeitstempel: 0x4b1f575e  Ausnahmecode: 0xc0000005  Fehleroffset: 
0x000d4c8b  ID des fehlerhaften Prozesses: 0x504  Startzeit der fehlerhaften Anwendung:
 0x01cbf1d81a154122  Pfad der fehlerhaften Anwendung: D:\Program Files\Jewel Quest
 IV\JewelQuestHeritage.exe  Pfad des fehlerhaften Moduls: D:\Program Files\Jewel Quest
 IV\JewelQuestHeritage.exe  Berichtskennung: dc3eb9c1-5dce-11e0-ae0a-e0cb4e3956d5
 
Error - 4/3/2011 9:58:52 AM | Computer Name = antonology_hq | Source = Application Hang | ID = 1002
Description = Programm DTLite.exe, Version 4.35.6.91 kann nicht mehr unter Windows
 ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: b98    Startzeit: 
01cbf205e4e92e6e    Endzeit: 60000    Anwendungspfad: C:\Program Files\DAEMON Tools Lite\DTLite.exe

Berichts-ID:
 52e70805-5dfa-11e0-ae0a-e0cb4e3956d5  
 
Error - 4/3/2011 1:57:11 PM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Program Files\Common
 Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei
 "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3.
Der
 Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs
 im assemblyIdentity-Element ist ungültig.
 
Error - 4/4/2011 7:52:48 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Program Files\Common
 Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei
 "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3.
Der
 Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs
 im assemblyIdentity-Element ist ungültig.
 
Error - 4/4/2011 7:55:18 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\Spybot\DelZip179.dll".
 Fehler in Manifest- oder Richtliniendatei "c:\program files\Spybot\DelZip179.dll"
 in Zeile 8.  Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist
 ungültig.
 
Error - 4/5/2011 9:19:13 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Program Files\Common
 Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei
 "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3.
Der
 Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs
 im assemblyIdentity-Element ist ungültig.
 
Error - 4/5/2011 9:21:46 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\Spybot\DelZip179.dll".
 Fehler in Manifest- oder Richtliniendatei "c:\program files\Spybot\DelZip179.dll"
 in Zeile 8.  Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist
 ungültig.
 
[ System Events ]
Error - 4/22/2011 2:57:47 AM | Computer Name = antonology_hq | Source = bowser | ID = 8003
Description = 
 
Error - 4/22/2011 2:59:53 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
 
Error - 4/22/2011 3:00:00 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
 
Error - 4/22/2011 3:00:01 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
 
Error - 4/22/2011 3:00:01 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
 
Error - 4/22/2011 3:00:05 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
 
Error - 4/22/2011 3:00:06 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
 
Error - 4/22/2011 3:00:10 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
 
Error - 4/22/2011 3:00:12 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
 
Error - 4/22/2011 3:00:14 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
 
 
< End of report >

--- --- ---

cosinus · 22.04.2011, 12:21

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

antonology · 22.04.2011, 13:43

achso...vollständig?

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6417

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

22.04.2011 14:22:40
mbam-log-2011-04-22 (14-22-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 262409
Laufzeit: 47 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus · 22.04.2011, 13:56

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
[2011/04/20 10:54:47 | 000,000,000 | -HSD | C] -- C:\found.000
@Alternate Data Stream - 159 bytes -> C:\ProgramData\TEMP:5BC73C48
@Alternate Data Stream - 150 bytes -> C:\ProgramData\TEMP:AB689DEA
@Alternate Data Stream - 143 bytes -> C:\ProgramData\TEMP:9F38BF31
@Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:706B1D1A
@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:D1B5B4F1
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

antonology · 22.04.2011, 23:23

leider hab ich nach dem fix immer noch einen bluescreen gehabt,..
derselbe mit dem internal_power_error

achja, noch etwas ist mir eingefallen. die bluescreens mit den beiden fehlermeldungen internal_power_error & driver_irq_less_no_or_equal habe ich bekommen nachdem rkill.com zur beseitigung von antimalware-doctor runtergeladen und ausgefuehrt habe.

das ist der log von otl

All processes killed
========== OTL ==========
C:\found.000\dir0000.chk folder moved successfully.
C:\found.000 folder moved successfully.
ADS C:\ProgramData\TEMP:5BC73C48 deleted successfully.
ADS C:\ProgramData\TEMP:AB689DEA deleted successfully.
ADS C:\ProgramData\TEMP:9F38BF31 deleted successfully.
ADS C:\ProgramData\TEMP:706B1D1A deleted successfully.
ADS C:\ProgramData\TEMP

1B5B4F1 deleted successfully.
========== COMMANDS ==========
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: antonology
->Temp folder emptied: 8784154 bytes
->Temporary Internet Files folder emptied: 368960 bytes
->Java cache emptied: 10036 bytes
->FireFox cache emptied: 64674624 bytes
->Flash cache emptied: 6763 bytes

User: Default
->Temp folder emptied: 121064 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 321 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 632449 bytes
RecycleBin emptied: 2079591893 bytes

Total Files Cleaned = 2,054.00 mb

OTL by OldTimer - Version 3.2.22.3 log created on 04232011_001509

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

antonology · 23.04.2011, 08:30

das ist der windows-log, der bei mir nach meinem systemcrash mit dem bluescreen INTERNAL_POWER_ERROR auf demdesktop erscheint.

