|
Log-Analyse und Auswertung: DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
21.04.2011, 18:58 | #1 | |
| DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner EePC - 1005P Win7 Starter 1024 Ram Atom 1,6Ghz Hallo liebe Community, ich bin zum ersten Mal in der Not hier etwas zu posten. Allerdings, habe ich schon von einigen anderen problemen anderer user "profitiert" und suche, eure seite nicht zum ersten mal auf. Es fing vor drei Tagen an - da bekam ich den Antimalware-Doctor auf den PC. Auf eurer Seite wurde vorgeschlagen ihn mit mbam zu beseitigen - gesagt getan! Danach war mein Rechner aber extrem verlangsamt, also habe ich auch auf euren Ratschlag (alles aus einem therad eines anderen useres) hin manuell die enemies-names.txt und die schuldige .exe gesucht gefunden und gelöscht. Seither geht mein rechner wieder flüssig. Aber ein problem, das gleichzeitg aufgetaucht ist, als ich den Trojaner bekam war, dass ich beim Shutdown stets einen bluescreen bekommen mit der meldung Zitat:
Nun taucht dieser bluescreen leider manchmal auch spontan auf. Wenn ich zB sofort nach dem startup einen sammelordner öffnen will. Dadurch hab ich den verdacht, dass es mit der Auslastung meines PCs zusammenhängen kann. Doch grade vor ner stunde meldete mir Antivir, dass der XP.Crack.Gen sich auf meinem system befindet - das letzte mal, als es passierte, habe ich es mit einer systemwiederherstellung beheben können. Doch bei meiner heutigen recherche las ich hier aus einem artikel von 2008, dass ich auch alle ausführbaren dateien (exe,setup) sofort löschen sollte. Stimmt das? Ich bin gerade dabei AVZ durchlaufen zu lassen. Und hier HijackThis log vielen Dank für eure Aufmerksamkeit. Anton Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 19:52:24, on 21.04.2011 Platform: Windows 7 (WinNT 6.00.3504) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\windows\system32\taskhost.exe C:\windows\system32\Dwm.exe C:\windows\Explorer.EXE D:\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Mozilla Firefox\plugin-container.exe C:\Program Files\Java\jre6\bin\javaw.exe C:\Users\antonology\Desktop\avz4\avz.exe D:\Dokumente\unentpackte software\HiJackThis204.exe C:\windows\system32\SearchFilterHost.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll O2 - BHO: ASUS Windows 7 Starter Helper - {D381FF29-7CFB-4D4E-B92A-C4EDDC696614} - C:\Program Files\asus\SystemSetting\StarterHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [0ESKOMO9JO] C:\windows\TEMP\Nwy.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [0ESKOMO9JO] C:\windows\TEMP\Nwy.exe (User 'Default user') O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\antonology\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{807E25DA-A2F7-4B6D-B940-5BD56A1653F5}: NameServer = 91.188.60.223,8.8.8.8 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir Desktop\avguard.exe O23 - Service: Asus Launcher Service (AsusService) - Unknown owner - C:\Windows\System32\AsusService.exe O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\Hamachi\hamachi-2.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot\SDWinSec.exe O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe -- End of file - 4608 bytes |
21.04.2011, 19:33 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner Poste bitte alle Logs von sämtlichen Scannern mit allen relevanten Funden!
__________________In Zukunft keine Hijackthis-Logs mehr posten, das Tool ist mittlerweile zu fast nichts mehr zu gebrauchen!
__________________ |
21.04.2011, 22:07 | #3 |
| DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner Sorry Arne,
__________________habs selbst gerade erst gelesen, dass HijackThis nicht mehr gebraucht wird. danke für die rasche antwort. ich hab gerade gemerkt dass mein AVZ scan nicht eurer anleitung entsprach ich habs auch nicht geupdated gehabt. aber morgen mache ichs richtig. trotzdem poste ich den AVZ log... und morgen den richtigen. -------------------------------------------------- Tja. nach mehrmaligen versuchen scheiterte ich bei anhänge verwalten mit folgender fehlermeldung: The connection was reset ich probiers morgen einfach gleich mit den richtigen logs |
21.04.2011, 22:33 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner AVZ will ich auch nicht sehen. Eher Logs von Malwarebytes und OTL.
__________________ Logfiles bitte immer in CODE-Tags posten |
22.04.2011, 07:51 | #5 |
| DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner Okay, hier ist der Report nach Da Gurus anleitung von mbam. ich poste auch gleich den report von OTL hinterher, weil ich echt schockiert war über die enorme anzahl von 17 infizierungen. Ach ja, etwsa ist mir noch bewusst geworden ... auch beim herunterfahren kommt statt der DRIVER_IRQ_NOT_LESS_OR_EQUAL meldung folgendes: INTERNAL_POWER_ERROR. ebenfalls ein bluescreen mit einigen zahlen mit dabei... aber hier mal der mbam report Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes Datenbank Version: 6417 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 22.04.2011 08:45:51 mbam-log-2011-04-22 (08-45-51).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 146477 Laufzeit: 5 Minute(n), 5 Sekunde(n) Infizierte Speicherprozesse: 4 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 8 Infizierte Speicherprozesse: c:\Windows\Temp\Nwx.exe (Trojan.Downloader) -> 2804 -> Unloaded process successfully. c:\Windows\Temp\Nwy.exe (Trojan.Downloader) -> 2944 -> Unloaded process successfully. c:\Windows\Temp\Nwz.exe (Trojan.Downloader) -> 1612 -> Unloaded process successfully. c:\Windows\Temp\Nwz.exe (Trojan.Downloader) -> 3916 -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\0ESKOMO9JO (Trojan.Downloader) -> Value: 0ESKOMO9JO -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: c:\program files\relevantknowledge (Spyware.MarketScore) -> Delete on reboot. Infizierte Dateien: c:\Windows\Temp\Nwx.exe (Trojan.Downloader) -> Delete on reboot. c:\Windows\Temp\Nwy.exe (Trojan.Downloader) -> Delete on reboot. c:\Windows\Temp\Nwz.exe (Trojan.Downloader) -> Delete on reboot. c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully. c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Delete on reboot. c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully. c:\program files\relevantknowledge\MSVCP71.DLL (Spyware.MarketScore) -> Quarantined and deleted successfully. c:\program files\relevantknowledge\MSVCR71.DLL (Spyware.MarketScore) -> Quarantined and deleted successfully. |
22.04.2011, 08:08 | #6 |
| DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner Und hier sind die beiden logfiles von otl; 1: OTL.txtOTL Logfile: Code:
ATTFilter OTL logfile created on: 4/22/2011 8:59:43 AM - Run 1 OTL by OldTimer - Version 3.2.22.3 Folder = C:\Users\antonology\Desktop Starter Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,014.00 Mb Total Physical Memory | 286.00 Mb Available Physical Memory | 28.00% Memory free 3.00 Gb Paging File | 2.00 Gb Available in Paging File | 75.00% Paging File free Paging file location(s): d:\pagefile.sys 2000 2000 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files Drive C: | 80.00 Gb Total Space | 46.27 Gb Free Space | 57.84% Space Free | Partition Type: NTFS Drive D: | 59.03 Gb Total Space | 0.76 Gb Free Space | 1.29% Space Free | Partition Type: NTFS Computer Name: ANTONOLOGY_HQ | User Name: antonology | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Users\antonology\Desktop\OTL.exe (OldTimer Tools) PRC - D:\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - D:\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - D:\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Program Files\Hamachi\hamachi-2.exe (LogMeIn Inc.) PRC - C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Program Files\CDBurnerXP\NMSAccessU.exe () PRC - D:\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Windows\System32\AsusService.exe () PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Windows\System32\WerFault.exe (Microsoft Corporation) PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation) PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation) PRC - C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe (Cisco Systems, Inc.) PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Intel Corporation) PRC - C:\Program Files\Spybot\SDWinSec.exe (Safer Networking Ltd.) ========== Modules (SafeList) ========== MOD - C:\Users\antonology\Desktop\OTL.exe (OldTimer Tools) MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (AntiVirSchedulerService) -- D:\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (AntiVirService) -- D:\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (Hamachi2Svc) -- C:\Program Files\Hamachi\hamachi-2.exe (LogMeIn Inc.) SRV - (NMSAccess) -- C:\Program Files\CDBurnerXP\NMSAccessU.exe () SRV - (AsusService) -- C:\Windows\System32\AsusService.exe () SRV - (WinDefend) -- C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation) SRV - (vpnagent) -- C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe (Cisco Systems, Inc.) SRV - (IAANTMON) Intel(R) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Intel Corporation) SRV - (SBSDWSCService) -- C:\Program Files\Spybot\SDWinSec.exe (Safer Networking Ltd.) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH) DRV - (sptd) -- C:\windows\System32\Drivers\sptd.sys () DRV - (hamachi) -- C:\Windows\System32\drivers\hamachi.sys (LogMeIn, Inc.) DRV - (StarOpen) -- C:\windows\System32\drivers\StarOpen.sys () DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.) DRV - (kbfiltr) -- C:\Windows\System32\drivers\kbfiltr.sys ( ) DRV - (RMCAST) -- C:\Windows\System32\drivers\rmcast.sys (Microsoft Corporation) DRV - (vwifimp) -- C:\Windows\System32\drivers\vwifimp.sys (Microsoft Corporation) DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation) DRV - (L1C) NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20) -- C:\Windows\System32\drivers\L1C62x86.sys (Atheros Communications, Inc.) DRV - (AsUpIO) -- C:\Windows\System32\drivers\AsUpIO.sys () DRV - (btusbflt) -- C:\Windows\System32\drivers\btusbflt.sys (Broadcom Corporation.) DRV - (vpnva) -- C:\Windows\System32\drivers\vpnva.sys (Cisco Systems, Inc.) DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://eeepc.asus.com [binary data] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://eeepc.asus.com [binary data] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.update: false FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "www.ixquick.de" FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1 FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/04/16 10:11:43 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/04/16 10:11:37 | 000,000,000 | ---D | M] [2010/04/25 14:26:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\antonology\AppData\Roaming\mozilla\Extensions [2011/04/03 08:29:30 | 000,000,000 | ---D | M] (No name found) -- C:\Users\antonology\AppData\Roaming\mozilla\Firefox\Profiles\p541g0qh.default\extensions [2011/04/20 11:14:53 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Users\antonology\AppData\Roaming\mozilla\Firefox\Profiles\p541g0qh.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2011/04/02 22:08:42 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\antonology\AppData\Roaming\mozilla\Firefox\Profiles\p541g0qh.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2010/05/12 17:40:48 | 000,001,042 | ---- | M] () -- C:\Users\antonology\AppData\Roaming\Mozilla\Firefox\Profiles\p541g0qh.default\searchplugins\icqplugin.xml [2010/05/08 13:09:02 | 000,001,595 | ---- | M] () -- C:\Users\antonology\AppData\Roaming\Mozilla\Firefox\Profiles\p541g0qh.default\searchplugins\ixquick---deutsch.xml [2011/04/16 10:11:42 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\mozilla firefox\extensions File not found (No name found) -- [2011/03/18 19:53:24 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll [2010/01/01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml Hosts file not found O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.) O2 - BHO: (ASUS Windows 7 Starter Helper) - {D381FF29-7CFB-4D4E-B92A-C4EDDC696614} - C:\Program Files\asus\SystemSetting\StarterHelper.dll (ASUSTeK Computer Inc.) O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [avgnt] D:\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\antonology\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm () O8 - Extra context menu item: Translate this web page with Babylon - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.) O8 - Extra context menu item: Translate with Babylon - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.) O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.) O9 - Extra 'Tools' menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.) O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - HKCU Winlogon: Shell - (Explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation) O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O30 - LSA: Authentication Packages - (efccbx.dll) - File not found O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009/06/10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011/04/22 08:52:14 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Users\antonology\Desktop\OTL.exe [2011/04/22 08:27:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2011/04/22 08:27:34 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbamswissarmy.sys [2011/04/22 08:27:28 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbam.sys [2011/04/22 08:18:24 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip [2011/04/22 08:18:22 | 000,000,000 | ---D | C] -- C:\Program Files\7-Zip [2011/04/21 19:05:47 | 000,000,000 | ---D | C] -- C:\avz [2011/04/20 15:16:04 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Yahoo! [2011/04/20 15:10:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Yahoo! Messenger [2011/04/20 15:10:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Yahoo! [2011/04/20 10:58:41 | 000,000,000 | ---D | C] -- C:\Users\antonology\Desktop\Super RMN Bros2 [2011/04/20 10:54:47 | 000,000,000 | -HSD | C] -- C:\found.000 [2011/04/19 12:38:16 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Intel Corporation [2011/04/19 12:34:00 | 000,000,000 | R--D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel [2011/04/19 10:06:29 | 000,000,000 | ---D | C] -- C:\Users\antonology\Desktop\BG2 Patches und updates [2011/04/19 09:50:25 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools [2011/04/18 18:43:37 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Malwarebytes [2011/04/18 18:42:56 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2011/04/18 18:42:55 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware [2011/04/18 10:50:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ICQ7.4 [2011/04/18 10:23:00 | 000,000,000 | ---D | C] -- C:\Program Files\ICQ7.4 [2011/04/17 19:11:07 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\ICQ [2011/04/16 11:15:44 | 008,392,346 | ---- | C] (BioWare Corp.) -- C:\Users\antonology\Desktop\BGII-ThroneofBhaal_Patch_26498_ENGLISH.exe [2011/04/08 16:47:07 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2011/04/07 21:34:25 | 000,000,000 | ---D | C] -- C:\Users\antonology\Desktop\superrmbbros [2011/04/07 21:28:06 | 000,000,000 | ---D | C] -- C:\Users\antonology\Desktop\Lettres de Motivation [2011/04/05 20:13:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hamachi [2011/04/05 20:13:17 | 000,000,000 | ---D | C] -- C:\Program Files\Hamachi [2011/04/05 19:08:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Baldur's Gate [2011/04/05 18:55:57 | 000,306,688 | ---- | C] (InstallShield Software Corporation) -- C:\windows\IsUninst.exe [2011/04/04 19:32:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Xenocide [2011/04/04 19:29:37 | 000,000,000 | ---D | C] -- C:\windows\System32\directx [2011/04/04 19:29:17 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft XNA [2011/04/03 16:08:09 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Archibald's Adventures [2011/04/03 16:08:00 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Archibald Crazy Adventures [2011/04/03 00:00:45 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Jewel Quest IV [2011/04/02 22:07:42 | 000,000,000 | ---D | C] -- C:\Program Files\DVDVideoSoft [2011/04/02 22:07:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft [2011/04/02 22:06:50 | 000,000,000 | ---D | C] -- C:\Program Files\YT to mp3 [2011/04/01 19:14:34 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\iWin [2011/04/01 19:12:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Jewel Quest III [2011/03/29 16:23:50 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Abra Academy [2011/03/29 16:22:16 | 000,000,000 | ---D | C] -- C:\ProgramData\BigFishGamesCache [2011/03/29 16:22:04 | 000,000,000 | ---D | C] -- C:\Program Files\bfgclient [2011/03/29 16:21:32 | 000,000,000 | ---D | C] -- C:\BigFishGamesCache [2011/03/27 21:03:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Catan [2009/10/06 15:08:27 | 000,013,880 | ---- | C] ( ) -- C:\windows\System32\drivers\kbfiltr.sys [1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011/04/22 09:03:20 | 000,001,138 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-3270439410-2971256653-2768509937-1000UA.job [2011/04/22 09:02:26 | 000,009,696 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2011/04/22 09:02:26 | 000,009,696 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2011/04/22 08:54:28 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat [2011/04/22 08:54:22 | 146,812,160 | ---- | M] () -- C:\windows\MEMORY.DMP [2011/04/22 08:54:19 | 797,581,312 | -HS- | M] () -- C:\hiberfil.sys [2011/04/22 08:52:24 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\antonology\Desktop\OTL.exe [2011/04/22 08:27:37 | 000,000,983 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2011/04/21 22:30:48 | 001,110,476 | ---- | M] () -- C:\Users\antonology\Desktop\7z920.exe [2011/04/21 19:21:30 | 000,731,136 | ---- | M] () -- C:\Users\antonology\Desktop\avenger.exe [2011/04/21 19:20:12 | 004,325,821 | ---- | M] () -- C:\Users\antonology\Desktop\ComboFix.exe [2011/04/21 19:05:22 | 006,175,589 | ---- | M] () -- C:\Users\antonology\Desktop\avz4.zip [2011/04/21 19:01:05 | 000,001,086 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-3270439410-2971256653-2768509937-1000Core.job [2011/04/21 18:43:32 | 000,137,752 | ---- | M] () -- C:\Users\antonology\Desktop\28th.jpg [2011/04/21 14:21:54 | 000,002,634 | ---- | M] () -- C:\nuhr.m3u [2011/04/20 13:58:15 | 000,059,194 | ---- | M] () -- C:\Users\antonology\Desktop\11_Geheimnis_eines_langen_Lebens__2.pdf [2011/04/20 10:20:54 | 014,305,258 | ---- | M] () -- C:\Users\antonology\Desktop\Super_RMN_Bros2_ss.zip [2011/04/16 11:20:42 | 008,392,346 | ---- | M] (BioWare Corp.) -- C:\Users\antonology\Desktop\BGII-ThroneofBhaal_Patch_26498_ENGLISH.exe [2011/04/16 10:11:46 | 000,001,096 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk [2011/04/08 21:28:11 | 000,646,482 | ---- | M] () -- C:\windows\System32\perfh007.dat [2011/04/08 21:28:11 | 000,609,806 | ---- | M] () -- C:\windows\System32\perfh009.dat [2011/04/08 21:28:11 | 000,127,608 | ---- | M] () -- C:\windows\System32\perfc007.dat [2011/04/08 21:28:11 | 000,104,782 | ---- | M] () -- C:\windows\System32\perfc009.dat [2011/04/03 14:36:05 | 000,137,656 | ---- | M] (Avira GmbH) -- C:\windows\System32\drivers\avipbb.sys [2011/04/03 14:36:05 | 000,061,960 | ---- | M] (Avira GmbH) -- C:\windows\System32\drivers\avgntflt.sys [2011/04/02 22:07:09 | 000,001,061 | ---- | M] () -- C:\Users\antonology\Desktop\YT to mp3.lnk [2011/03/23 13:45:56 | 000,000,118 | -H-- | M] () -- C:\Users\antonology\Desktop\.~lock.Lettre de Motivation - Office de Tourisme.odt# [1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ] ========== Files Created - No Company Name ========== [2011/04/22 08:27:37 | 000,000,983 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2011/04/22 07:17:16 | 146,812,160 | ---- | C] () -- C:\windows\MEMORY.DMP [2011/04/21 22:30:25 | 001,110,476 | ---- | C] () -- C:\Users\antonology\Desktop\7z920.exe [2011/04/21 19:20:51 | 000,731,136 | ---- | C] () -- C:\Users\antonology\Desktop\avenger.exe [2011/04/21 19:16:17 | 004,325,821 | ---- | C] () -- C:\Users\antonology\Desktop\ComboFix.exe [2011/04/21 19:01:40 | 006,175,589 | ---- | C] () -- C:\Users\antonology\Desktop\avz4.zip [2011/04/21 18:43:31 | 000,137,752 | ---- | C] () -- C:\Users\antonology\Desktop\28th.jpg [2011/04/20 13:58:16 | 000,059,194 | ---- | C] () -- C:\Users\antonology\Desktop\11_Geheimnis_eines_langen_Lebens__2.pdf [2011/04/20 09:58:37 | 014,305,258 | ---- | C] () -- C:\Users\antonology\Desktop\Super_RMN_Bros2_ss.zip [2011/04/18 21:32:48 | 000,002,634 | ---- | C] () -- C:\nuhr.m3u [2011/04/02 22:07:09 | 000,001,061 | ---- | C] () -- C:\Users\antonology\Desktop\YT to mp3.lnk [2011/03/23 13:45:56 | 000,000,118 | -H-- | C] () -- C:\Users\antonology\Desktop\.~lock.Lettre de Motivation - Office de Tourisme.odt# [2011/02/20 23:53:59 | 000,080,384 | ---- | C] () -- C:\windows\gamedelete.exe [2011/01/11 14:00:29 | 000,001,595 | ---- | C] () -- C:\windows\wininit.ini [2010/09/14 22:09:49 | 000,000,000 | ---- | C] () -- C:\windows\System32\Access.dat [2010/07/27 09:33:21 | 000,000,041 | ---- | C] () -- C:\windows\DAVILEX.INI [2010/07/15 18:23:43 | 000,000,034 | ---- | C] () -- C:\windows\cdplayer.ini [2010/06/13 00:57:13 | 000,000,036 | ---- | C] () -- C:\Users\antonology\AppData\Local\housecall.guid.cache [2010/06/09 15:56:27 | 000,000,056 | -H-- | C] () -- C:\windows\System32\ezsidmv.dat [2010/05/02 22:22:41 | 000,000,320 | ---- | C] () -- C:\windows\WinSchach.ini [2010/04/25 18:40:38 | 000,000,000 | ---- | C] () -- C:\Users\antonology\AppData\Roaming\wklnhst.dat [2010/04/24 20:23:06 | 000,007,168 | ---- | C] () -- C:\windows\System32\drivers\StarOpen.sys [2010/04/21 20:16:06 | 000,038,703 | ---- | C] () -- C:\windows\Ascd_tmp.ini [2009/11/11 02:02:27 | 000,219,136 | ---- | C] () -- C:\windows\System32\AsusService.exe [2009/11/11 02:02:27 | 000,021,864 | ---- | C] () -- C:\windows\AsAcpiSvrLang.ini [2009/11/11 02:00:14 | 000,013,931 | ---- | C] () -- C:\windows\System32\RaCoInst.dat [2009/11/11 01:49:39 | 000,131,368 | ---- | C] () -- C:\ProgramData\FullRemove.exe [2009/11/11 01:42:59 | 000,011,448 | ---- | C] () -- C:\windows\System32\drivers\AsUpIO.sys [2009/11/11 01:42:49 | 000,001,769 | ---- | C] () -- C:\windows\Language_trs.ini [2009/07/26 03:28:45 | 000,646,482 | ---- | C] () -- C:\windows\System32\perfh007.dat [2009/07/26 03:28:45 | 000,295,922 | ---- | C] () -- C:\windows\System32\perfi007.dat [2009/07/26 03:28:45 | 000,127,608 | ---- | C] () -- C:\windows\System32\perfc007.dat [2009/07/26 03:28:45 | 000,038,104 | ---- | C] () -- C:\windows\System32\perfd007.dat [2009/07/14 06:57:37 | 000,067,584 | --S- | C] () -- C:\windows\bootstat.dat [2009/07/14 06:33:53 | 000,369,472 | ---- | C] () -- C:\windows\System32\FNTCACHE.DAT [2009/07/14 04:05:48 | 000,609,806 | ---- | C] () -- C:\windows\System32\perfh009.dat [2009/07/14 04:05:48 | 000,291,294 | ---- | C] () -- C:\windows\System32\perfi009.dat [2009/07/14 04:05:48 | 000,104,782 | ---- | C] () -- C:\windows\System32\perfc009.dat [2009/07/14 04:05:48 | 000,031,548 | ---- | C] () -- C:\windows\System32\perfd009.dat [2009/07/14 04:05:05 | 000,000,741 | ---- | C] () -- C:\windows\System32\NOISE.DAT [2009/07/14 04:04:11 | 000,215,943 | ---- | C] () -- C:\windows\System32\dssec.dat [2009/07/14 01:55:01 | 000,043,131 | ---- | C] () -- C:\windows\mib.bin [2009/07/14 01:51:43 | 000,073,728 | ---- | C] () -- C:\windows\System32\BthpanContextHandler.dll [2009/07/14 01:42:10 | 000,064,000 | ---- | C] () -- C:\windows\System32\BWContextHandler.dll [2009/06/10 23:26:10 | 000,673,088 | ---- | C] () -- C:\windows\System32\mlang.dat [2009/04/02 14:30:14 | 000,010,296 | ---- | C] () -- C:\windows\System32\drivers\ASUSHWIO.SYS ========== LOP Check ========== [2011/03/29 16:23:50 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Abra Academy [2011/04/03 16:13:05 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Archibald's Adventures [2010/04/25 19:11:41 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Asus [2010/12/07 20:55:12 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Babylon [2010/12/07 11:19:53 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\BitTorrent [2010/06/05 18:16:33 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Canneverbe Limited [2010/05/15 18:32:12 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\ChessBase [2010/04/30 10:13:20 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\DAEMON Tools Lite [2011/03/01 21:19:11 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Dropbox [2011/04/02 22:08:39 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\DVDVideoSoftIEHelpers [2010/09/14 23:05:55 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Free Download Manager [2011/02/05 13:54:03 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\GetRightToGo [2010/08/09 22:47:14 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\GSplit [2011/03/22 12:08:48 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\gtk-2.0 [2011/04/18 11:04:40 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\ICQ [2010/12/06 22:33:03 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\iWin [2010/06/10 11:57:54 | 000,000,000 | -HSD | M] -- C:\Users\antonology\AppData\Roaming\lowsec [2010/09/30 17:25:34 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\LucasArts [2010/08/06 18:35:25 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Nokia [2010/09/15 10:11:58 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\OpenCandy [2010/04/30 13:29:12 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\OpenOffice.org [2010/08/06 18:35:31 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\PC Suite [2010/06/10 18:16:22 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Simply Super Software [2010/04/26 14:57:57 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Template [2010/11/27 22:02:17 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Tunngle [2010/07/23 14:05:27 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Uniblue [2011/04/22 08:49:27 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 159 bytes -> C:\ProgramData\TEMP:5BC73C48 @Alternate Data Stream - 150 bytes -> C:\ProgramData\TEMP:AB689DEA @Alternate Data Stream - 143 bytes -> C:\ProgramData\TEMP:9F38BF31 @Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:706B1D1A @Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:D1B5B4F1 < End of report > Geändert von antonology (22.04.2011 um 08:21 Uhr) |
22.04.2011, 08:22 | #7 |
| DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner und hier 2.) Extras.txtOTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 4/22/2011 8:59:43 AM - Run 1 OTL by OldTimer - Version 3.2.22.3 Folder = C:\Users\antonology\Desktop Starter Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,014.00 Mb Total Physical Memory | 286.00 Mb Available Physical Memory | 28.00% Memory free 3.00 Gb Paging File | 2.00 Gb Available in Paging File | 75.00% Paging File free Paging file location(s): d:\pagefile.sys 2000 2000 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files Drive C: | 80.00 Gb Total Space | 46.27 Gb Free Space | 57.84% Space Free | Partition Type: NTFS Drive D: | 59.03 Gb Total Space | 0.76 Gb Free Space | 1.29% Space Free | Partition Type: NTFS Computer Name: ANTONOLOGY_HQ | User Name: antonology | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- C:\windows\System32\control.exe (Microsoft Corporation) .hlp [@ = hlpfile] -- C:\windows\winhlp32.exe (Microsoft Corporation) .html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation) exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation) htmlfile [edit] -- Reg Error: Key error. htmlfile [open] -- Reg Error: Key error. htmlfile [opennew] -- Reg Error: Key error. htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1" http [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) https [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [Winamp.Bookmark] -- "C:\Program Files\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.) Directory [Winamp.Enqueue] -- "C:\Program Files\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.) Directory [Winamp.Play] -- "C:\Program Files\Winamp\winamp.exe" "%1" (Nullsoft, Inc.) Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Applications\iexplore.exe [open] -- Reg Error: Key error. CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- Reg Error: Key error. ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "cval" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] "VistaSp1" = Reg Error: Unknown registry data type -- File not found "AntiVirusOverride" = 0 "AntiSpywareOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol] ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 "DisableUnicastResponsesToMulticastBroadcast" = 0 "DefaultOutboundAction" = 0 "DefaultInboundAction" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 "DefaultOutboundAction" = 0 "DefaultInboundAction" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 "DefaultOutboundAction" = 0 "DefaultInboundAction" = 0 ========== Authorized Applications List ========== ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer "{192A107E-C6B9-41B9-BDBF-38E3AA226054}" = OpenOffice.org 3.2 "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions "{2624B969-7135-4EB1-B0F6-2D8C397B45F7}_is1" = Media Player Classic - Home Cinema v. 1.3.1249.0 "{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18 "{28006915-2739-4EBE-B5E8-49B25D32EB33}" = Atheros Client Installation Program "{287ECFA4-719A-2143-A09B-D6A12DE54E40}" = Acrobat.com "{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver "{3898934B-05AE-41CD-96BE-70DA9BFBCE1F}" = Microsoft XNA Framework Redistributable 3.0 "{491DFBAA-77EF-4B06-8676-2FC66EEE049A}" = LogMeIn Hamachi "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{4CBABDFD-49F8-47FD-BE7D-ECDE7270525A}" = Windows Live PIMT Platform "{4F4182DA-3D58-41E3-913D-480F8DA5C863}" = Fritz 12 "{587178E7-B1DF-494E-9838-FA4DD36E873C}" = ASUSUpdate for Eee PC "{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053 "{5F64E152-51C1-47B4-BEA8-007D73C7460F}" = Cisco AnyConnect VPN Client "{61AD15B2-50DB-4686-A739-14FE180D4429}" = Windows Live ID Sign-in Assistant "{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE "{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin "{6C44DEFF-8638-49A4-B748-CA59B43F3265}" = Fritz 12 "{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2 "{71C0E38E-09F2-4386-9977-404D4F6640CD}" = Hotkey Service "{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{84C2B80B-64A2-4B22-93EC-F30C3D6BF7D8}" = Boingo Wi-Fi "{873E4648-6F6E-47F6-A7B2-A6F8DFABDCE6}" = Windows Live Messenger "{88F08F98-12BC-4613-81A2-8F9B88CFC73E}" = Super Hybrid Engine "{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT "{8FC4F1DD-F7FD-4766-804D-3C8FF1D309B0}" = Ralink RT2860 Wireless LAN Card "{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager "{9509674F-3972-11DE-806D-005056806466}" = Google Earth "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{9E48FF52-082C-4CC2-BB67-6E10D09C0431}" = Windows Live UX Platform Language Pack "{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR "{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}" = Windows Live Photo Common "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.4.3 MUI "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy "{C2AB7DC4-489E-4BE9-887A-52262FBADBE0}" = Windows Live Photo Common "{C9EAEE6B-741F-421D-B9CE-9FA300DA92AD}_is1" = Super Mario Bros. X version 1.3 "{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform "{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform "{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10 "{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1 "{EB4DF488-AAEF-406F-A341-CB2AAA315B90}" = Windows Live Messenger "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F58C1D44-4AC9-48E8-9049-7A6CDFCB415C}" = LocaleMe "{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials "7-Zip" = 7-Zip 9.20 "Adobe AIR" = Adobe AIR "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "ASUS VIBE" = ASUS VIBE "Audiograbber" = Audiograbber 1.83 SE "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "B41C7C96D83162A676DA7365ADEFD6C1AF62A4EE" = Windows Driver Package - Broadcom Bluetooth (07/17/2009 6.2.0.9403) "B5C82F3814F82FB37F1513B3185399BD88892B08" = Windows Driver Package - Broadcom Bluetooth (07/29/2009 6.1.7100.0) "Babylon" = Babylon "Baldur's Gate" = Baldur's Gate "BF20603967CFDCB2BBF91950E8A56DFBC5C833FE" = Windows Driver Package - Broadcom HIDClass (07/28/2009 6.2.0.9800) "BFGC" = Big Fish Games Client "BitTorrent" = BitTorrent "Catan - Staedte und Ritter" = Catan - Städte und Ritter "CBLight 2009" = CBLight 2009 "CCleaner" = CCleaner "DivX Setup.divx.com" = DivX-Setup "Eee Docking_is1" = Eee Docking 3.3.0 "Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4.7 "Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.9.35.324 "Grand Theft Auto" = Grand Theft Auto "HDMI" = Intel(R) Graphics Media Accelerator Driver "JDownloader" = JDownloader "Jewel Quest III" = Jewel Quest III (nur deinstallation) "Jewel Quest: Heritage" = Jewel Quest: Heritage (nur deinstallation) "LogMeIn Hamachi" = LogMeIn Hamachi "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Mozilla Firefox 4.0 (x86 en-US)" = Mozilla Firefox 4.0 (x86 en-US) "MP4 Media Player_is1" = MP4 Media Player 1.0 "RPG Maker 2000 Yu-Gi-Oh!-Das Spiel des Schattens" = RPG Maker 2000 - Untitled "SystemSetting_is1" = SystemSetting "Uninstall_is1" = Uninstall 1.0.0.1 "VLC media player" = VLC media player 1.1.7 "Winamp" = Winamp "WinGimp-2.0_is1" = GIMP 2.6.7 "WinLiveSuite" = Windows Live Essentials "WinRAR archiver" = WinRAR "Yahoo! Messenger" = Yahoo! Messenger ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Dropbox" = Dropbox "Leela lite 0.3.16" = Leela lite - the Go Program ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 3/30/2011 6:00:39 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815 Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3. Der Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs im assemblyIdentity-Element ist ungültig. Error - 3/30/2011 6:03:37 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815 Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\Spybot\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files\Spybot\DelZip179.dll" in Zeile 8. Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig. Error - 4/2/2011 6:20:56 PM | Computer Name = antonology_hq | Source = Application Error | ID = 1000 Description = Name der fehlerhaften Anwendung: JewelQuestHeritage.exe, Version: 1.0.0.9, Zeitstempel: 0x4b1f575e Name des fehlerhaften Moduls: JewelQuestHeritage.exe, Version: 1.0.0.9, Zeitstempel: 0x4b1f575e Ausnahmecode: 0xc0000005 Fehleroffset: 0x000d4c8b ID des fehlerhaften Prozesses: 0x9ac Startzeit der fehlerhaften Anwendung: 0x01cbf181710e5fcb Pfad der fehlerhaften Anwendung: d:\Program Files\Jewel Quest IV\JewelQuestHeritage.exe Pfad des fehlerhaften Moduls: d:\Program Files\Jewel Quest IV\JewelQuestHeritage.exe Berichtskennung: 79fdc2aa-5d77-11e0-b548-e0cb4e3956d5 Error - 4/3/2011 4:46:27 AM | Computer Name = antonology_hq | Source = Application Error | ID = 1000 Description = Name der fehlerhaften Anwendung: JewelQuestHeritage.exe, Version: 1.0.0.9, Zeitstempel: 0x4b1f575e Name des fehlerhaften Moduls: JewelQuestHeritage.exe, Version: 1.0.0.9, Zeitstempel: 0x4b1f575e Ausnahmecode: 0xc0000005 Fehleroffset: 0x000d4c8b ID des fehlerhaften Prozesses: 0x504 Startzeit der fehlerhaften Anwendung: 0x01cbf1d81a154122 Pfad der fehlerhaften Anwendung: D:\Program Files\Jewel Quest IV\JewelQuestHeritage.exe Pfad des fehlerhaften Moduls: D:\Program Files\Jewel Quest IV\JewelQuestHeritage.exe Berichtskennung: dc3eb9c1-5dce-11e0-ae0a-e0cb4e3956d5 Error - 4/3/2011 9:58:52 AM | Computer Name = antonology_hq | Source = Application Hang | ID = 1002 Description = Programm DTLite.exe, Version 4.35.6.91 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: b98 Startzeit: 01cbf205e4e92e6e Endzeit: 60000 Anwendungspfad: C:\Program Files\DAEMON Tools Lite\DTLite.exe Berichts-ID: 52e70805-5dfa-11e0-ae0a-e0cb4e3956d5 Error - 4/3/2011 1:57:11 PM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815 Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3. Der Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs im assemblyIdentity-Element ist ungültig. Error - 4/4/2011 7:52:48 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815 Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3. Der Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs im assemblyIdentity-Element ist ungültig. Error - 4/4/2011 7:55:18 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815 Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\Spybot\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files\Spybot\DelZip179.dll" in Zeile 8. Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig. Error - 4/5/2011 9:19:13 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815 Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3. Der Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs im assemblyIdentity-Element ist ungültig. Error - 4/5/2011 9:21:46 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815 Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\Spybot\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files\Spybot\DelZip179.dll" in Zeile 8. Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig. [ System Events ] Error - 4/22/2011 2:57:47 AM | Computer Name = antonology_hq | Source = bowser | ID = 8003 Description = Error - 4/22/2011 2:59:53 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012 Description = Fehler beim Lesen der Datei für lokale Hosts. Error - 4/22/2011 3:00:00 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012 Description = Fehler beim Lesen der Datei für lokale Hosts. Error - 4/22/2011 3:00:01 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012 Description = Fehler beim Lesen der Datei für lokale Hosts. Error - 4/22/2011 3:00:01 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012 Description = Fehler beim Lesen der Datei für lokale Hosts. Error - 4/22/2011 3:00:05 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012 Description = Fehler beim Lesen der Datei für lokale Hosts. Error - 4/22/2011 3:00:06 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012 Description = Fehler beim Lesen der Datei für lokale Hosts. Error - 4/22/2011 3:00:10 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012 Description = Fehler beim Lesen der Datei für lokale Hosts. Error - 4/22/2011 3:00:12 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012 Description = Fehler beim Lesen der Datei für lokale Hosts. Error - 4/22/2011 3:00:14 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012 Description = Fehler beim Lesen der Datei für lokale Hosts. < End of report > |
22.04.2011, 12:21 | #8 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor TrojanerZitat:
Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________ Logfiles bitte immer in CODE-Tags posten |
22.04.2011, 13:43 | #9 |
| DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner achso...vollständig? Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes Datenbank Version: 6417 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 22.04.2011 14:22:40 mbam-log-2011-04-22 (14-22-40).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 262409 Laufzeit: 47 Minute(n), 31 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
22.04.2011, 13:56 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL [2011/04/20 10:54:47 | 000,000,000 | -HSD | C] -- C:\found.000 @Alternate Data Stream - 159 bytes -> C:\ProgramData\TEMP:5BC73C48 @Alternate Data Stream - 150 bytes -> C:\ProgramData\TEMP:AB689DEA @Alternate Data Stream - 143 bytes -> C:\ProgramData\TEMP:9F38BF31 @Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:706B1D1A @Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:D1B5B4F1 :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ Logfiles bitte immer in CODE-Tags posten |
22.04.2011, 23:23 | #11 |
| DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner leider hab ich nach dem fix immer noch einen bluescreen gehabt,.. derselbe mit dem internal_power_error achja, noch etwas ist mir eingefallen. die bluescreens mit den beiden fehlermeldungen internal_power_error & driver_irq_less_no_or_equal habe ich bekommen nachdem rkill.com zur beseitigung von antimalware-doctor runtergeladen und ausgefuehrt habe. das ist der log von otl All processes killed ========== OTL ========== C:\found.000\dir0000.chk folder moved successfully. C:\found.000 folder moved successfully. ADS C:\ProgramData\TEMP:5BC73C48 deleted successfully. ADS C:\ProgramData\TEMP:AB689DEA deleted successfully. ADS C:\ProgramData\TEMP:9F38BF31 deleted successfully. ADS C:\ProgramData\TEMP:706B1D1A deleted successfully. ADS C:\ProgramData\TEMP1B5B4F1 deleted successfully. ========== COMMANDS ========== HOSTS file reset successfully [EMPTYTEMP] User: All Users User: antonology ->Temp folder emptied: 8784154 bytes ->Temporary Internet Files folder emptied: 368960 bytes ->Java cache emptied: 10036 bytes ->FireFox cache emptied: 64674624 bytes ->Flash cache emptied: 6763 bytes User: Default ->Temp folder emptied: 121064 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 321 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 632449 bytes RecycleBin emptied: 2079591893 bytes Total Files Cleaned = 2,054.00 mb OTL by OldTimer - Version 3.2.22.3 log created on 04232011_001509 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
23.04.2011, 08:30 | #12 | |
| DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner das ist der windows-log, der bei mir nach meinem systemcrash mit dem bluescreen INTERNAL_POWER_ERROR auf demdesktop erscheint. Problemsignatur: Problemereignisname: BlueScreen Betriebsystemversion: 6.1.7600.2.0.0.768.11 Gebietsschema-ID: 1031 Zusatzinformationen zum Problem: BCCode: a0 BCP1: 00000001 BCP2: 00000006 BCP3: 852DCC70 BCP4: 00000000 OS Version: 6_1_7600 Service Pack: 0_0 Product: 768_1 Dateien, die bei der Beschreibung des Problems hilfreich sind: C:\Windows\Minidump\042311-40466-01.dmp C:\Users\antonology\AppData\Local\Temp\WER-65941-0.sysdata.xml Lesen Sie unsere Datenschutzbestimmungen online: hxxp://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0407 Wenn die Onlinedatenschutzbestimmungen nicht verfügbar sind, lesen Sie unsere Datenschutzbestimmungen offline: C:\windows\system32\de-DE\erofflps.txt ---------------------------------------------------------------- in einem anderen forum wird geraten die powercfg /hibernate /size <size% von size 75 auf size100 zu verändern, allerdings weiss ich nicht wie und auch nicht was es bedeutet. hier noch ein sample vom bluescreen Zitat:
|
23.04.2011, 15:37 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ Logfiles bitte immer in CODE-Tags posten |
24.04.2011, 12:03 | #14 |
| DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner Also auf meinen eigenen dateien kann ich noch zugreifen...eigentlich kann ich auf alles zugreifen. auf etwas bestimmtes vielleicht? und leider funzt das tool tdsskiller nicht. auch wenn ichs als admin ausführe gibts nach 80% initialisierung eine fehlermeldung und erbrichts ab. obwohl ich alles im hintergrund gestoppt habe |
25.04.2011, 06:27 | #15 |
| DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner unhide.exe ausgeführt. hier ist das sichtbar gewordene log 2011/04/24 12:54:24.0899 3224 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28 2011/04/24 12:54:26.0302 3224 ================================================================================ 2011/04/24 12:54:26.0302 3224 SystemInfo: 2011/04/24 12:54:26.0302 3224 2011/04/24 12:54:26.0302 3224 OS Version: 6.1.7600 ServicePack: 0.0 2011/04/24 12:54:26.0302 3224 Product type: Workstation 2011/04/24 12:54:26.0303 3224 ComputerName: ANTONOLOGY_HQ 2011/04/24 12:54:26.0303 3224 UserName: antonology 2011/04/24 12:54:26.0303 3224 Windows directory: C:\windows 2011/04/24 12:54:26.0303 3224 System windows directory: C:\windows 2011/04/24 12:54:26.0303 3224 Processor architecture: Intel x86 2011/04/24 12:54:26.0303 3224 Number of processors: 2 2011/04/24 12:54:26.0303 3224 Page size: 0x1000 2011/04/24 12:54:26.0304 3224 Boot type: Normal boot 2011/04/24 12:54:26.0304 3224 ================================================================================ 2011/04/24 12:54:33.0917 3224 !crdlk |
Themen zu DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner |
antimalware doctor, antivir, antivir guard, auslastung, avg, avira, babylon, bho, bluescreen, cdburnerxp, converter, desktop, down, driver_irq_not_less_or_equal, equal, excel, firefox, hijack, hijackthis, hilfreich, hkus\s-1-5-18, hängen, iastor.sys, internet, internet explorer, monitor, mozilla, mp3, plug-in, safer networking, security, software, system, trojane, trojaner, windows, windows 7 starter, xp.crack.gen |