Trojaner-Board - DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner (https://www.trojaner-board.de/97847-driver_irq_not_less_or_equal-iastor-sys-xp-crack-gen-antimalware-doctor-trojaner.html)

DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner

EePC - 1005P
Win7 Starter
1024 Ram
Atom 1,6Ghz

Hallo liebe Community,

ich bin zum ersten Mal in der Not hier etwas zu posten.
Allerdings, habe ich schon von einigen anderen problemen anderer user "profitiert" und suche, eure seite nicht zum ersten mal auf.

Es fing vor drei Tagen an - da bekam ich den Antimalware-Doctor auf den PC. Auf eurer Seite wurde vorgeschlagen ihn mit mbam zu beseitigen - gesagt getan! Danach war mein Rechner aber extrem verlangsamt, also habe ich auch auf euren Ratschlag (alles aus einem therad eines anderen useres) hin manuell die enemies-names.txt und die schuldige .exe gesucht gefunden und gelöscht.

Seither geht mein rechner wieder flüssig. Aber ein problem, das gleichzeitg aufgetaucht ist, als ich den Trojaner bekam war, dass ich beim Shutdown stets einen bluescreen bekommen mit der meldung

Zitat:

DRIVER_IRQ_NOT_LESS_OR_EQUAL

mit drei zahlen a la 0000001203, 01000000038, 00000000123 (könnten die genauen zahlen hilfreich sein?

und dem hinweis, dass es an der iastor.sys liegt.

FRAGE: Kann es sein, dass mbam die iastor.sys in quarantäne steckte und ich diese leider gelöscht habe? - Weil ich die Daten aus der Quarantäne immer schnell manuell lösche :(

Nun taucht dieser bluescreen leider manchmal auch spontan auf. Wenn ich zB sofort nach dem startup einen sammelordner öffnen will. Dadurch hab ich den verdacht, dass es mit der Auslastung meines PCs zusammenhängen kann.

Doch grade vor ner stunde meldete mir Antivir, dass der XP.Crack.Gen sich auf meinem system befindet - das letzte mal, als es passierte, habe ich es mit einer systemwiederherstellung beheben können.
Doch bei meiner heutigen recherche las ich hier aus einem artikel von 2008, dass ich auch alle ausführbaren dateien (exe,setup) sofort löschen sollte.
Stimmt das?

Ich bin gerade dabei AVZ durchlaufen zu lassen.
Und hier HIJACKTHIS log

vielen Dank für eure Aufmerksamkeit.

Anton

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:52:24, on 21.04.2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\windows\system32\taskhost.exe
C:\windows\system32\Dwm.exe
C:\windows\Explorer.EXE
D:\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Java\jre6\bin\javaw.exe
C:\Users\antonology\Desktop\avz4\avz.exe
D:\Dokumente\unentpackte software\HiJackThis204.exe
C:\windows\system32\SearchFilterHost.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: ASUS Windows 7 Starter Helper - {D381FF29-7CFB-4D4E-B92A-C4EDDC696614} - C:\Program Files\asus\SystemSetting\StarterHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [0ESKOMO9JO] C:\windows\TEMP\Nwy.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [0ESKOMO9JO] C:\windows\TEMP\Nwy.exe (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\antonology\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{807E25DA-A2F7-4B6D-B940-5BD56A1653F5}: NameServer = 91.188.60.223,8.8.8.8
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Asus Launcher Service (AsusService) - Unknown owner - C:\Windows\System32\AsusService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\Hamachi\hamachi-2.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot\SDWinSec.exe
O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe

--
End of file - 4608 bytes

Poste bitte alle Logs von sämtlichen Scannern mit allen relevanten Funden!

In Zukunft keine Hijackthis-Logs mehr posten, das Tool ist mittlerweile zu fast nichts mehr zu gebrauchen!

Sorry Arne,

habs selbst gerade erst gelesen, dass hijackthis nicht mehr gebraucht wird.

danke für die rasche antwort.
ich hab gerade gemerkt dass mein avz scan nicht eurer anleitung entsprach

Zitat:

http://www.trojaner-board.de/79118-a...l-toolkit.html

ich habs auch nicht geupdated gehabt. aber morgen mache ichs richtig.

trotzdem poste ich den avz log... und morgen den richtigen.

--------------------------------------------------

Tja. nach mehrmaligen versuchen scheiterte ich bei anhänge verwalten mit folgender fehlermeldung:
The connection was reset
ich probiers morgen einfach gleich mit den richtigen logs

AVZ will ich auch nicht sehen.
Eher Logs von Malwarebytes und OTL.

Okay, hier ist der Report nach Da Gurus anleitung von mbam.

ich poste auch gleich den report von OTL hinterher, weil ich echt schockiert war über die enorme anzahl von 17 infizierungen.

Ach ja, etwsa ist mir noch bewusst geworden ... auch beim herunterfahren kommt statt der DRIVER_IRQ_NOT_LESS_OR_EQUAL meldung folgendes: INTERNAL_POWER_ERROR.
ebenfalls ein bluescreen mit einigen zahlen mit dabei...
aber hier mal der mbam report

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6417

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

22.04.2011 08:45:51
mbam-log-2011-04-22 (08-45-51).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 146477
Laufzeit: 5 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 4
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
c:\Windows\Temp\Nwx.exe (Trojan.Downloader) -> 2804 -> Unloaded process successfully.
c:\Windows\Temp\Nwy.exe (Trojan.Downloader) -> 2944 -> Unloaded process successfully.
c:\Windows\Temp\Nwz.exe (Trojan.Downloader) -> 1612 -> Unloaded process successfully.
c:\Windows\Temp\Nwz.exe (Trojan.Downloader) -> 3916 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\0ESKOMO9JO (Trojan.Downloader) -> Value: 0ESKOMO9JO -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\program files\relevantknowledge (Spyware.MarketScore) -> Delete on reboot.

Infizierte Dateien:
c:\Windows\Temp\Nwx.exe (Trojan.Downloader) -> Delete on reboot.
c:\Windows\Temp\Nwy.exe (Trojan.Downloader) -> Delete on reboot.
c:\Windows\Temp\Nwz.exe (Trojan.Downloader) -> Delete on reboot.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Delete on reboot.
c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\program files\relevantknowledge\MSVCP71.DLL (Spyware.MarketScore) -> Quarantined and deleted successfully.
c:\program files\relevantknowledge\MSVCR71.DLL (Spyware.MarketScore) -> Quarantined and deleted successfully.

Und hier sind die beiden logfiles von otl;

1: OTL.txtOTL Logfile:

Code:

OTL logfile created on: 4/22/2011 8:59:43 AM - Run 1

OTL by OldTimer - Version 3.2.22.3     Folder = C:\Users\antonology\Desktop

 Starter Edition  (Version = 6.1.7600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.7600.16385)

Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1,014.00 Mb Total Physical Memory | 286.00 Mb Available Physical Memory | 28.00% Memory free

3.00 Gb Paging File | 2.00 Gb Available in Paging File | 75.00% Paging File free

Paging file location(s): d:\pagefile.sys 2000 2000 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files

Drive C: | 80.00 Gb Total Space | 46.27 Gb Free Space | 57.84% Space Free | Partition Type: NTFS

Drive D: | 59.03 Gb Total Space | 0.76 Gb Free Space | 1.29% Space Free | Partition Type: NTFS

 

Computer Name: ANTONOLOGY_HQ | User Name: antonology | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Users\antonology\Desktop\OTL.exe (OldTimer Tools)

PRC - D:\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

PRC - D:\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

PRC - D:\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

PRC - C:\Program Files\Hamachi\hamachi-2.exe (LogMeIn Inc.)

PRC - C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

PRC - C:\Program Files\CDBurnerXP\NMSAccessU.exe ()

PRC - D:\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)

PRC - C:\Windows\System32\AsusService.exe ()

PRC - C:\Windows\explorer.exe (Microsoft Corporation)

PRC - C:\Windows\System32\WerFault.exe (Microsoft Corporation)

PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)

PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation)

PRC - C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe (Cisco Systems, Inc.)

PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Intel Corporation)

PRC - C:\Program Files\Spybot\SDWinSec.exe (Safer Networking Ltd.)

 

 
 ========== Modules (SafeList) ==========

 

MOD - C:\Users\antonology\Desktop\OTL.exe (OldTimer Tools)

MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll (Microsoft Corporation)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (AntiVirSchedulerService) -- D:\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

SRV - (AntiVirService) -- D:\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

SRV - (Hamachi2Svc) -- C:\Program Files\Hamachi\hamachi-2.exe (LogMeIn Inc.)

SRV - (NMSAccess) -- C:\Program Files\CDBurnerXP\NMSAccessU.exe ()

SRV - (AsusService) -- C:\Windows\System32\AsusService.exe ()

SRV - (WinDefend) -- C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation)

SRV - (vpnagent) -- C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe (Cisco Systems, Inc.)

SRV - (IAANTMON) Intel(R) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Intel Corporation)

SRV - (SBSDWSCService) -- C:\Program Files\Spybot\SDWinSec.exe (Safer Networking Ltd.)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)

DRV - (sptd) -- C:\windows\System32\Drivers\sptd.sys ()

DRV - (hamachi) -- C:\Windows\System32\drivers\hamachi.sys (LogMeIn, Inc.)

DRV - (StarOpen) -- C:\windows\System32\drivers\StarOpen.sys ()

DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.)

DRV - (kbfiltr) -- C:\Windows\System32\drivers\kbfiltr.sys ( )

DRV - (RMCAST) -- C:\Windows\System32\drivers\rmcast.sys (Microsoft Corporation)

DRV - (vwifimp) -- C:\Windows\System32\drivers\vwifimp.sys (Microsoft Corporation)

DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)

DRV - (L1C) NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20) -- C:\Windows\System32\drivers\L1C62x86.sys (Atheros Communications, Inc.)

DRV - (AsUpIO) -- C:\Windows\System32\drivers\AsUpIO.sys ()

DRV - (btusbflt) -- C:\Windows\System32\drivers\btusbflt.sys (Broadcom Corporation.)

DRV - (vpnva) -- C:\Windows\System32\drivers\vpnva.sys (Cisco Systems, Inc.)

DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://eeepc.asus.com [binary data]

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://eeepc.asus.com [binary data]

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.update: false

FF - prefs.js..browser.search.useDBForOrder: true

FF - prefs.js..browser.startup.homepage: "www.ixquick.de"

FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1

 

FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/04/16 10:11:43 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/04/16 10:11:37 | 000,000,000 | ---D | M]

 

[2010/04/25 14:26:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\antonology\AppData\Roaming\mozilla\Extensions

[2011/04/03 08:29:30 | 000,000,000 | ---D | M] (No name found) -- C:\Users\antonology\AppData\Roaming\mozilla\Firefox\Profiles\p541g0qh.default\extensions

[2011/04/20 11:14:53 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Users\antonology\AppData\Roaming\mozilla\Firefox\Profiles\p541g0qh.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}

[2011/04/02 22:08:42 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\antonology\AppData\Roaming\mozilla\Firefox\Profiles\p541g0qh.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}

[2010/05/12 17:40:48 | 000,001,042 | ---- | M] () -- C:\Users\antonology\AppData\Roaming\Mozilla\Firefox\Profiles\p541g0qh.default\searchplugins\icqplugin.xml

[2010/05/08 13:09:02 | 000,001,595 | ---- | M] () -- C:\Users\antonology\AppData\Roaming\Mozilla\Firefox\Profiles\p541g0qh.default\searchplugins\ixquick---deutsch.xml

[2011/04/16 10:11:42 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\mozilla firefox\extensions

File not found (No name found) -- 

[2011/03/18 19:53:24 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll

[2010/01/01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml

 

Hosts file not found

O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)

O2 - BHO: (ASUS Windows 7 Starter Helper) - {D381FF29-7CFB-4D4E-B92A-C4EDDC696614} - C:\Program Files\asus\SystemSetting\StarterHelper.dll (ASUSTeK Computer Inc.)

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.

O4 - HKLM..\Run: [avgnt] D:\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\antonology\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()

O8 - Extra context menu item: Translate this web page with Babylon - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)

O8 - Extra context menu item: Translate with Babylon - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)

O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)

O9 - Extra 'Tools' menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)

O13 - gopher Prefix: missing

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)

O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)

O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found

O20 - HKCU Winlogon: Shell - (Explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

O30 - LSA: Authentication Packages - (efccbx.dll) -  File not found

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009/06/10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2011/04/22 08:52:14 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Users\antonology\Desktop\OTL.exe

[2011/04/22 08:27:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware

[2011/04/22 08:27:34 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbamswissarmy.sys

[2011/04/22 08:27:28 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbam.sys

[2011/04/22 08:18:24 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip

[2011/04/22 08:18:22 | 000,000,000 | ---D | C] -- C:\Program Files\7-Zip

[2011/04/21 19:05:47 | 000,000,000 | ---D | C] -- C:\avz

[2011/04/20 15:16:04 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Yahoo!

[2011/04/20 15:10:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Yahoo! Messenger

[2011/04/20 15:10:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Yahoo!

[2011/04/20 10:58:41 | 000,000,000 | ---D | C] -- C:\Users\antonology\Desktop\Super RMN Bros2

[2011/04/20 10:54:47 | 000,000,000 | -HSD | C] -- C:\found.000

[2011/04/19 12:38:16 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Intel Corporation

[2011/04/19 12:34:00 | 000,000,000 | R--D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel

[2011/04/19 10:06:29 | 000,000,000 | ---D | C] -- C:\Users\antonology\Desktop\BG2 Patches und updates

[2011/04/19 09:50:25 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools

[2011/04/18 18:43:37 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Malwarebytes

[2011/04/18 18:42:56 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes

[2011/04/18 18:42:55 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware

[2011/04/18 10:50:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ICQ7.4

[2011/04/18 10:23:00 | 000,000,000 | ---D | C] -- C:\Program Files\ICQ7.4

[2011/04/17 19:11:07 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\ICQ

[2011/04/16 11:15:44 | 008,392,346 | ---- | C] (BioWare Corp.) -- C:\Users\antonology\Desktop\BGII-ThroneofBhaal_Patch_26498_ENGLISH.exe

[2011/04/08 16:47:07 | 000,000,000 | -HSD | C] -- C:\Config.Msi

[2011/04/07 21:34:25 | 000,000,000 | ---D | C] -- C:\Users\antonology\Desktop\superrmbbros

[2011/04/07 21:28:06 | 000,000,000 | ---D | C] -- C:\Users\antonology\Desktop\Lettres de Motivation

[2011/04/05 20:13:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hamachi

[2011/04/05 20:13:17 | 000,000,000 | ---D | C] -- C:\Program Files\Hamachi

[2011/04/05 19:08:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Baldur's Gate

[2011/04/05 18:55:57 | 000,306,688 | ---- | C] (InstallShield Software Corporation) -- C:\windows\IsUninst.exe

[2011/04/04 19:32:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Xenocide

[2011/04/04 19:29:37 | 000,000,000 | ---D | C] -- C:\windows\System32\directx

[2011/04/04 19:29:17 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft XNA

[2011/04/03 16:08:09 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Archibald's Adventures

[2011/04/03 16:08:00 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Archibald Crazy Adventures

[2011/04/03 00:00:45 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Jewel Quest IV

[2011/04/02 22:07:42 | 000,000,000 | ---D | C] -- C:\Program Files\DVDVideoSoft

[2011/04/02 22:07:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft

[2011/04/02 22:06:50 | 000,000,000 | ---D | C] -- C:\Program Files\YT to mp3

[2011/04/01 19:14:34 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\iWin

[2011/04/01 19:12:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Jewel Quest III

[2011/03/29 16:23:50 | 000,000,000 | ---D | C] -- C:\Users\antonology\AppData\Roaming\Abra Academy

[2011/03/29 16:22:16 | 000,000,000 | ---D | C] -- C:\ProgramData\BigFishGamesCache

[2011/03/29 16:22:04 | 000,000,000 | ---D | C] -- C:\Program Files\bfgclient

[2011/03/29 16:21:32 | 000,000,000 | ---D | C] -- C:\BigFishGamesCache

[2011/03/27 21:03:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Catan

[2009/10/06 15:08:27 | 000,013,880 | ---- | C] ( ) -- C:\windows\System32\drivers\kbfiltr.sys

[1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2011/04/22 09:03:20 | 000,001,138 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-3270439410-2971256653-2768509937-1000UA.job

[2011/04/22 09:02:26 | 000,009,696 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

[2011/04/22 09:02:26 | 000,009,696 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

[2011/04/22 08:54:28 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat

[2011/04/22 08:54:22 | 146,812,160 | ---- | M] () -- C:\windows\MEMORY.DMP

[2011/04/22 08:54:19 | 797,581,312 | -HS- | M] () -- C:\hiberfil.sys

[2011/04/22 08:52:24 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\antonology\Desktop\OTL.exe

[2011/04/22 08:27:37 | 000,000,983 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk

[2011/04/21 22:30:48 | 001,110,476 | ---- | M] () -- C:\Users\antonology\Desktop\7z920.exe

[2011/04/21 19:21:30 | 000,731,136 | ---- | M] () -- C:\Users\antonology\Desktop\avenger.exe

[2011/04/21 19:20:12 | 004,325,821 | ---- | M] () -- C:\Users\antonology\Desktop\ComboFix.exe

[2011/04/21 19:05:22 | 006,175,589 | ---- | M] () -- C:\Users\antonology\Desktop\avz4.zip

[2011/04/21 19:01:05 | 000,001,086 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-3270439410-2971256653-2768509937-1000Core.job

[2011/04/21 18:43:32 | 000,137,752 | ---- | M] () -- C:\Users\antonology\Desktop\28th.jpg

[2011/04/21 14:21:54 | 000,002,634 | ---- | M] () -- C:\nuhr.m3u

[2011/04/20 13:58:15 | 000,059,194 | ---- | M] () -- C:\Users\antonology\Desktop\11_Geheimnis_eines_langen_Lebens__2.pdf

[2011/04/20 10:20:54 | 014,305,258 | ---- | M] () -- C:\Users\antonology\Desktop\Super_RMN_Bros2_ss.zip

[2011/04/16 11:20:42 | 008,392,346 | ---- | M] (BioWare Corp.) -- C:\Users\antonology\Desktop\BGII-ThroneofBhaal_Patch_26498_ENGLISH.exe

[2011/04/16 10:11:46 | 000,001,096 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk

[2011/04/08 21:28:11 | 000,646,482 | ---- | M] () -- C:\windows\System32\perfh007.dat

[2011/04/08 21:28:11 | 000,609,806 | ---- | M] () -- C:\windows\System32\perfh009.dat

[2011/04/08 21:28:11 | 000,127,608 | ---- | M] () -- C:\windows\System32\perfc007.dat

[2011/04/08 21:28:11 | 000,104,782 | ---- | M] () -- C:\windows\System32\perfc009.dat

[2011/04/03 14:36:05 | 000,137,656 | ---- | M] (Avira GmbH) -- C:\windows\System32\drivers\avipbb.sys

[2011/04/03 14:36:05 | 000,061,960 | ---- | M] (Avira GmbH) -- C:\windows\System32\drivers\avgntflt.sys

[2011/04/02 22:07:09 | 000,001,061 | ---- | M] () -- C:\Users\antonology\Desktop\YT to mp3.lnk

[2011/03/23 13:45:56 | 000,000,118 | -H-- | M] () -- C:\Users\antonology\Desktop\.~lock.Lettre de Motivation - Office de Tourisme.odt#

[1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2011/04/22 08:27:37 | 000,000,983 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk

[2011/04/22 07:17:16 | 146,812,160 | ---- | C] () -- C:\windows\MEMORY.DMP

[2011/04/21 22:30:25 | 001,110,476 | ---- | C] () -- C:\Users\antonology\Desktop\7z920.exe

[2011/04/21 19:20:51 | 000,731,136 | ---- | C] () -- C:\Users\antonology\Desktop\avenger.exe

[2011/04/21 19:16:17 | 004,325,821 | ---- | C] () -- C:\Users\antonology\Desktop\ComboFix.exe

[2011/04/21 19:01:40 | 006,175,589 | ---- | C] () -- C:\Users\antonology\Desktop\avz4.zip

[2011/04/21 18:43:31 | 000,137,752 | ---- | C] () -- C:\Users\antonology\Desktop\28th.jpg

[2011/04/20 13:58:16 | 000,059,194 | ---- | C] () -- C:\Users\antonology\Desktop\11_Geheimnis_eines_langen_Lebens__2.pdf

[2011/04/20 09:58:37 | 014,305,258 | ---- | C] () -- C:\Users\antonology\Desktop\Super_RMN_Bros2_ss.zip

[2011/04/18 21:32:48 | 000,002,634 | ---- | C] () -- C:\nuhr.m3u

[2011/04/02 22:07:09 | 000,001,061 | ---- | C] () -- C:\Users\antonology\Desktop\YT to mp3.lnk

[2011/03/23 13:45:56 | 000,000,118 | -H-- | C] () -- C:\Users\antonology\Desktop\.~lock.Lettre de Motivation - Office de Tourisme.odt#

[2011/02/20 23:53:59 | 000,080,384 | ---- | C] () -- C:\windows\gamedelete.exe

[2011/01/11 14:00:29 | 000,001,595 | ---- | C] () -- C:\windows\wininit.ini

[2010/09/14 22:09:49 | 000,000,000 | ---- | C] () -- C:\windows\System32\Access.dat

[2010/07/27 09:33:21 | 000,000,041 | ---- | C] () -- C:\windows\DAVILEX.INI

[2010/07/15 18:23:43 | 000,000,034 | ---- | C] () -- C:\windows\cdplayer.ini

[2010/06/13 00:57:13 | 000,000,036 | ---- | C] () -- C:\Users\antonology\AppData\Local\housecall.guid.cache

[2010/06/09 15:56:27 | 000,000,056 | -H-- | C] () -- C:\windows\System32\ezsidmv.dat

[2010/05/02 22:22:41 | 000,000,320 | ---- | C] () -- C:\windows\WinSchach.ini

[2010/04/25 18:40:38 | 000,000,000 | ---- | C] () -- C:\Users\antonology\AppData\Roaming\wklnhst.dat

[2010/04/24 20:23:06 | 000,007,168 | ---- | C] () -- C:\windows\System32\drivers\StarOpen.sys

[2010/04/21 20:16:06 | 000,038,703 | ---- | C] () -- C:\windows\Ascd_tmp.ini

[2009/11/11 02:02:27 | 000,219,136 | ---- | C] () -- C:\windows\System32\AsusService.exe

[2009/11/11 02:02:27 | 000,021,864 | ---- | C] () -- C:\windows\AsAcpiSvrLang.ini

[2009/11/11 02:00:14 | 000,013,931 | ---- | C] () -- C:\windows\System32\RaCoInst.dat

[2009/11/11 01:49:39 | 000,131,368 | ---- | C] () -- C:\ProgramData\FullRemove.exe

[2009/11/11 01:42:59 | 000,011,448 | ---- | C] () -- C:\windows\System32\drivers\AsUpIO.sys

[2009/11/11 01:42:49 | 000,001,769 | ---- | C] () -- C:\windows\Language_trs.ini

[2009/07/26 03:28:45 | 000,646,482 | ---- | C] () -- C:\windows\System32\perfh007.dat

[2009/07/26 03:28:45 | 000,295,922 | ---- | C] () -- C:\windows\System32\perfi007.dat

[2009/07/26 03:28:45 | 000,127,608 | ---- | C] () -- C:\windows\System32\perfc007.dat

[2009/07/26 03:28:45 | 000,038,104 | ---- | C] () -- C:\windows\System32\perfd007.dat

[2009/07/14 06:57:37 | 000,067,584 | --S- | C] () -- C:\windows\bootstat.dat

[2009/07/14 06:33:53 | 000,369,472 | ---- | C] () -- C:\windows\System32\FNTCACHE.DAT

[2009/07/14 04:05:48 | 000,609,806 | ---- | C] () -- C:\windows\System32\perfh009.dat

[2009/07/14 04:05:48 | 000,291,294 | ---- | C] () -- C:\windows\System32\perfi009.dat

[2009/07/14 04:05:48 | 000,104,782 | ---- | C] () -- C:\windows\System32\perfc009.dat

[2009/07/14 04:05:48 | 000,031,548 | ---- | C] () -- C:\windows\System32\perfd009.dat

[2009/07/14 04:05:05 | 000,000,741 | ---- | C] () -- C:\windows\System32\NOISE.DAT

[2009/07/14 04:04:11 | 000,215,943 | ---- | C] () -- C:\windows\System32\dssec.dat

[2009/07/14 01:55:01 | 000,043,131 | ---- | C] () -- C:\windows\mib.bin

[2009/07/14 01:51:43 | 000,073,728 | ---- | C] () -- C:\windows\System32\BthpanContextHandler.dll

[2009/07/14 01:42:10 | 000,064,000 | ---- | C] () -- C:\windows\System32\BWContextHandler.dll

[2009/06/10 23:26:10 | 000,673,088 | ---- | C] () -- C:\windows\System32\mlang.dat

[2009/04/02 14:30:14 | 000,010,296 | ---- | C] () -- C:\windows\System32\drivers\ASUSHWIO.SYS

 
 ========== LOP Check ==========

 

[2011/03/29 16:23:50 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Abra Academy

[2011/04/03 16:13:05 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Archibald's Adventures

[2010/04/25 19:11:41 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Asus

[2010/12/07 20:55:12 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Babylon

[2010/12/07 11:19:53 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\BitTorrent

[2010/06/05 18:16:33 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Canneverbe Limited

[2010/05/15 18:32:12 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\ChessBase

[2010/04/30 10:13:20 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\DAEMON Tools Lite

[2011/03/01 21:19:11 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Dropbox

[2011/04/02 22:08:39 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\DVDVideoSoftIEHelpers

[2010/09/14 23:05:55 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Free Download Manager

[2011/02/05 13:54:03 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\GetRightToGo

[2010/08/09 22:47:14 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\GSplit

[2011/03/22 12:08:48 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\gtk-2.0

[2011/04/18 11:04:40 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\ICQ

[2010/12/06 22:33:03 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\iWin

[2010/06/10 11:57:54 | 000,000,000 | -HSD | M] -- C:\Users\antonology\AppData\Roaming\lowsec

[2010/09/30 17:25:34 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\LucasArts

[2010/08/06 18:35:25 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Nokia

[2010/09/15 10:11:58 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\OpenCandy

[2010/04/30 13:29:12 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\OpenOffice.org

[2010/08/06 18:35:31 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\PC Suite

[2010/06/10 18:16:22 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Simply Super Software

[2010/04/26 14:57:57 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Template

[2010/11/27 22:02:17 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Tunngle

[2010/07/23 14:05:27 | 000,000,000 | ---D | M] -- C:\Users\antonology\AppData\Roaming\Uniblue

[2011/04/22 08:49:27 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

 
 ========== Purity Check ==========

 

 

 
 ========== Alternate Data Streams ==========

 

@Alternate Data Stream - 159 bytes -> C:\ProgramData\TEMP:5BC73C48

@Alternate Data Stream - 150 bytes -> C:\ProgramData\TEMP:AB689DEA

@Alternate Data Stream - 143 bytes -> C:\ProgramData\TEMP:9F38BF31

@Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:706B1D1A

@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:D1B5B4F1
 

< End of report >

--- --- ---

und hier 2.) Extras.txtOTL EXTRAS Logfile:

Code:

OTL Extras logfile created on: 4/22/2011 8:59:43 AM - Run 1

OTL by OldTimer - Version 3.2.22.3     Folder = C:\Users\antonology\Desktop

 Starter Edition  (Version = 6.1.7600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.7600.16385)

Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1,014.00 Mb Total Physical Memory | 286.00 Mb Available Physical Memory | 28.00% Memory free

3.00 Gb Paging File | 2.00 Gb Available in Paging File | 75.00% Paging File free

Paging file location(s): d:\pagefile.sys 2000 2000 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files

Drive C: | 80.00 Gb Total Space | 46.27 Gb Free Space | 57.84% Space Free | Partition Type: NTFS

Drive D: | 59.03 Gb Total Space | 0.76 Gb Free Space | 1.29% Space Free | Partition Type: NTFS

 

Computer Name: ANTONOLOGY_HQ | User Name: antonology | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.cpl [@ = cplfile] -- C:\windows\System32\control.exe (Microsoft Corporation)

.hlp [@ = hlpfile] -- C:\windows\winhlp32.exe (Microsoft Corporation)

.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

 

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]

.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)

exefile [open] -- "%1" %*

helpfile [open] -- Reg Error: Key error.

hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)

htmlfile [edit] -- Reg Error: Key error.

htmlfile [open] -- Reg Error: Key error.

htmlfile [opennew] -- Reg Error: Key error.

htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"

http [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)

https [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)

inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [Winamp.Bookmark] -- "C:\Program Files\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)

Directory [Winamp.Enqueue] -- "C:\Program Files\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)

Directory [Winamp.Play] -- "C:\Program Files\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)

Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [explore] -- Reg Error: Value error.

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Applications\iexplore.exe [open] -- Reg Error: Key error.

CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- Reg Error: Key error.

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"cval" = 1

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]

"VistaSp1" = Reg Error: Unknown registry data type -- File not found

"AntiVirusOverride" = 0

"AntiSpywareOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

"DisableNotifications" = 0

"EnableFirewall" = 1

"DisableUnicastResponsesToMulticastBroadcast" = 0

"DefaultOutboundAction" = 0

"DefaultInboundAction" = 1

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"DisableNotifications" = 0

"EnableFirewall" = 1

"DefaultOutboundAction" = 0

"DefaultInboundAction" = 1

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]

"DisableNotifications" = 0

"EnableFirewall" = 1

"DefaultOutboundAction" = 0

"DefaultInboundAction" = 0

 
 ========== Authorized Applications List ==========

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer

"{192A107E-C6B9-41B9-BDBF-38E3AA226054}" = OpenOffice.org 3.2

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions

"{2624B969-7135-4EB1-B0F6-2D8C397B45F7}_is1" = Media Player Classic - Home Cinema v. 1.3.1249.0

"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18

"{28006915-2739-4EBE-B5E8-49B25D32EB33}" = Atheros Client Installation Program

"{287ECFA4-719A-2143-A09B-D6A12DE54E40}" = Acrobat.com

"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver

"{3898934B-05AE-41CD-96BE-70DA9BFBCE1F}" = Microsoft XNA Framework Redistributable 3.0

"{491DFBAA-77EF-4B06-8676-2FC66EEE049A}" = LogMeIn Hamachi

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{4CBABDFD-49F8-47FD-BE7D-ECDE7270525A}" = Windows Live PIMT Platform

"{4F4182DA-3D58-41E3-913D-480F8DA5C863}" = Fritz 12

"{587178E7-B1DF-494E-9838-FA4DD36E873C}" = ASUSUpdate for Eee PC

"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053

"{5F64E152-51C1-47B4-BEA8-007D73C7460F}" = Cisco AnyConnect VPN Client

"{61AD15B2-50DB-4686-A739-14FE180D4429}" = Windows Live ID Sign-in Assistant

"{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE

"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin

"{6C44DEFF-8638-49A4-B748-CA59B43F3265}" = Fritz 12

"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2

"{71C0E38E-09F2-4386-9977-404D4F6640CD}" = Hotkey Service

"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP

"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable

"{84C2B80B-64A2-4B22-93EC-F30C3D6BF7D8}" = Boingo Wi-Fi

"{873E4648-6F6E-47F6-A7B2-A6F8DFABDCE6}" = Windows Live Messenger

"{88F08F98-12BC-4613-81A2-8F9B88CFC73E}" = Super Hybrid Engine

"{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT

"{8FC4F1DD-F7FD-4766-804D-3C8FF1D309B0}" = Ralink RT2860 Wireless LAN Card

"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager

"{9509674F-3972-11DE-806D-005056806466}" = Google Earth

"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting

"{9E48FF52-082C-4CC2-BB67-6E10D09C0431}" = Windows Live UX Platform Language Pack

"{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR

"{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}" = Windows Live Photo Common

"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.4.3 MUI

"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy

"{C2AB7DC4-489E-4BE9-887A-52262FBADBE0}" = Windows Live Photo Common

"{C9EAEE6B-741F-421D-B9CE-9FA300DA92AD}_is1" = Super Mario Bros. X version 1.3

"{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform

"{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform

"{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10

"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1

"{EB4DF488-AAEF-406F-A341-CB2AAA315B90}" = Windows Live Messenger

"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver

"{F58C1D44-4AC9-48E8-9049-7A6CDFCB415C}" = LocaleMe

"{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials

"7-Zip" = 7-Zip 9.20

"Adobe AIR" = Adobe AIR

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"ASUS VIBE" = ASUS VIBE

"Audiograbber" = Audiograbber 1.83 SE 

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

"B41C7C96D83162A676DA7365ADEFD6C1AF62A4EE" = Windows Driver Package - Broadcom Bluetooth  (07/17/2009 6.2.0.9403)

"B5C82F3814F82FB37F1513B3185399BD88892B08" = Windows Driver Package - Broadcom Bluetooth  (07/29/2009 6.1.7100.0)

"Babylon" = Babylon

"Baldur's Gate" = Baldur's Gate

"BF20603967CFDCB2BBF91950E8A56DFBC5C833FE" = Windows Driver Package - Broadcom HIDClass  (07/28/2009 6.2.0.9800)

"BFGC" = Big Fish Games Client

"BitTorrent" = BitTorrent

"Catan - Staedte und Ritter" = Catan - Städte und Ritter

"CBLight 2009" = CBLight 2009

"CCleaner" = CCleaner

"DivX Setup.divx.com" = DivX-Setup

"Eee Docking_is1" = Eee Docking 3.3.0

"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4.7

"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.9.35.324

"Grand Theft Auto" = Grand Theft Auto

"HDMI" = Intel(R) Graphics Media Accelerator Driver

"JDownloader" = JDownloader

"Jewel Quest III" = Jewel Quest III (nur deinstallation)

"Jewel Quest: Heritage" = Jewel Quest: Heritage (nur deinstallation)

"LogMeIn Hamachi" = LogMeIn Hamachi

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware

"Mozilla Firefox 4.0 (x86 en-US)" = Mozilla Firefox 4.0 (x86 en-US)

"MP4 Media Player_is1" = MP4 Media Player 1.0

"RPG Maker 2000  Yu-Gi-Oh!-Das Spiel des Schattens" = RPG Maker 2000 -  Untitled

"SystemSetting_is1" = SystemSetting

"Uninstall_is1" = Uninstall 1.0.0.1

"VLC media player" = VLC media player 1.1.7

"Winamp" = Winamp

"WinGimp-2.0_is1" = GIMP 2.6.7

"WinLiveSuite" = Windows Live Essentials

"WinRAR archiver" = WinRAR

"Yahoo! Messenger" = Yahoo! Messenger

 
 ========== HKEY_CURRENT_USER Uninstall List ==========

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Dropbox" = Dropbox

"Leela lite 0.3.16" = Leela lite - the Go Program

 
 ========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 3/30/2011 6:00:39 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815

Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Program Files\Common

 Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei

 "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3.

Der

 Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs

 im assemblyIdentity-Element ist ungültig.

 

Error - 3/30/2011 6:03:37 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815

Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\Spybot\DelZip179.dll".

 Fehler in Manifest- oder Richtliniendatei "c:\program files\Spybot\DelZip179.dll"

 in Zeile 8.  Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist

 ungültig.

 

Error - 4/2/2011 6:20:56 PM | Computer Name = antonology_hq | Source = Application Error | ID = 1000

Description = Name der fehlerhaften Anwendung: JewelQuestHeritage.exe, Version: 

1.0.0.9, Zeitstempel: 0x4b1f575e  Name des fehlerhaften Moduls: JewelQuestHeritage.exe,

 Version: 1.0.0.9, Zeitstempel: 0x4b1f575e  Ausnahmecode: 0xc0000005  Fehleroffset: 

0x000d4c8b  ID des fehlerhaften Prozesses: 0x9ac  Startzeit der fehlerhaften Anwendung:

 0x01cbf181710e5fcb  Pfad der fehlerhaften Anwendung: d:\Program Files\Jewel Quest

 IV\JewelQuestHeritage.exe  Pfad des fehlerhaften Moduls: d:\Program Files\Jewel Quest

 IV\JewelQuestHeritage.exe  Berichtskennung: 79fdc2aa-5d77-11e0-b548-e0cb4e3956d5

 

Error - 4/3/2011 4:46:27 AM | Computer Name = antonology_hq | Source = Application Error | ID = 1000

Description = Name der fehlerhaften Anwendung: JewelQuestHeritage.exe, Version: 

1.0.0.9, Zeitstempel: 0x4b1f575e  Name des fehlerhaften Moduls: JewelQuestHeritage.exe,

 Version: 1.0.0.9, Zeitstempel: 0x4b1f575e  Ausnahmecode: 0xc0000005  Fehleroffset: 

0x000d4c8b  ID des fehlerhaften Prozesses: 0x504  Startzeit der fehlerhaften Anwendung:

 0x01cbf1d81a154122  Pfad der fehlerhaften Anwendung: D:\Program Files\Jewel Quest

 IV\JewelQuestHeritage.exe  Pfad des fehlerhaften Moduls: D:\Program Files\Jewel Quest

 IV\JewelQuestHeritage.exe  Berichtskennung: dc3eb9c1-5dce-11e0-ae0a-e0cb4e3956d5

 

Error - 4/3/2011 9:58:52 AM | Computer Name = antonology_hq | Source = Application Hang | ID = 1002

Description = Programm DTLite.exe, Version 4.35.6.91 kann nicht mehr unter Windows

 ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,

 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: b98    Startzeit: 

01cbf205e4e92e6e    Endzeit: 60000    Anwendungspfad: C:\Program Files\DAEMON Tools Lite\DTLite.exe
 

Berichts-ID:

 52e70805-5dfa-11e0-ae0a-e0cb4e3956d5  

 

Error - 4/3/2011 1:57:11 PM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815

Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Program Files\Common

 Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei

 "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3.

Der

 Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs

 im assemblyIdentity-Element ist ungültig.

 

Error - 4/4/2011 7:52:48 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815

Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Program Files\Common

 Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei

 "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3.

Der

 Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs

 im assemblyIdentity-Element ist ungültig.

 

Error - 4/4/2011 7:55:18 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815

Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\Spybot\DelZip179.dll".

 Fehler in Manifest- oder Richtliniendatei "c:\program files\Spybot\DelZip179.dll"

 in Zeile 8.  Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist

 ungültig.

 

Error - 4/5/2011 9:19:13 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815

Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Program Files\Common

 Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei

 "c:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3.

Der

 Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs

 im assemblyIdentity-Element ist ungültig.

 

Error - 4/5/2011 9:21:46 AM | Computer Name = antonology_hq | Source = SideBySide | ID = 16842815

Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\Spybot\DelZip179.dll".

 Fehler in Manifest- oder Richtliniendatei "c:\program files\Spybot\DelZip179.dll"

 in Zeile 8.  Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist

 ungültig.

 

[ System Events ]

Error - 4/22/2011 2:57:47 AM | Computer Name = antonology_hq | Source = bowser | ID = 8003

Description = 

 

Error - 4/22/2011 2:59:53 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012

Description = Fehler beim Lesen der Datei für lokale Hosts.

 

Error - 4/22/2011 3:00:00 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012

Description = Fehler beim Lesen der Datei für lokale Hosts.

 

Error - 4/22/2011 3:00:01 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012

Description = Fehler beim Lesen der Datei für lokale Hosts.

 

Error - 4/22/2011 3:00:01 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012

Description = Fehler beim Lesen der Datei für lokale Hosts.

 

Error - 4/22/2011 3:00:05 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012

Description = Fehler beim Lesen der Datei für lokale Hosts.

 

Error - 4/22/2011 3:00:06 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012

Description = Fehler beim Lesen der Datei für lokale Hosts.

 

Error - 4/22/2011 3:00:10 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012

Description = Fehler beim Lesen der Datei für lokale Hosts.

 

Error - 4/22/2011 3:00:12 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012

Description = Fehler beim Lesen der Datei für lokale Hosts.

 

Error - 4/22/2011 3:00:14 AM | Computer Name = antonology_hq | Source = Microsoft-Windows-DNS-Client | ID = 1012

Description = Fehler beim Lesen der Datei für lokale Hosts.

 

 

< End of report >

--- --- ---

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

achso...vollständig?

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6417

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

22.04.2011 14:22:40
mbam-log-2011-04-22 (14-22-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 262409
Laufzeit: 47 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

[2011/04/20 10:54:47 | 000,000,000 | -HSD | C] -- C:\found.000

@Alternate Data Stream - 159 bytes -> C:\ProgramData\TEMP:5BC73C48

@Alternate Data Stream - 150 bytes -> C:\ProgramData\TEMP:AB689DEA

@Alternate Data Stream - 143 bytes -> C:\ProgramData\TEMP:9F38BF31

@Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:706B1D1A

@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:D1B5B4F1

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

leider hab ich nach dem fix immer noch einen bluescreen gehabt,..
derselbe mit dem internal_power_error

achja, noch etwas ist mir eingefallen. die bluescreens mit den beiden fehlermeldungen internal_power_error & driver_irq_less_no_or_equal habe ich bekommen nachdem rkill.com zur beseitigung von antimalware-doctor runtergeladen und ausgefuehrt habe.

das ist der log von otl

All processes killed
========== OTL ==========
C:\found.000\dir0000.chk folder moved successfully.
C:\found.000 folder moved successfully.
ADS C:\ProgramData\TEMP:5BC73C48 deleted successfully.
ADS C:\ProgramData\TEMP:AB689DEA deleted successfully.
ADS C:\ProgramData\TEMP:9F38BF31 deleted successfully.
ADS C:\ProgramData\TEMP:706B1D1A deleted successfully.
ADS C:\ProgramData\TEMP:D1B5B4F1 deleted successfully.
========== COMMANDS ==========
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: antonology
->Temp folder emptied: 8784154 bytes
->Temporary Internet Files folder emptied: 368960 bytes
->Java cache emptied: 10036 bytes
->FireFox cache emptied: 64674624 bytes
->Flash cache emptied: 6763 bytes

User: Default
->Temp folder emptied: 121064 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 321 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 632449 bytes
RecycleBin emptied: 2079591893 bytes

Total Files Cleaned = 2,054.00 mb

OTL by OldTimer - Version 3.2.22.3 log created on 04232011_001509

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

das ist der windows-log, der bei mir nach meinem systemcrash mit dem bluescreen INTERNAL_POWER_ERROR auf demdesktop erscheint.

Problemsignatur:
Problemereignisname: BlueScreen
Betriebsystemversion: 6.1.7600.2.0.0.768.11
Gebietsschema-ID: 1031

Zusatzinformationen zum Problem:
BCCode: a0
BCP1: 00000001
BCP2: 00000006
BCP3: 852DCC70
BCP4: 00000000
OS Version: 6_1_7600
Service Pack: 0_0
Product: 768_1

Dateien, die bei der Beschreibung des Problems hilfreich sind:
C:\Windows\Minidump\042311-40466-01.dmp
C:\Users\antonology\AppData\Local\Temp\WER-65941-0.sysdata.xml

Lesen Sie unsere Datenschutzbestimmungen online:
hxxp://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0407

Wenn die Onlinedatenschutzbestimmungen nicht verfügbar sind, lesen Sie unsere Datenschutzbestimmungen offline:
C:\windows\system32\de-DE\erofflps.txt

----------------------------------------------------------------

in einem anderen forum wird geraten die powercfg /hibernate /size <size% von size 75 auf size100 zu verändern, allerdings weiss ich nicht wie und auch nicht was es bedeutet.

hier noch ein sample vom bluescreen

Zitat:

A problem has been detected and Windows has been shut down to prevent damage to your computer.

INTERNAL_POWER_ERROR

If this is the first time you've seen this Stop error screen, restart your computer. If this screen appears again, follow these steps:

Check to make sure any new hardware or software is properly installed. If this is a new installation, ask your hardware or software manufacturer for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware or software. Disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advanced Startup Options, and then select Safe Mode.

Technical Information:

*** STOP: 0x000000A0

Beginning dump of physical memory
Physical memory dump complete.

Contact your system administrator or technical support group for further
assistance.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Also auf meinen eigenen dateien kann ich noch zugreifen...eigentlich kann ich auf alles zugreifen. auf etwas bestimmtes vielleicht?

und leider funzt das tool tdsskiller nicht. auch wenn ichs als admin ausführe gibts nach 80% initialisierung eine fehlermeldung und erbrichts ab. obwohl ich alles im hintergrund gestoppt habe :(

unhide.exe ausgeführt.

hier ist das sichtbar gewordene log

2011/04/24 12:54:24.0899 3224 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/04/24 12:54:26.0302 3224 ================================================================================
2011/04/24 12:54:26.0302 3224 SystemInfo:
2011/04/24 12:54:26.0302 3224
2011/04/24 12:54:26.0302 3224 OS Version: 6.1.7600 ServicePack: 0.0
2011/04/24 12:54:26.0302 3224 Product type: Workstation
2011/04/24 12:54:26.0303 3224 ComputerName: ANTONOLOGY_HQ
2011/04/24 12:54:26.0303 3224 UserName: antonology
2011/04/24 12:54:26.0303 3224 Windows directory: C:\windows
2011/04/24 12:54:26.0303 3224 System windows directory: C:\windows
2011/04/24 12:54:26.0303 3224 Processor architecture: Intel x86
2011/04/24 12:54:26.0303 3224 Number of processors: 2
2011/04/24 12:54:26.0303 3224 Page size: 0x1000
2011/04/24 12:54:26.0304 3224 Boot type: Normal boot
2011/04/24 12:54:26.0304 3224 ================================================================================
2011/04/24 12:54:33.0917 3224 !crdlk

Das Log ist irgendwie unvollständig. Hast du beide Haken gesetzt beim TDSS-Killer?

ich hab doch geschrieben, dass tdsskillr bei mir nicht geht.

das ist die fehlermeldung

Problemsignatur:
Problemereignisname: BEX
Anwendungsname: tdsskiller.exe
Anwendungsversion: 2.4.21.0
Anwendungszeitstempel: 4d789985
Fehlermodulname: tdsskiller.exe
Fehlermodulversion: 2.4.21.0
Fehlermodulzeitstempel: 4d789985
Ausnahmeoffset: 00056ec9
Ausnahmecode: c0000409
Ausnahmedaten: 00000000
Betriebsystemversion: 6.1.7600.2.0.0.768.11
Gebietsschema-ID: 1031
Zusatzinformation 1: ec99
Zusatzinformation 2: ec995560da39ed95aa61f875d1bec02e
Zusatzinformation 3: 87ac
Zusatzinformation 4: 87ac69acb68223dcb378b316b0e222a7

eine wichtige frage:

ist mein pc sicher gnug um in einem netzwerk mit anderen pcs zu arbeiten? Odr hab ich iwas drauf was anderen schaden könnt?

der neuste suchlauf mit mbam gab 3 infizierungen preis.
aber mbam konnte nur 2 beseitigen:(

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6417

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

26.04.2011 18:46:15
mbam-log-2011-04-26 (18-46-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 254021
Laufzeit: 1 Stunde(n), 18 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
c:\Windows\Temp\knpm\setup.exe (Spyware.Passwords.XGen) -> 1640 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMService (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\Temp\knpm\setup.exe (Spyware.Passwords.XGen) -> Delete on reboot.

hab nur das unvollständige Log gesehen :D

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

danke für die empfehlung - aber CF funzt leider nicht. wenn ichs ausführe kommt
genau dasselbe prob wie mit tdsskiller ... bluescreen:
fehlermeldung:
DRIVER_IRQ_NOT_LESS_OR_EQUAL

iastor.sys

Dann haben wir rel. schlechte Karten. Mach dich schonmal bereit, also sichere alle wichtigen Daten auf eine externe Festplatte für den Fall der Fälle.

Wir müssen den MBR fixen. Daten bleiben normalerweise dabei erhalten. Hast du eine Win7-DVD 32-Bit zur Hand?

Wenn du keine Win7-DVD hast, geht das auch mit einer Vista-Rescue-Disc, schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows

Lad die ISO-Datei herunter, brenn sie zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten).

Wie gesagt, falls Du eine normale Windows-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der Windows-DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Mach danach neue Logs mit MBRcheck und wenn's geht GMER.

danke für den tipp.

was ist mbrecovery?

und was kann schlimmstenfalls passieren?

Der MBR steht für Master Boot Record. Da sind essentielle Infos drin, die zum Booten des Betriebssystems notwendig sind. Wenn der Fix in die Hose geht, startet Windows nicht mehr, deswegen solltest du zumindest die Daten vorher alle sichern.

Geht's hier noch weiter? Hast du überhaupt noch Interesse die Bereinigung durchzuführen oder haste alles nun geplättet?

danke cosinus,

ja es geht bald weiter und interesse habe ich auch noch,

aber leider gerade keine möglichkeit mich darum zu kümmern,
da ich den pc fürs studium ständig brauche.

Ich werde mich den vorschlägen hier bald widmen können.

danke soweit für die unterstützung

oki doke, bin wieder da und habe mich mit dem problem heute befasst.
hab die vista recovery gesaugt und verwendet.
anfangs schiens zu helfen, aber am ende doch nicht...
jetzt kann ich den pc schon mal einfacher hochfahren, aber es hat dann doch nicht geklappt. also entschied ich mich zu formatieren.
habe meine partitionen formatiert und wollte winXP installieren.
ich habs von der original cd gestartet, aber nachdem er im blauen screen anfangs alle treiber geladen hat, kommt kurz ein schwarzer screen und dann der ultimative-bluescreen...von da an geht nichts mehr weiter.
aufm bluescreen steht wenig.
nur STOP (OOOOOXXXOOO .... usw... ungefähr)
dann steht da auch noch ich solle chksdsk /F ausführen...

Was sollte ich tun?
Soll ich eine Ubuntu-Live-CD nehmen um zu starten...
wie krieg ich wieder ein OS drauf?
Wars ein fehler zu formatieren?

Danke mal wieder für die nette unterstützung hier, und hoffentlich weiss jemand rat...denn ich bin mit meinem latein am ende, da selbst die vista-recovery-cd mir nichts gebracht hat. denn wenn ich im eingabeaufforderungsbildschirm der vista-recovery setup.exe eingebe (mit meiner WinXP CD) dann steht da auch, dass ich XP nicht installieren kann. Aber ich glaub das hängt mit der Ikompatibilität von XP und Vista zusammen, weiss es aber nicht.

Hochachtungsvoll,

danke, euer Anton

Das wird mit ziemlicher Wahrscheinlichkeit die SATA-"Unverträglichkeit" von WinXP sein. Das passiert, wenn die Platte bzw. der Plattencontroller im AHCI-Modus läuft und du WinXP keine AHCI-Treiber per F6 mitgibst (oder nicht schon passende Treiber auf dem Installationsmedium vorhanden sind)

Du kannst also entweder a) die passenden Treiber suchen und mitgeben oder b) (ist meist einfacher) den Controllermodus im BIOS von AHCI auf IDE bzw. Compatible umstellen.

ach danke cosinus!
das problem hast du gut erkannt.
soll ich nun doch wieder nach der installation von xp GMER oder MBRcheck oder sowas ausführen um auf nummer sicher zu gehen oder so?

Soll ich eigentlich die AHCI treiber für XP draufmachen oder nicht? Bringt das irgendeine veränderung im gegensatz zu IDE ?

Herzlichen Dank! - soweit sind alle sichtbaren probleme behoben!

Mille Grazie,
anton

Zitat:

Soll ich eigentlich die AHCI treiber für XP draufmachen oder nicht? Bringt das irgendeine veränderung im gegensatz zu IDE ?

AHCI hat u.U. Vorteile, zB Native Command Queuing ? Wikipedia
Ich hab "meine" XP-Kisten aber alle im Compatible-Mode laufen.

GMER seh ich erstmal nach der Neuinstallation als nicht nötig an, aber MBRCheck kann nicht schaden. Und wenn du magst einen Quickscan mit aktuellem Malwarebytes, obwohl da eigentlich nichts zum Vorschein kommen sollte - schließlich hat man ja sauber neu installiert! :)