Problemsignatur:
Problemereignisname: BlueScreen
Betriebsystemversion: 6.1.7600.2.0.0.768.11
Gebietsschema-ID: 1031

Zusatzinformationen zum Problem:
BCCode: a0
BCP1: 00000001
BCP2: 00000006
BCP3: 852DCC70
BCP4: 00000000
OS Version: 6_1_7600
Service Pack: 0_0
Product: 768_1

Dateien, die bei der Beschreibung des Problems hilfreich sind:
C:\Windows\Minidump\042311-40466-01.dmp
C:\Users\antonology\AppData\Local\Temp\WER-65941-0.sysdata.xml

Lesen Sie unsere Datenschutzbestimmungen online:
hxxp://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0407

Wenn die Onlinedatenschutzbestimmungen nicht verfügbar sind, lesen Sie unsere Datenschutzbestimmungen offline:
C:\windows\system32\de-DE\erofflps.txt

----------------------------------------------------------------

in einem anderen forum wird geraten die powercfg /hibernate /size <size% von size 75 auf size100 zu verändern, allerdings weiss ich nicht wie und auch nicht was es bedeutet.

hier noch ein sample vom bluescreen

Zitat:

A problem has been detected and Windows has been shut down to prevent damage to your computer.

INTERNAL_POWER_ERROR

If this is the first time you've seen this Stop error screen, restart your computer. If this screen appears again, follow these steps:

Check to make sure any new hardware or software is properly installed. If this is a new installation, ask your hardware or software manufacturer for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware or software. Disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advanced Startup Options, and then select Safe Mode.

Technical Information:

*** STOP: 0x000000A0

Beginning dump of physical memory
Physical memory dump complete.

Contact your system administrator or technical support group for further
assistance.

cosinus · 23.04.2011, 15:37

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )

Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

antonology · 24.04.2011, 12:03

Also auf meinen eigenen dateien kann ich noch zugreifen...eigentlich kann ich auf alles zugreifen. auf etwas bestimmtes vielleicht?

und leider funzt das tool tdsskiller nicht. auch wenn ichs als admin ausführe gibts nach 80% initialisierung eine fehlermeldung und erbrichts ab. obwohl ich alles im hintergrund gestoppt habe

antonology · 25.04.2011, 06:27

unhide.exe ausgeführt.

hier ist das sichtbar gewordene log

2011/04/24 12:54:24.0899 3224 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/04/24 12:54:26.0302 3224 ================================================================================
2011/04/24 12:54:26.0302 3224 SystemInfo:
2011/04/24 12:54:26.0302 3224
2011/04/24 12:54:26.0302 3224 OS Version: 6.1.7600 ServicePack: 0.0
2011/04/24 12:54:26.0302 3224 Product type: Workstation
2011/04/24 12:54:26.0303 3224 ComputerName: ANTONOLOGY_HQ
2011/04/24 12:54:26.0303 3224 UserName: antonology
2011/04/24 12:54:26.0303 3224 Windows directory: C:\windows
2011/04/24 12:54:26.0303 3224 System windows directory: C:\windows
2011/04/24 12:54:26.0303 3224 Processor architecture: Intel x86
2011/04/24 12:54:26.0303 3224 Number of processors: 2
2011/04/24 12:54:26.0303 3224 Page size: 0x1000
2011/04/24 12:54:26.0304 3224 Boot type: Normal boot
2011/04/24 12:54:26.0304 3224 ================================================================================
2011/04/24 12:54:33.0917 3224 !crdlk

21.04.2011, 19:33	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner Poste bitte alle Logs von sämtlichen Scannern mit allen relevanten Funden! In Zukunft keine Hijackthis-Logs mehr posten, das Tool ist mittlerweile zu fast nichts mehr zu gebrauchen! __________________ __________________

21.04.2011, 22:33	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner AVZ will ich auch nicht sehen. Eher Logs von Malwarebytes und OTL. __________________ Logfiles bitte immer in CODE-Tags posten

DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner

Log-Analyse und Auswertung: DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner